Como recuperar arquivos apagados no Debian usando o foremost

Publicado por Patrick Silva em 07/07/2015

[ Hits: 12.518 ]

2 0

Denuncie Favoritos Indicar Impressora

Como recuperar arquivos apagados no Debian usando o foremost

Vamos dar início a uma ótima ferramenta de recuperação de arquivos apagados: o Foremost.

Ele percorre discos/partições procurando todos os tipos de arquivos.

Essa ferramenta procura os arquivos por patterns. Por exemplo: Os arquivos .jpg iniciam com "FF D8 FF".

O uso dessa ferramenta é bastante simples e eficiente.

Instalando:

# apt-get install foremost

Procurando todos os arquivos no /dev/sda1:

# foremost -Tq /dev/sda1

Procurando algum tipo específico:

# foremost -Tq avi /dev/sda1

Os comandos:

-T - cria um diretório chamado output, com a data e hora da geração do mesmo, dentro desse diretório que os arquivos são acoplados.
q - ele faz a varredura mais rápida, sem se importar com arquivos que estejam dentro de outro. Exemplo: uma imagem em um documento de texto OpenOffice Writer.

Os tipos de arquivos reconhecidos pelo Foremost:

JPG
GIF
PNG
AVI
EXE
MPG
WAV
RIFF
WMV
MOV
PDF
ZIP
RAR
HTM
CPP

Outras dicas deste autor

Recuperar a senha de root no Debian alterando o arquivo shadow

Fazendo backup do MBR com dd (setor de boot)

O empacotador cpio

tar - Entenda o que é empacotador e compactador

Como alterar a imagem de fundo do GRUB no Debian

Leitura recomendada

PuTTY Connection Manager

Como atualizar o kernel do Debian 12 para um mais novo

Transferindo arquivos do Windows para Linux

Cisco - Reload, um comando simples que pode salvar sua vida

Instalando o Linux num pen drive

Comentários

[1] Comentário enviado por rogeriofreitas em 03/08/2017 - 15:11h

Ótimo Post Parabéns.
Segue comentário apenas com o intuito de contribuir.

Qualquer dispositivo formatado basicamente tem apenas as tabelas de indexação (Ex: $MFT, Tabela FAT dentro outras) dos arquivos apagadas. Os arquivos realmente não são apagados.

Imagine um disco como um livro, que possui o índice que identifica em quais páginas estão os capítulos, títulos e sub-títulos. Os dispositivos de armazenamento de dados, possuem algo muito parecido, conhecido como tabela de indexação.

Quando formatamos ou simplesmente excluímos os arquivos o que é efetivamente apagado é esta tabela, ou seja, os arquivos reais continuam existindo no dispositivo até serem regravados por outros arquivos. A única forma de apagar realmente os arquivos para que os mesmos não possam ser recuperados é utilizar softwares que implementam o conceito de Computer Wipe, Zero Fill ou técnicas similares para sobrescrever o conteúdo do arquivo original com um conteúdo aleatório de bits, procedimento este, que por padrão não é realizado nos processos de formatação e deleção de arquivos pelo sistema operacional, uma vez que o mesmo é um procedimento que leva algum tempo para ser realizado.

Desta forma, é possível utilizar ferramentas específicas para realizar uma varredura em cada cluster/setor do disco para identificar possíveis arquivos conhecidos.

Existem várias ferramentas até gratuitas para recuperação de fotos e arquivos mais comuns, mas nada se compara com ferramentas profissionais de recuperação de dados como PC-3000 e MRT LAB, que possuem um banco de dados de assinatura de diversos tipos de arquivos o que aumenta significativamente as chances de recuperação dos dados.

Para os casos mais graves como problemas no circuito lógico ou falhas na cabeça de leitura e gravação, caso não possua conhecimento e ferramentas especializadas, recomendo sempre a busca de uma empresa especializada no assunto. Estas empresas investem muito em conhecimento e soluções profissionais e podem aumentar significativamente as chances de recuperação de dados.

Dependendo do tipo de problema, como HDs com barulhos anormais, não insista em tentar recuperar se não possuir conhecimento necessário, pois isto pode agravar o problema inviabilizando a recuperação dos dados.

www.slackspace.com.br (Recuperação de Dados e Perícia Computacional)

2 0