Recuperar dados como um perito forense usando um Live CD do Ubuntu

2024 Autor: Geoffrey Carr | [email protected]. Última modificação: 2023-12-17 10:54

Há muitos utilitários para recuperar arquivos excluídos, mas e se você não conseguir inicializar o computador ou se a unidade inteira tiver sido formatada? Mostraremos algumas ferramentas que irão aprofundar e recuperar os arquivos excluídos mais ilusórios ou até mesmo partições inteiras de disco rígido.

Mostramos a você maneiras simples de recuperar arquivos excluídos acidentalmente, até mesmo um método simples que pode ser feito a partir de um Live CD do Ubuntu. No entanto, para discos rígidos que foram muito corrompidos, esses métodos não serão cortados. Neste artigo, examinaremos quatro ferramentas que podem recuperar dados dos discos rígidos mais problemáticos, independentemente de terem sido formatados para um computador com Windows, Linux ou Mac, ou mesmo se a tabela de partição for totalmente eliminada.

Nota: Essas ferramentas não podem recuperar dados que foram sobrescritos em um disco rígido. A substituição de um arquivo excluído depende de muitos fatores. Quanto mais rápido você perceber que deseja recuperar um arquivo, maior será a probabilidade de conseguir fazer isso.

Nossa configuração

Para mostrar essas ferramentas, configuramos um pequeno disco rígido de 1 GB, com metade do espaço particionado como ext2, um sistema de arquivos usado no Linux e metade do espaço particionado como FAT32, um sistema de arquivos usado em sistemas Windows mais antigos. Nós armazenamos dez imagens aleatórias em cada disco rígido.

Em seguida, limpamos a tabela de partições do disco rígido excluindo as partições no GParted.

Instalando as ferramentas

Todas as ferramentas que vamos usar estão no Ubuntu universo repositório.

Para ativar o repositório, abra o Gerenciador de Pacotes Synaptic clicando em Sistema no canto superior esquerdo e, em seguida, em Administração> Gerenciador de Pacotes Synaptic.

Clique em Configurações> Repositórios e adicione uma marca na caixa “Software de código aberto mantido pela comunidade (universo)”.

Clique em Fechar e, na janela principal do Gerenciador de Pacotes Synaptic, clique no botão Recarregar. Depois que a lista de pacotes for recarregada e o índice de pesquisa reconstruído, pesquise e marque para instalação um ou todos os seguintes pacotes: testdisk, acima de tudoe bisturi.

Teste de disco inclui o TestDisk, que pode recuperar partições perdidas e reparar setores de inicialização, e o PhotoRec, que pode recuperar muitos tipos diferentes de arquivos de vários sistemas de arquivos diferentes.

Acima de tudo, originalmente desenvolvido pelo Escritório de Investigações Especiais da Força Aérea dos EUA, recupera arquivos com base em seus cabeçalhos e outras estruturas internas. Acima de tudo opera em discos rígidos ou arquivos de imagem de unidade gerados por várias ferramentas.

Finalmente, bisturi executa as mesmas funções como acima de tudo, mas está focado em desempenho aprimorado e menor uso de memória. O bisturi pode funcionar melhor se você tiver uma máquina mais antiga com menos memória RAM.

Recuperar partições do disco rígido

Se você não conseguir montar o disco rígido, sua tabela de partições poderá estar corrompida. Antes de começar a tentar recuperar seus arquivos importantes, pode ser possível recuperar uma ou mais partições em sua unidade, recuperando todos os seus arquivos com uma única etapa.

Teste de disco é a ferramenta para o trabalho. Comece abrindo um terminal (Aplicativos> Acessórios> Terminal) e digitando:


sudo testdisk

Se desejar, você pode criar um arquivo de registro, embora isso não afete a quantidade de dados que você recupera. Depois de fazer sua escolha, você é recebido com uma lista da mídia de armazenamento em sua máquina. Você deve ser capaz de identificar o disco rígido do qual deseja recuperar as partições pelo seu tamanho e rótulo.

TestDisk pede que você selecione o tipo de tabela de partição para procurar. Na maioria dos casos (ext2 / 3, NTFS, FAT32, etc.) você deve selecionar Intel e pressionar Enter.

Destaque Analisar e pressione Enter.

No nosso caso, nosso pequeno disco rígido já foi formatado como NTFS. Surpreendentemente, o TestDisk encontra essa partição, embora não consiga recuperá-la.

Ele também encontra as duas partições que acabamos de deletar. Podemos alterar seus atributos ou adicionar mais partições, mas vamos recuperá-los pressionando Enter.

Se o TestDisk não encontrar todas as suas partições, você pode tentar fazer uma pesquisa mais profunda selecionando essa opção com as teclas de seta para a esquerda e para a direita. Nós só temos essas duas partições, então vamos recuperá-las selecionando Escrever e pressionando Enter.

Testdisk nos informa que teremos que reiniciar.

Nota: Se o seu Ubuntu Live CD não for persistente, quando você reiniciar, terá que reinstalar as ferramentas instaladas anteriormente.

Depois de reiniciar, ambas as partições voltam aos seus estados originais, imagens e tudo.

Recuperar arquivos de certos tipos

Para os exemplos a seguir, excluímos as 10 imagens das duas partições e as reformatamos.

PhotoRec

Das três ferramentas que mostraremos PhotoRec é o mais fácil de usar, apesar de ser um utilitário baseado em console. Para começar a recuperar arquivos, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:


sudo photorec

Para começar, você é solicitado a selecionar um dispositivo de armazenamento para pesquisar. Você deve ser capaz de identificar o dispositivo certo por seu tamanho e rótulo. Selecione o dispositivo correto e pressione Enter.

