Como fazer a recuperação de dados do disco rígido

Este tutorial mostra como recuperar dados de dispositivos de armazenamento no Linux. Neste caso, os dados serão recuperados de uma pendrive USB SanDisk de 32 GB, no entanto o processo mostrado neste tutorial é o mesmo que para um disco rígido normal. Este tutorial centrar-se-á em duas das mais populares ferramentas de escultura de ficheiros, Foremost e PhotoRect, ambas descritas no artigo File Carving Tools. Ambas serão explicadas desde o processo de instalação no Debian 10 Buster até à recuperação de dados.

Recuperação de dados a partir do disco rígido com Foremost:

Para começar vamos ver os dispositivos de armazenamento ligados usando o comando lsblk, na consola a correr:

# lsblk

Lsblk mostrará todos os dispositivos de armazenamento e partições disponíveis, incluindo dispositivos swap e ópticos, neste caso quero o dispositivo sdb.

Nota: para saber mais sobre o comando lsblk leia How to List all Linux Disk Devices.

Como pode ver, a pendrive USB de 32 GB chamava-se sdb e é nesse dispositivo que vou trabalhar.

Data Recovery from USB drive with Foremost:

Para iniciar a recuperação de dados de uma drive USB, inicie instalando o Foremost usando o gestor de pacotes APT em Debian ou distribuições Linux baseadas em execução:

# apt install foremost

Once instalado pode exibir a página man para verificar todas as opções disponíveis:

# man foremost

Da página man entendemos que a bandeira -i é para determinar um ficheiro de entrada, a partir do qual o Foremost começará a trabalhar. O seu objectivo geral é trabalhar com imagens como estas produzidas por ferramentas como dd ou Encase. Para lançar o Foremost da forma mais simples, sem bandeiras adicionais, execute o seguinte comando substituindo /sdb para o ID do dispositivo de onde pretende recuperar dados.
Run:

# foremost -i /dev/sdb

Where sdb put the correct device.
Once executado o processo de talha parecerá:

Nota: também se pode especificar partições como por exemplo /dev/sdb1.

Quando o processo termina, executar ls para confirmar a criação de um novo directório chamado output:

# ls

Como pode ver a saída do directório existe, para ver os ficheiros recuperados introduza-o utilizando o comando cd (Change Directory) e depois corra ls:

# cd output
# ls

Dentro de cada directório verá directórios para todos os tipos de ficheiros Foremost conseguiu recuperar, além disso verá um ficheiro chamado audit.txt com um relatório sobre ficheiros esculpidos.

Pode verificar que ficheiros foram encontrados dentro de cada directório, executando ls <directório:

# ls jpg/

Também se pode navegar por todos os ficheiros recuperados através de um gestor de ficheiros gráfico:

Recuperação de dados a partir do disco rígido com PhotoRec:

PhotoRect é, juntamente com Foremost, a ferramenta mais popular de escultura de ficheiros ou recuperação de dados, tanto para uso profissional forense como doméstico. Enquanto o Foremost faz uma recuperação mais inteligente mostrando um desempenho mais rápido, a força bruta do PhotoRec mostra melhores resultados ao esculpir ficheiros. Esta secção mostra como efectuar a recuperação de dados a partir do disco rígido utilizando PhotoRec.

Para começar em Debian e as distribuições baseadas em Linux instalam o photorec ao correr:

# apt install testdisk

P>Página man do Photorec está quase vazia, o Photorec é bastante simples de usar e só precisa de ser executado, uma interface didáctica amigável semelhante à do CFDISK irá aparecer para o guiar durante todo o processo.

Once instalado execute-o chamando o programa:

# photorec

Remmbrar para executar PhotoRec com permissões suficientes para aceder ao dispositivo a ser esculpido.

No primeiro ecrã é necessário seleccionar o disco ou imagem de origem a partir da qual PhotoRec precisa de recuperar os dados. Neste caso, estou a seleccionar o dispositivo /dev/sdb como mostra a imagem abaixo:

Neste passo, é necessário seleccionar a partição a partir da qual se pretende recuperar os dados.
Se as partições não forem encontradas e listadas antes de prosseguir com uma pesquisa usando as setas do teclado mova para File Opt para explorar as opções disponíveis como mostrado na imagem abaixo:

Como pode ver dentro de File Opt pode aumentar a precisão do resultado que deseja especificando o tipo de ficheiros que está à procura. Seleccione o tipo de ficheiros que pretende e depois prima b para continuar, ou Pare para voltar atrás.

Voltar atrás no ecrã anterior seleccione Pesquisar e prima Enter para continuar a iniciar o processo de recuperação de dados.

Nesta fase, o Foremost irá perguntar que tipo de sistema de ficheiros o dispositivo tem ou costumava ter, neste caso era FAT ou NTFS, seleccionar o sistema de ficheiros adequado, mesmo que esteja actualmente avariado e premir ENTER.

Finalmente PhotoRec irá perguntar onde pretende guardar os ficheiros, acabei de sair do Ambiente de Trabalho mas pode criar uma pasta dedicada para ele, depois de escolher o destino pressione C para continuar.

O processo irá começar e poderá durar alguns minutos ou horas dependendo do tamanho.

No final do processo PhotoRect notificará a criação de um directório com os ficheiros recuperados, neste caso recuperar_dir* dentro do Ambiente de Trabalho previamente seleccionado como destino.

Like with Foremost pode listar todos os ficheiros da consola:

Or pode navegar pelos ficheiros utilizando o seu gestor de ficheiros gráfico preferido:

Conclusão sobre recuperação de dados a partir do disco rígido com PhotoRec e Foremost:

As duas ferramentas lideram o mercado de escultura de ficheiros, ambas as ferramentas permitem recuperar qualquer tipo de ficheiros, Foremost suporta escultura jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, e cpp e muito mais. Ambas as ferramentas são compatíveis com imagens de disco como dd ou para Encase. Enquanto que os retransmissores PhotoRec sobre a força bruta, proporcionando uma escultura mais profunda, o Foremost concentra-se em cabeçalhos de blocos e rodapés que trabalham mais rapidamente. Ambas as ferramentas estão incluídas nas mais populares suites forenses e distribuições de SO tais como Deft/Deft Zero live ou CAINE que foram descritas em https://linuxhint.com/live_forensics_tools/.

Usar PhotoRec ou Foremost traz a possibilidade de aplicar ferramentas forenses de alto nível mesmo para uso doméstico, as ferramentas mencionadas não têm bandeiras e opções complexas para adicionar o seu lançamento.

Espero que tenha achado útil este tutorial sobre Como Recuperar Dados a partir do Disco Rígido. Continue a seguir o LinuxHint para mais dicas e actualizações sobre Linux e redes.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *