Pagina inicial » como » Recuperar dados como um perito forense usando um Live CD do Ubuntu

    Recuperar dados como um perito forense usando um Live CD do Ubuntu

    Existem muitos utilitários para recuperar arquivos apagados, mas e se você não puder inicializar o seu computador ou se a unidade inteira tiver sido formatada? Mostraremos algumas ferramentas que irão aprofundar e recuperar os arquivos excluídos mais ilusórios, ou até mesmo partições inteiras de disco rígido.

    Nós mostramos a você maneiras simples de recuperar arquivos apagados acidentalmente, até mesmo um método simples que pode ser feito a partir de um Live CD do Ubuntu, mas para discos rígidos que foram fortemente corrompidos, esses métodos não vão cortá-lo. Neste artigo, examinaremos quatro ferramentas que podem recuperar dados dos discos rígidos mais danificados, independentemente de terem sido formatados para um computador Windows, Linux ou Mac, ou mesmo se a tabela de partição for eliminada completamente.

    Nota: Essas ferramentas não podem recuperar dados que foram sobrescritos em um disco rígido. Se um arquivo excluído foi substituído depende de muitos fatores - quanto mais rápido você perceber que deseja recuperar um arquivo, maior a probabilidade de ser capaz de fazer isso.

    Nossa configuração

    Para mostrar essas ferramentas, configuramos um pequeno disco rígido de 1 GB, com metade do espaço particionado como ext2, um sistema de arquivos usado no Linux e metade do espaço particionado como FAT32, um sistema de arquivos usado em sistemas Windows mais antigos. Nós armazenamos dez imagens aleatórias em cada disco rígido.

    Em seguida, limpamos a tabela de partições do disco rígido, excluindo as partições no GParted.

    Nossos dados são perdidos para sempre??

    Instalando as ferramentas

    Todas as ferramentas que vamos usar estão no Ubuntu universo repositório.

    Para ativar o repositório, abra o Gerenciador de Pacotes Synaptic clicando em Sistema no canto superior esquerdo e, em seguida, em Administração> Gerenciador de Pacotes Synaptic..

    Clique em Configurações> Repositórios e adicione uma marca na caixa “Software de código aberto mantido pela comunidade (universo)”.

    Clique em Fechar e, na janela principal do Gerenciador de Pacotes Synaptic, clique no botão Recarregar. Depois que a lista de pacotes for recarregada e o índice de pesquisa for reconstruído, pesquise e marque para instalação um ou todos os seguintes pacotes: testdisk, acima de tudo, e bisturi.

    Teste de disco inclui o TestDisk, que pode recuperar partições perdidas e reparar setores de inicialização, e o PhotoRec, que pode recuperar muitos tipos diferentes de arquivos de vários sistemas de arquivos diferentes.

    Acima de tudo, originalmente desenvolvido pelo Escritório de Investigações Especiais da Força Aérea dos EUA, recupera arquivos com base em seus cabeçalhos e outras estruturas internas. Acima de tudo opera em discos rígidos ou arquivos de imagem de unidade gerados por várias ferramentas.

    Finalmente, bisturi executa as mesmas funções como acima de tudo, mas está focado em desempenho aprimorado e menor uso de memória. Bisturi pode funcionar melhor se você tiver uma máquina mais antiga com menos RAM.

    Recuperar partições do disco rígido

    Se você não conseguir montar seu disco rígido, sua tabela de partições poderá estar corrompida. Antes de começar a tentar recuperar seus arquivos importantes, pode ser possível recuperar uma ou mais partições em sua unidade, recuperando todos os seus arquivos com uma única etapa..

    Teste de disco é a ferramenta para o trabalho. Comece abrindo um terminal (Aplicativos> Acessórios> Terminal) e digitando:

    teste de sudo

    Se desejar, você pode criar um arquivo de registro, embora isso não afete a quantidade de dados que você recupera. Depois de fazer sua escolha, você é recebido com uma lista da mídia de armazenamento em sua máquina. Você deve ser capaz de identificar o disco rígido do qual deseja recuperar as partições pelo seu tamanho e rótulo.

