COMO RECUPERAR ARQUIVOS DELETADOS DEFINITIVAMENTE DE UM COMPUTADOR OU OUTROS DISPOSITIVOS

Análise Forense, Redes / Diversos 6 minutos

Olá a todos!

Seguindo as postagens sobre ferramentas de trabalho para análise forense, irei falar sobre uma coisa que todo mundo já passou, ou se não, ainda vai passar: Deletar um arquivo sem querer e precisar deles de volta.

Quando a gente sai de férias, resolve tirar mais fotos do que o necessário. Pega uma câmera fotográfica ou um celular, e gasta tudo que tem direito de memória. Passa um tempão olhando depois, e mesmo que sem intenção, começa a fuçar tanto no eletrônico que de repente deleta algumas sem querer. Principalmente quando pensa que as fotos ficaram feias e utiliza de seleção coletiva de arquivos para deletar.

Sem contar os dias que trabalhamos no computador a ponto de a cabeça ferver. Bate um pico de stress, e dá “na telha” de deletar o trabalho e começar do zero. Aí, terminou de clicar em OK aceitando que ele seja excluído definitivamente, e você lembra: “Caramba, esqueci que não podia perder aquele pedaço! ”. Como é que faz nesse caso???

Existe um aplicativo que faz varredura em dispositivos e, em muitos casos, a pessoa consegue sim, recuperar o que deletou. Falarei sobre um aplicativo chamado PhotoRec, que serve tanto pra Windows quanto pra Linux, detalhadamente.

Segue uma leve e abreviada descrição sobre ele:

INTRODUÇÃO

Segundo o Wikipedia, “PhotoRec é uma ferramenta de software de recuperação de dados e esculpimento de dados livre e de código aberto projetada para recuperar arquivos perdidos de memórias de câmeras digitais.

Ele recupera a maioria dos formatos comuns de foto, incluindo JPEG, e também recupera arquivos de áudio incluindo MP3, formatos de documentos como OpenDocument, Microsoft Office, PDF, e HTML. E formatos de arquivamento, incluindo ZIP.”

O PhotoRec ignora o sistema de arquivos e segue os dados subjacentes; portanto, ele continuará funcionando mesmo que o sistema de arquivos da mídia tenha sido severamente danificado ou reformatado.

Para maior segurança, o PhotoRec usa acesso somente leitura para manipular a unidade ou o cartão de memória do qual você está prestes a recuperar os dados perdidos. Importante: Assim que uma foto ou arquivo for excluído acidentalmente, ou você descobrir alguma falta, NÃO SALVE mais fotos ou arquivos no dispositivo de memória ou na unidade de disco rígido, caso contrário, você poderá sobrescrever seus dados perdidos. Isso significa que, enquanto estiver usando o PhotoRec, você não deve optar por gravar os arquivos recuperados na mesma partição em que foram armazenados.

O PhotoRec é gratuito. É um programa complementar ao TestDisk, um aplicativo para recuperar partições perdidas em uma ampla variedade de sistemas de arquivos e tornar os discos não inicializáveis novamente inicializáveis. Você pode baixá-los neste link:

( https://www.cgsecurity.org/wiki/TestDisk_Download )

TestDisk pode ser executado em:

  • DOS;
  • Windows;
  • Linux;
  • FreeBSD, NetBSD, OpenBSD;
  • SunOS;
  • MacOS.

Os arquivos fonte e os binários executáveis disponíveis no link são para DOS, Win32, MacOSX e Linux.

Recupera arquivos nos seguintes tipos de dispositivos:

  • HD’s;
  • Pendrive;
  • CD-ROM’s;
  • Memory Stick;
  • Câmeras.

Funciona com os seguintes sistemas de arquivo:

  • BeFS (BeOS);
  • BSD disklabel (FreeBSD / OpenBSD / NetBSD );
  • CramFS, Compressed File System;
  • DOS / Windows FAT12, FAT16 e FAT32;
  • Windows exFAT;
  • HFS, HFS+ e HFSX, Hierarchical File System;
  • Linux ext2, ext3 e ext4;
  • Linux LUKS encrypted partition;
  • Linux RAID md 0.9/1.0/1.1/1.2;
    • RAID 1: mirroring;
    • RAID 4: Striped array with parity device;
    • RAID 5: Striped array with distributed parity information;
    • RAID 6: Striped array with distributed dual redundancy information;
  • Linux Swap (versões 1 e 2);
  • LVM e LVM2, Linux Logical Volume Manager;
  • Mac partition map;
  • Novell Storage Services NSS;
  • NTFS (Windows NT / 2000 / XP / 2003 / Vista / 2008);
  • ReiserFS 3.5, 3.6 e 4;
  • Sun Solaris i386 disklabel;
  • Unix File System UFS e UFS2 (Sun / BSD / … );
  • XFS, SGI’s Journaled File System.

COMO QUE FUNCIONA ESSA FERRAMENTA?

Quando apagamos um arquivo, na verdade não apagamos o arquivo. Então, primeiramente vamos entender o que é um arquivo.

Um arquivo é uma unidade aonde alocamos um tipo de dado. Ele é formatado, como todos os dados, por uma sequência de 1 e 0. Todo arquivo, tem um nome e um tamanho, um ponto aonde começa e aonde termina na mídia aonde está armazenado.

Cada sistema de arquivos tem um jeito de tratar os arquivos, mas no básico todos trabalham da seguinte forma: Existe uma tabela que contém as informações do arquivo, como seu nome e como localizá-lo. Depois de verificar essas informações, o aplicativo pode ler os seus dados.

