Recuperar dados como um perito forense usando um Live CD do Ubuntu

Recuperar dados como um perito forense usando um Live CD do Ubuntu
Recuperar dados como um perito forense usando um Live CD do Ubuntu

Vídeo: Recuperar dados como um perito forense usando um Live CD do Ubuntu

Vídeo: Recuperar dados como um perito forense usando um Live CD do Ubuntu
Vídeo: 5 Dicas e Truques do PLANILHAS GOOGLE Que Você Precisa Saber! - YouTube 2024, Novembro
Anonim

Há muitos utilitários para recuperar arquivos excluídos, mas e se você não conseguir inicializar o computador ou se a unidade inteira tiver sido formatada? Mostraremos algumas ferramentas que irão aprofundar e recuperar os arquivos excluídos mais ilusórios ou até mesmo partições inteiras de disco rígido.

Mostramos a você maneiras simples de recuperar arquivos excluídos acidentalmente, até mesmo um método simples que pode ser feito a partir de um Live CD do Ubuntu. No entanto, para discos rígidos que foram muito corrompidos, esses métodos não serão cortados. Neste artigo, examinaremos quatro ferramentas que podem recuperar dados dos discos rígidos mais problemáticos, independentemente de terem sido formatados para um computador com Windows, Linux ou Mac, ou mesmo se a tabela de partição for totalmente eliminada.

Nota: Essas ferramentas não podem recuperar dados que foram sobrescritos em um disco rígido. A substituição de um arquivo excluído depende de muitos fatores. Quanto mais rápido você perceber que deseja recuperar um arquivo, maior será a probabilidade de conseguir fazer isso.

Nossa configuração

Para mostrar essas ferramentas, configuramos um pequeno disco rígido de 1 GB, com metade do espaço particionado como ext2, um sistema de arquivos usado no Linux e metade do espaço particionado como FAT32, um sistema de arquivos usado em sistemas Windows mais antigos. Nós armazenamos dez imagens aleatórias em cada disco rígido.

Em seguida, limpamos a tabela de partições do disco rígido excluindo as partições no GParted.
Em seguida, limpamos a tabela de partições do disco rígido excluindo as partições no GParted.
Nossos dados são perdidos para sempre?
Nossos dados são perdidos para sempre?

Instalando as ferramentas

Todas as ferramentas que vamos usar estão no Ubuntu universo repositório.

Para ativar o repositório, abra o Gerenciador de Pacotes Synaptic clicando em Sistema no canto superior esquerdo e, em seguida, em Administração> Gerenciador de Pacotes Synaptic.

Clique em Configurações> Repositórios e adicione uma marca na caixa “Software de código aberto mantido pela comunidade (universo)”.

Image
Image

Clique em Fechar e, na janela principal do Gerenciador de Pacotes Synaptic, clique no botão Recarregar. Depois que a lista de pacotes for recarregada e o índice de pesquisa reconstruído, pesquise e marque para instalação um ou todos os seguintes pacotes: testdisk, acima de tudoe bisturi.

Teste de disco inclui o TestDisk, que pode recuperar partições perdidas e reparar setores de inicialização, e o PhotoRec, que pode recuperar muitos tipos diferentes de arquivos de vários sistemas de arquivos diferentes.

Image
Image

Acima de tudo, originalmente desenvolvido pelo Escritório de Investigações Especiais da Força Aérea dos EUA, recupera arquivos com base em seus cabeçalhos e outras estruturas internas. Acima de tudo opera em discos rígidos ou arquivos de imagem de unidade gerados por várias ferramentas.

Image
Image

Finalmente, bisturi executa as mesmas funções como acima de tudo, mas está focado em desempenho aprimorado e menor uso de memória. O bisturi pode funcionar melhor se você tiver uma máquina mais antiga com menos memória RAM.

Image
Image

Recuperar partições do disco rígido

Se você não conseguir montar o disco rígido, sua tabela de partições poderá estar corrompida. Antes de começar a tentar recuperar seus arquivos importantes, pode ser possível recuperar uma ou mais partições em sua unidade, recuperando todos os seus arquivos com uma única etapa.

