Como recuperar arquivos apagados no Debian usando o foremost
Dica publicada em Linux / Avançado
Como recuperar arquivos apagados no Debian usando o foremost
Vamos dar início a uma ótima ferramenta de recuperação de arquivos apagados: o Foremost.
Ele percorre discos/partições procurando todos os tipos de arquivos.
Essa ferramenta procura os arquivos por patterns. Por exemplo: Os arquivos .jpg iniciam com "FF D8 FF".
O uso dessa ferramenta é bastante simples e eficiente.
Instalando:
# apt-get install foremost
Procurando todos os arquivos no /dev/sda1:
# foremost -Tq /dev/sda1
Procurando algum tipo específico:
# foremost -Tq avi /dev/sda1
Os comandos:
Os tipos de arquivos reconhecidos pelo Foremost:
Ele percorre discos/partições procurando todos os tipos de arquivos.
Essa ferramenta procura os arquivos por patterns. Por exemplo: Os arquivos .jpg iniciam com "FF D8 FF".
O uso dessa ferramenta é bastante simples e eficiente.
Instalando:
# apt-get install foremost
Procurando todos os arquivos no /dev/sda1:
# foremost -Tq /dev/sda1
Procurando algum tipo específico:
# foremost -Tq avi /dev/sda1
Os comandos:
- -T - cria um diretório chamado output, com a data e hora da geração do mesmo, dentro desse diretório que os arquivos são acoplados.
- q - ele faz a varredura mais rápida, sem se importar com arquivos que estejam dentro de outro. Exemplo: uma imagem em um documento de texto OpenOffice Writer.
Os tipos de arquivos reconhecidos pelo Foremost:
- JPG
- GIF
- PNG
- AVI
- EXE
- MPG
- WAV
- RIFF
- WMV
- MOV
- ZIP
- RAR
- HTM
- CPP
Segue comentário apenas com o intuito de contribuir.
Qualquer dispositivo formatado basicamente tem apenas as tabelas de indexação (Ex: $MFT, Tabela FAT dentro outras) dos arquivos apagadas. Os arquivos realmente não são apagados.
Imagine um disco como um livro, que possui o índice que identifica em quais páginas estão os capítulos, títulos e sub-títulos. Os dispositivos de armazenamento de dados, possuem algo muito parecido, conhecido como tabela de indexação.
Quando formatamos ou simplesmente excluímos os arquivos o que é efetivamente apagado é esta tabela, ou seja, os arquivos reais continuam existindo no dispositivo até serem regravados por outros arquivos. A única forma de apagar realmente os arquivos para que os mesmos não possam ser recuperados é utilizar softwares que implementam o conceito de Computer Wipe, Zero Fill ou técnicas similares para sobrescrever o conteúdo do arquivo original com um conteúdo aleatório de bits, procedimento este, que por padrão não é realizado nos processos de formatação e deleção de arquivos pelo sistema operacional, uma vez que o mesmo é um procedimento que leva algum tempo para ser realizado.
Desta forma, é possível utilizar ferramentas específicas para realizar uma varredura em cada cluster/setor do disco para identificar possíveis arquivos conhecidos.
Existem várias ferramentas até gratuitas para recuperação de fotos e arquivos mais comuns, mas nada se compara com ferramentas profissionais de recuperação de dados como PC-3000 e MRT LAB, que possuem um banco de dados de assinatura de diversos tipos de arquivos o que aumenta significativamente as chances de recuperação dos dados.
Para os casos mais graves como problemas no circuito lógico ou falhas na cabeça de leitura e gravação, caso não possua conhecimento e ferramentas especializadas, recomendo sempre a busca de uma empresa especializada no assunto. Estas empresas investem muito em conhecimento e soluções profissionais e podem aumentar significativamente as chances de recuperação de dados.
Dependendo do tipo de problema, como HDs com barulhos anormais, não insista em tentar recuperar se não possuir conhecimento necessário, pois isto pode agravar o problema inviabilizando a recuperação dos dados.
www.slackspace.com.br (Recuperação de Dados e Perícia Computacional)