    TestDisk pede que você selecione o tipo de tabela de partição para procurar. Na maioria dos casos (ext2 / 3, NTFS, FAT32, etc.) você deve selecionar Intel e pressionar Enter.

    Destaque Analisar e pressione enter.

    No nosso caso, nosso pequeno disco rígido já foi formatado como NTFS. Surpreendentemente, o TestDisk encontra essa partição, embora seja incapaz de recuperá-la.

    Ele também encontra as duas partições que acabamos de deletar. Somos capazes de mudar seus atributos ou adicionar mais partições, mas vamos apenas recuperá-los pressionando Enter.

    Se o TestDisk não encontrar todas as suas partições, você pode tentar fazer uma pesquisa mais profunda selecionando essa opção com as teclas de seta para a esquerda e para a direita. Nós só temos essas duas partições, então vamos recuperá-las selecionando Write e pressionando Enter.

    Testdisk nos informa que teremos que reiniciar.

    Nota: Se o seu Ubuntu Live CD não é persistente, então quando você reiniciar, você terá que reinstalar quaisquer ferramentas que você instalou anteriormente.

    Depois de reiniciar, ambas as partições estão de volta aos seus estados originais, imagens e todos.

    Recuperar arquivos de certos tipos

    Para os exemplos a seguir, excluímos as 10 imagens de ambas as partições e as reformatamos.

    PhotoRec

    Das três ferramentas que mostraremos, PhotoRec é o mais fácil de usar, apesar de ser um utilitário baseado em console. Para começar a recuperar arquivos, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:

    sudo photorec

    Para começar, você é solicitado a selecionar um dispositivo de armazenamento para pesquisar. Você deve ser capaz de identificar o dispositivo certo pelo tamanho e pelo rótulo. Selecione o dispositivo correto e pressione Enter.

    PhotoRec pede que você selecione o tipo de partição para pesquisar. Na maioria dos casos (ext2 / 3, NTFS, FAT, etc.) você deve selecionar Intel e pressionar Enter.

    Você recebe uma lista das partições no seu disco rígido selecionado. Se você deseja recuperar todos os arquivos em uma partição, selecione Pesquisar e pressione Enter..

    No entanto, este processo pode ser muito lento e, no nosso caso, queremos apenas procurar por arquivos de imagens, então, em vez disso, usamos a tecla de seta para a direita para selecionar File Opt e pressione Enter..

    O PhotoRec pode recuperar muitos tipos diferentes de arquivos, e desmarcar cada um deles levaria muito tempo. Em vez disso, pressionamos "s" para limpar todas as seleções e, em seguida, encontrar os tipos de arquivo apropriados - jpg, gif e png - e selecioná-los pressionando a tecla de seta para a direita.

    Depois de selecionarmos esses três, pressionaremos "b" para salvar essas seleções.

    Pressione enter para retornar à lista de partições do disco rígido. Queremos pesquisar em ambas as nossas partições, por isso, destacamos "Nenhuma partição" e "Pesquisar" e, em seguida, pressione Enter.

    PhotoRec solicita um local para armazenar os arquivos recuperados. Se você tem um disco rígido saudável diferente, recomendamos armazenar os arquivos recuperados lá. Como não estamos nos recuperando muito, vamos armazená-lo na área de trabalho do Live CD do Ubuntu.

    Nota: Não recupere arquivos no disco rígido do qual você está se recuperando.

    PhotoRec é capaz de recuperar as 20 fotos das partições no nosso disco rígido!

    Uma rápida olhada no diretório recup_dir.1 que ele cria confirma que o PhotoRec recuperou todas as nossas imagens, exceto pelos nomes dos arquivos..

    Acima de tudo

    O mais importante é um programa de linha de comando sem interface interativa como o PhotoRec, mas oferece várias opções de linha de comando para obter o máximo possível de dados do seu disco rígido..