Teste de disco é a ferramenta para o trabalho. Comece abrindo um terminal (Aplicativos> Acessórios> Terminal) e digitando:

sudo testdisk
Se desejar, você pode criar um arquivo de registro, embora isso não afete a quantidade de dados que você recupera. Depois de fazer sua escolha, você é recebido com uma lista da mídia de armazenamento em sua máquina. Você deve ser capaz de identificar o disco rígido do qual deseja recuperar as partições pelo seu tamanho e rótulo.
Se desejar, você pode criar um arquivo de registro, embora isso não afete a quantidade de dados que você recupera. Depois de fazer sua escolha, você é recebido com uma lista da mídia de armazenamento em sua máquina. Você deve ser capaz de identificar o disco rígido do qual deseja recuperar as partições pelo seu tamanho e rótulo.
TestDisk pede que você selecione o tipo de tabela de partição para procurar. Na maioria dos casos (ext2 / 3, NTFS, FAT32, etc.) você deve selecionar Intel e pressionar Enter.
TestDisk pede que você selecione o tipo de tabela de partição para procurar. Na maioria dos casos (ext2 / 3, NTFS, FAT32, etc.) você deve selecionar Intel e pressionar Enter.
Image
Image

Destaque Analisar e pressione Enter.

No nosso caso, nosso pequeno disco rígido já foi formatado como NTFS. Surpreendentemente, o TestDisk encontra essa partição, embora não consiga recuperá-la.
No nosso caso, nosso pequeno disco rígido já foi formatado como NTFS. Surpreendentemente, o TestDisk encontra essa partição, embora não consiga recuperá-la.
Ele também encontra as duas partições que acabamos de deletar. Podemos alterar seus atributos ou adicionar mais partições, mas vamos recuperá-los pressionando Enter.
Ele também encontra as duas partições que acabamos de deletar. Podemos alterar seus atributos ou adicionar mais partições, mas vamos recuperá-los pressionando Enter.
Se o TestDisk não encontrar todas as suas partições, você pode tentar fazer uma pesquisa mais profunda selecionando essa opção com as teclas de seta para a esquerda e para a direita. Nós só temos essas duas partições, então vamos recuperá-las selecionando Escrever e pressionando Enter.
Se o TestDisk não encontrar todas as suas partições, você pode tentar fazer uma pesquisa mais profunda selecionando essa opção com as teclas de seta para a esquerda e para a direita. Nós só temos essas duas partições, então vamos recuperá-las selecionando Escrever e pressionando Enter.
Testdisk nos informa que teremos que reiniciar.
Testdisk nos informa que teremos que reiniciar.
Image
Image

Nota: Se o seu Ubuntu Live CD não for persistente, quando você reiniciar, terá que reinstalar as ferramentas instaladas anteriormente.

Depois de reiniciar, ambas as partições voltam aos seus estados originais, imagens e tudo.

Image
Image

Recuperar arquivos de certos tipos

Para os exemplos a seguir, excluímos as 10 imagens das duas partições e as reformatamos.

PhotoRec

Das três ferramentas que mostraremos PhotoRec é o mais fácil de usar, apesar de ser um utilitário baseado em console. Para começar a recuperar arquivos, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:

sudo photorec

Para começar, você é solicitado a selecionar um dispositivo de armazenamento para pesquisar. Você deve ser capaz de identificar o dispositivo certo por seu tamanho e rótulo. Selecione o dispositivo correto e pressione Enter.

PhotoRec pede que você selecione o tipo de partição para pesquisar. Na maioria dos casos (ext2 / 3, NTFS, FAT, etc.) você deve selecionar Intel e pressionar Enter.
PhotoRec pede que você selecione o tipo de partição para pesquisar. Na maioria dos casos (ext2 / 3, NTFS, FAT, etc.) você deve selecionar Intel e pressionar Enter.
Você recebe uma lista das partições no seu disco rígido selecionado.Se você deseja recuperar todos os arquivos em uma partição, selecione Pesquisar e pressione Enter.
Você recebe uma lista das partições no seu disco rígido selecionado.Se você deseja recuperar todos os arquivos em uma partição, selecione Pesquisar e pressione Enter.

No entanto, esse processo pode ser muito lento e, no nosso caso, queremos apenas procurar por arquivos de imagens, portanto, usamos a tecla de seta para a direita para selecionar File Opt e pressione Enter.