Quando um arquivo é apagado, não é escrito uma sequência de zeros na posição aonde ficam os dados do arquivo, apenas a referência do arquivo é apagada. Seu conteúdo fica intacto no momento em que você o apaga, porém, sua área fica disponível para que outros arquivos sejam criados, ou que cresçam sobre a área aonde ele ocupava.

Ou seja, assim que tiver perdido um arquivo, não faça mais nada com a mídia, para não correr o risco de sobrescrita em cima da área aonde estão seus dados.
Use o programa de recuperação logo após perder o arquivo.

UTILIZANDO O PHOTOREC

Vou mostrar de duas formas: Uma utilizando Interface Gráfica, versão Windows 64 bits, e outra utilizando terminal, pelo Kali Linux.

Versão Gráfica:

Para instalação no Windows, é bem simples:

1 – Clique no link fornecido anteriormente;
2 – Escolha a versão de Windows e de software que desejas;
3 – Clique no link para o download começar;
4 – Terminado o download, extraia o arquivo .zip em um local que desejas;
5 – Entre na pasta testdisk-7.2-WIP (pode ser que quando abrir a postagem já tenha versão mais atualizada), e abra o executável qphotorec_win já com o dispositivo conectado a estação de trabalho.

Essa é sua tela inicial:

IMAGEM: Do Autor

Ao abrir, repare se o Tipo de sistema de arquivos está correto para o dispositivo que utiliza. Em seguida, selecione a mídia para recuperar.

IMAGEM: Do Autor

IMAGEM: Do Autor

Feito isso, selecione o destino para salvar os arquivos recuperados.

IMAGEM: Do Autor

Clique em Pesquisar e aguarde o processo concluir.

IMAGEM: Do Autor

IMAGEM: Do Autor

Quando estiver completo o processo, pode ir até a pasta que seus arquivos estarão lá.

IMAGEM: Do Autor

IMAGEM: Do Autor

Nesse caso foram criadas 9 pastas. Dentro delas estão os arquivos recuperados.

Versão no terminal Linux

Para usuários Linux que não possuem o programa instalado, segue sucintamente o passo-a-passo de instalação:

1 – Entre no terminal Linux, e crie um diretório digitando mkdir testdisk;

2 – Digite cd testdisk para acessar o diretório;

3 – Se a versão de Linux que usa for compatível com arquitetura i386:

      Se a versão de Linux que usa for compatível com arquitetura x86_64:

IMAGEM: Do Autor

4 – Após o download concluir, digite o comando:

            i386 – tar –xjvf  testdisk-7.2-WIP.linux26.tar.bz2

            x86_64 – tar –xjvf testdisk-7.2-WIP.linux26-x86_64.tar.bz2

IMAGEM: Do Autor

5 – Depois que for extraído o arquivo, será criada uma pasta. Digite o comando ls para verificar o nome da pasta. Em seguida, digite cd {nome da pasta};

IMAGEM: Do Autor

6 – Para ter acesso irrestrito aos dispositivos você deve ser usuário root. Devemos lembrar que você nunca pode recuperar um HD, ou Pendrive e apontar para escrever os arquivos recuperados na mesma mídia. Se você fizer isso, pode gravar em cima dos dados do arquivo que está tentando recuperar e além de perder definitivamente o arquivo, pode corromper o seu sistema de arquivos, perdendo o restante dos seus dados.

7 – Supondo que já digitou o comando su – para acessar como root, e inseriu a senha, o comando para acessar o programa deve ser digitado. Digite ./photorec_static

IMAGEM: Do Autor

Utilizando o PhotoRec no terminal Linux

Com o programa aberto, escolha qual dos dispositivos você irá utilizar. Eu escolherei o Pendrive Kingston DataTraveler 2.0. Após escolher, digite Enter.

IMAGEM: Do Autor

Nesse momento, você deve escolher se quer vasculhar apenas uma partição, ou o disco todo. Escolherei No partition para vasculhar todo o pendrive. Digitar Enter com Search selecionado.

IMAGEM: Do Autor

O PhotoRec questionará você que tipo de sistema de arquivos está formatado seu dispositivo. No meu caso, está em NTFS. Selecionei Other e em seguida Enter.

IMAGEM: Do Autor

Nessa tela, você deve escolher em qual diretório irá salvar os arquivos que conseguir recuperar. Você pode escolher uma pasta de acordo com seu gosto. Em seguida, digite C.

IMAGEM: Do Autor

IMAGEM: Do Autor

Concluída a operação, você pode ir no diretório verificar os arquivos que conseguiu recuperar.

IMAGEM: Do Autor

Como a recuperação dos arquivos é feita pelo usuário root, os arquivos pertencem a ele. Antes de deixar de ser root, você deve mudar o proprietário, ou alterar as permissões de other(outros).

Espero que tenha gostado. Comente! Deixe seu like! E…

Até mais.

Avatar de Desconhecido

Publicado por Douglas Mendes

Formado em Redes de Computadores pela UNIP - Universidade Paulista e pós-graduado em Perícia Forense Computacional pela Universidade Cruzeiro do Sul.

Publicado

Um comentário em “COMO RECUPERAR ARQUIVOS DELETADOS DEFINITIVAMENTE DE UM COMPUTADOR OU OUTROS DISPOSITIVOS

  1. Pingback: GRAVAÇÃO DE ARQUIVOS E RECUPERAÇÃO DE DADOS (pt. 2) – ANÁLISE FORENSE – Douglas Mendes

Deixe um comentário