    Para obter uma lista completa de opções que podem ser ajustadas por meio da linha de comando, abra um terminal (Aplicativos> Acessórios> Terminal) e digite:

    primeiro -h

    No nosso caso, as opções de linha de comando que vamos usar são:

    • -t, uma lista separada por vírgula dos tipos de arquivos a serem pesquisados. No nosso caso, isso é "jpeg, png, gif".
    • -v, habilitando o modo verboso, nos dando mais informações sobre o que está fazendo.
    • -o, a pasta de saída para armazenar os arquivos recuperados. No nosso caso, criamos um diretório chamado “first” na área de trabalho.
    • -Eu, a entrada que será procurada por arquivos. Esta pode ser uma imagem de disco em vários formatos diferentes; no entanto, vamos usar um disco rígido, / dev / sda.

    Nossa principal invocação é:

    sudo primeiro -t jpeg, png, gif -o primeiro -v -i / dev / sda

    Sua invocação será diferente dependendo do que você está procurando e de onde você está procurando.

    Acima de tudo é capaz de recuperar 17 dos 20 arquivos armazenados no disco rígido.

    Olhando para os arquivos, podemos confirmar que esses arquivos foram recuperados relativamente bem, embora possamos ver alguns erros na miniatura para 00622449.jpg.

    Parte disso pode ser devido ao sistema de arquivos ext2. Acima de tudo recomenda usar a opção de linha de comando -d para sistemas de arquivos Linux como ext2.

    Vamos correr mais uma vez, adicionando a opção de linha de comando -d à nossa primeira chamada:

    sudo acima de tudo -t jpeg, png, gif -d -o primeiro -v -i / dev / sda

    Desta vez, acima de tudo, é capaz de recuperar todas as 20 imagens!

    Um último olhar para as fotos revela que as fotos foram recuperadas sem problemas.

    Bisturi

    O bisturi é outro programa poderoso que, como o Foremost, é altamente configurável. Ao contrário de tudo, o bisturi exige que você edite um arquivo de configuração antes de tentar qualquer recuperação de dados.

    Qualquer editor de texto serve, mas usaremos o gedit para alterar o arquivo de configuração. Em uma janela de terminal (Aplicativos> Acessórios> Terminal), digite:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf contém informações sobre diversos tipos de arquivos. Percorra este arquivo e descomente as linhas que começam com um tipo de arquivo que você deseja recuperar (por exemplo, remova o caractere “#” no início dessas linhas).

    Salve o arquivo e feche-o. Retornar para a janela do terminal.

    O bisturi também tem uma tonelada de opções de linha de comando que podem ajudá-lo a pesquisar com rapidez e eficiência; no entanto, vamos apenas definir o dispositivo de entrada (/ dev / sda) e a pasta de saída (uma pasta chamada “bisturi” que criamos na área de trabalho).

    Nossa invocação é:

    bisturi sudo / dev / sda -o bisturi

    Bisturi é capaz de recuperar 18 dos nossos 20 arquivos.

    Uma rápida olhada no bisturi de arquivos recuperado revela que a maioria dos nossos arquivos foram recuperados com sucesso, embora houvesse alguns problemas (por exemplo, 00000012.jpg).

    Conclusão

    No nosso exemplo de brinquedo rápido, o TestDisk conseguiu recuperar duas partições excluídas, e o PhotoRec e o Foremost puderam recuperar todas as 20 imagens excluídas. O bisturi recuperou a maioria dos arquivos, mas é muito provável que brincar com as opções de linha de comando para bisturi nos permitisse recuperar todas as 20 imagens.

    Essas ferramentas são salva-vidas quando algo dá errado com o seu disco rígido. Se seus dados estão no disco rígido em algum lugar, então uma dessas ferramentas irá rastreá-lo!

    Recuperar arquivos com cópias de sombra em qualquer versão do Windows Vista
    Recuperar Dados de Formulários Perdidos no Firefox
    Grave vídeos da sua área de trabalho em qualquer sistema operacional gratuitamente
    Artigo seguinte
    Recuperar arquivos apagados em um disco rígido NTFS de um Live CD do Ubuntu
    Artigo anterior
    Grave suas sessões de linha de comando com o Asciinema