O PhotoRec pode recuperar muitos tipos diferentes de arquivos, e cancelar a seleção de cada um deles levaria um longo tempo. Em vez disso, pressionamos "s" para limpar todas as seleções e, em seguida, encontrar os tipos de arquivo apropriados - jpg, gif e png - e selecioná-los pressionando a tecla de seta para a direita.
O PhotoRec pode recuperar muitos tipos diferentes de arquivos, e cancelar a seleção de cada um deles levaria um longo tempo. Em vez disso, pressionamos "s" para limpar todas as seleções e, em seguida, encontrar os tipos de arquivo apropriados - jpg, gif e png - e selecioná-los pressionando a tecla de seta para a direita.
Depois de selecionarmos esses três, pressionaremos "b" para salvar essas seleções.
Depois de selecionarmos esses três, pressionaremos "b" para salvar essas seleções.
Pressione enter para retornar à lista de partições do disco rígido. Queremos pesquisar em ambas as nossas partições, por isso, destacamos "Nenhuma partição" e "Pesquisar" e, em seguida, pressione Enter.
Pressione enter para retornar à lista de partições do disco rígido. Queremos pesquisar em ambas as nossas partições, por isso, destacamos "Nenhuma partição" e "Pesquisar" e, em seguida, pressione Enter.
PhotoRec solicita um local para armazenar os arquivos recuperados. Se você tiver um disco rígido saudável diferente, recomendamos armazenar os arquivos recuperados lá. Como não estamos nos recuperando muito, vamos armazená-lo na área de trabalho do Live CD do Ubuntu.
PhotoRec solicita um local para armazenar os arquivos recuperados. Se você tiver um disco rígido saudável diferente, recomendamos armazenar os arquivos recuperados lá. Como não estamos nos recuperando muito, vamos armazená-lo na área de trabalho do Live CD do Ubuntu.

Nota: não recupere arquivos no disco rígido do qual você está se recuperando.

PhotoRec é capaz de recuperar as 20 fotos das partições no nosso disco rígido!
PhotoRec é capaz de recuperar as 20 fotos das partições no nosso disco rígido!
Uma rápida olhada no diretório recup dir.1 que ele cria confirma que o PhotoRec recuperou todas as nossas imagens, exceto pelos nomes dos arquivos.
Uma rápida olhada no diretório recup dir.1 que ele cria confirma que o PhotoRec recuperou todas as nossas imagens, exceto pelos nomes dos arquivos.
Image
Image

Acima de tudo

O mais importante é um programa de linha de comando sem interface interativa como o PhotoRec, mas oferece várias opções de linha de comando para obter o máximo possível de dados do seu disco rígido.

Para obter uma lista completa das opções que podem ser ajustadas por meio da linha de comando, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:

foremost –h

No nosso caso, as opções de linha de comando que vamos usar são:

  • -t, uma lista separada por vírgula dos tipos de arquivos a serem pesquisados. No nosso caso, isso é "jpeg, png, gif".
  • -v, habilitando o modo verboso, nos dando mais informações sobre o que está fazendo.
  • -o, a pasta de saída para armazenar os arquivos recuperados. No nosso caso, criamos um diretório chamado “first” na área de trabalho.
  • -i, a entrada que será procurada por arquivos. Esta pode ser uma imagem de disco em vários formatos diferentes; no entanto, usaremos um disco rígido, / dev / sda.

Nossa principal invocação é:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Sua invocação será diferente dependendo do que você está procurando e de onde você está procurando.

Acima de tudo é capaz de recuperar 17 dos 20 arquivos armazenados no disco rígido.
Acima de tudo é capaz de recuperar 17 dos 20 arquivos armazenados no disco rígido.
Observando os arquivos, podemos confirmar que esses arquivos foram recuperados relativamente bem, embora possamos ver alguns erros na miniatura de 00622449.jpg.
Observando os arquivos, podemos confirmar que esses arquivos foram recuperados relativamente bem, embora possamos ver alguns erros na miniatura de 00622449.jpg.
Parte disso pode ser devido ao sistema de arquivos ext2. Acima de tudo recomenda usar a opção de linha de comando –d para sistemas de arquivos Linux como ext2.
Parte disso pode ser devido ao sistema de arquivos ext2. Acima de tudo recomenda usar a opção de linha de comando –d para sistemas de arquivos Linux como ext2.

Vamos correr mais uma vez, adicionando a opção de linha de comando –d à nossa primeira chamada:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda
Desta vez, acima de tudo, é capaz de recuperar todas as 20 imagens!
Desta vez, acima de tudo, é capaz de recuperar todas as 20 imagens!
Image
Image

Uma última olhada nas fotos revela que as fotos foram recuperadas sem problemas.

Image
Image

Bisturi

O bisturi é outro programa poderoso que, como o Foremost, é altamente configurável. Ao contrário de tudo, o bisturi exige que você edite um arquivo de configuração antes de tentar qualquer recuperação de dados.

Qualquer editor de texto serve, mas usaremos o gedit para alterar o arquivo de configuração. Em uma janela de terminal (Aplicativos> Acessórios> Terminal), digite:

sudo gedit /etc/scalpel/scalpel.conf
scalpel.conf contém informações sobre diversos tipos de arquivos. Percorra este arquivo e descomente as linhas que começam com um tipo de arquivo que você deseja recuperar (ou seja, remova o caractere “#” no início dessas linhas).
scalpel.conf contém informações sobre diversos tipos de arquivos. Percorra este arquivo e descomente as linhas que começam com um tipo de arquivo que você deseja recuperar (ou seja, remova o caractere “#” no início dessas linhas).
Salve o arquivo e feche-o. Volte para a janela do terminal.
Salve o arquivo e feche-o. Volte para a janela do terminal.

O bisturi também tem uma tonelada de opções de linha de comando que podem ajudá-lo a pesquisar com rapidez e eficiência; no entanto, definiremos apenas o dispositivo de entrada (/ dev / sda) e a pasta de saída (uma pasta chamada "bisturi" que criamos na área de trabalho).

Nossa invocação é:

sudo scalpel /dev/sda –o scalpel
O bisturi recupera 18 dos nossos 20 arquivos.
O bisturi recupera 18 dos nossos 20 arquivos.
Uma rápida olhada no bisturi de arquivos recuperado revela que a maioria dos nossos arquivos foram recuperados com sucesso, embora houvesse alguns problemas (por exemplo, 00000012.jpg).
Uma rápida olhada no bisturi de arquivos recuperado revela que a maioria dos nossos arquivos foram recuperados com sucesso, embora houvesse alguns problemas (por exemplo, 00000012.jpg).
Image
Image

Conclusão

Em nosso exemplo de brinquedo rápido, o TestDisk conseguiu recuperar duas partições excluídas, e o PhotoRec e o Foremost conseguiram recuperar todas as 20 imagens excluídas. O bisturi recuperou a maioria dos arquivos, mas é muito provável que jogar com as opções de linha de comando para bisturi nos permitisse recuperar todas as 20 imagens.

Essas ferramentas são salva-vidas quando algo dá errado com seu disco rígido. Se seus dados estão no disco rígido em algum lugar, então uma dessas ferramentas irá rastreá-lo!

Recomendado:

Recuperar Dados de Formulários Perdidos no Firefox

Recuperar Dados de Formulários Perdidos no Firefox

Você já preencheu uma área de texto ou formulário em uma página da Web e algo acontece antes de poder terminá-lo? Se você gosta da idéia de recuperar os dados perdidos, então você vai querer dar uma olhada na extensão Lazarus: Form Recovery para o Firefox.

Recuperar arquivos da pasta Windows.old: Recuperar a Ferramenta de Arquivos Pessoais

Recuperar arquivos da pasta Windows.old: Recuperar a Ferramenta de Arquivos Pessoais

Recover Personal Files Tool para Windows 8/10 da Microsoft irá recuperar automaticamente ou recuperar seus arquivos pessoais da pasta Windows.old.

Software de recuperação de dados de CD / DVD para recuperar dados do CD DVD

Software de recuperação de dados de CD / DVD para recuperar dados do CD DVD

Procurando por CD DVD Recovery Freeware? Este artigo lista os principais 3 CD, software de recuperação de dados de DVD IsoBuster, CDCheck, CD Recovery Toolbox para Windows 10/8/7.

Faça o download do Windows Forense prático (valor de US $ 31) eBook GRÁTIS

Faça o download do Windows Forense prático (valor de US $ 31) eBook GRÁTIS

O guia Practical Windows Systems Forensics, no valor de $ 31, está disponível para download gratuito por um período limitado. Obtenha sua cópia gratuita hoje mesmo.

O Assistente de Recuperação de Dados EaseUS Free permite recuperar dados perdidos ou apagados

O Assistente de Recuperação de Dados EaseUS Free permite recuperar dados perdidos ou apagados

O Assistente de Recuperação de Dados EaseUS Free for Windows oferece a maneira mais confiável de recuperar dados perdidos ou excluídos. A versão gratuita pode recuperar até 2GB de dados.