PhotoRec pede que você selecione o tipo de partição para pesquisar. Na maioria dos casos (ext2 / 3, NTFS, FAT, etc.) você deve selecionar Intel e pressionar Enter.

Você recebe uma lista das partições no seu disco rígido selecionado.Se você deseja recuperar todos os arquivos em uma partição, selecione Pesquisar e pressione Enter.

No entanto, esse processo pode ser muito lento e, no nosso caso, queremos apenas procurar por arquivos de imagens, portanto, usamos a tecla de seta para a direita para selecionar File Opt e pressione Enter.

O PhotoRec pode recuperar muitos tipos diferentes de arquivos, e cancelar a seleção de cada um deles levaria um longo tempo. Em vez disso, pressionamos "s" para limpar todas as seleções e, em seguida, encontrar os tipos de arquivo apropriados - jpg, gif e png - e selecioná-los pressionando a tecla de seta para a direita.

Depois de selecionarmos esses três, pressionaremos "b" para salvar essas seleções.

Pressione enter para retornar à lista de partições do disco rígido. Queremos pesquisar em ambas as nossas partições, por isso, destacamos "Nenhuma partição" e "Pesquisar" e, em seguida, pressione Enter.

PhotoRec solicita um local para armazenar os arquivos recuperados. Se você tiver um disco rígido saudável diferente, recomendamos armazenar os arquivos recuperados lá. Como não estamos nos recuperando muito, vamos armazená-lo na área de trabalho do Live CD do Ubuntu.

Nota: não recupere arquivos no disco rígido do qual você está se recuperando.

PhotoRec é capaz de recuperar as 20 fotos das partições no nosso disco rígido!

Uma rápida olhada no diretório recup dir.1 que ele cria confirma que o PhotoRec recuperou todas as nossas imagens, exceto pelos nomes dos arquivos.

Acima de tudo

O mais importante é um programa de linha de comando sem interface interativa como o PhotoRec, mas oferece várias opções de linha de comando para obter o máximo possível de dados do seu disco rígido.

Para obter uma lista completa das opções que podem ser ajustadas por meio da linha de comando, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:


foremost –h

No nosso caso, as opções de linha de comando que vamos usar são:

-t, uma lista separada por vírgula dos tipos de arquivos a serem pesquisados. No nosso caso, isso é "jpeg, png, gif".
-v, habilitando o modo verboso, nos dando mais informações sobre o que está fazendo.
-o, a pasta de saída para armazenar os arquivos recuperados. No nosso caso, criamos um diretório chamado “first” na área de trabalho.
-i, a entrada que será procurada por arquivos. Esta pode ser uma imagem de disco em vários formatos diferentes; no entanto, usaremos um disco rígido, / dev / sda.

Nossa principal invocação é:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Sua invocação será diferente dependendo do que você está procurando e de onde você está procurando.

Acima de tudo é capaz de recuperar 17 dos 20 arquivos armazenados no disco rígido.

Observando os arquivos, podemos confirmar que esses arquivos foram recuperados relativamente bem, embora possamos ver alguns erros na miniatura de 00622449.jpg.

Parte disso pode ser devido ao sistema de arquivos ext2. Acima de tudo recomenda usar a opção de linha de comando –d para sistemas de arquivos Linux como ext2.

Vamos correr mais uma vez, adicionando a opção de linha de comando –d à nossa primeira chamada:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Desta vez, acima de tudo, é capaz de recuperar todas as 20 imagens!

Uma última olhada nas fotos revela que as fotos foram recuperadas sem problemas.

Bisturi

O bisturi é outro programa poderoso que, como o Foremost, é altamente configurável. Ao contrário de tudo, o bisturi exige que você edite um arquivo de configuração antes de tentar qualquer recuperação de dados.

Qualquer editor de texto serve, mas usaremos o gedit para alterar o arquivo de configuração. Em uma janela de terminal (Aplicativos> Acessórios> Terminal), digite:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf contém informações sobre diversos tipos de arquivos. Percorra este arquivo e descomente as linhas que começam com um tipo de arquivo que você deseja recuperar (ou seja, remova o caractere “#” no início dessas linhas).

Salve o arquivo e feche-o. Volte para a janela do terminal.

O bisturi também tem uma tonelada de opções de linha de comando que podem ajudá-lo a pesquisar com rapidez e eficiência; no entanto, definiremos apenas o dispositivo de entrada (/ dev / sda) e a pasta de saída (uma pasta chamada "bisturi" que criamos na área de trabalho).

Nossa invocação é:


sudo scalpel /dev/sda –o scalpel

O bisturi recupera 18 dos nossos 20 arquivos.

Uma rápida olhada no bisturi de arquivos recuperado revela que a maioria dos nossos arquivos foram recuperados com sucesso, embora houvesse alguns problemas (por exemplo, 00000012.jpg).

Conclusão

Em nosso exemplo de brinquedo rápido, o TestDisk conseguiu recuperar duas partições excluídas, e o PhotoRec e o Foremost conseguiram recuperar todas as 20 imagens excluídas. O bisturi recuperou a maioria dos arquivos, mas é muito provável que jogar com as opções de linha de comando para bisturi nos permitisse recuperar todas as 20 imagens.

Essas ferramentas são salva-vidas quando algo dá errado com seu disco rígido. Se seus dados estão no disco rígido em algum lugar, então uma dessas ferramentas irá rastreá-lo!