Como recuperar arquivos apagados no Debian usando o foremost

Publicado por Patrick Silva em 07/07/2015

[ Hits: 12.394 ]

2 0

Denuncie Favoritos Indicar Impressora

Como recuperar arquivos apagados no Debian usando o foremost

Vamos dar início a uma ótima ferramenta de recuperação de arquivos apagados: o Foremost.

Ele percorre discos/partições procurando todos os tipos de arquivos.

Essa ferramenta procura os arquivos por patterns. Por exemplo: Os arquivos .jpg iniciam com "FF D8 FF".

O uso dessa ferramenta é bastante simples e eficiente.

Instalando:

# apt-get install foremost

Procurando todos os arquivos no /dev/sda1:

# foremost -Tq /dev/sda1

Procurando algum tipo específico:

# foremost -Tq avi /dev/sda1

Os comandos:

-T - cria um diretório chamado output, com a data e hora da geração do mesmo, dentro desse diretório que os arquivos são acoplados.
q - ele faz a varredura mais rápida, sem se importar com arquivos que estejam dentro de outro. Exemplo: uma imagem em um documento de texto OpenOffice Writer.

Os tipos de arquivos reconhecidos pelo Foremost:

JPG
GIF
PNG
AVI
EXE
MPG
WAV
RIFF
WMV
MOV
PDF
ZIP
RAR
HTM
CPP

Outras dicas deste autor

Gerenciar pacotes em baixo nível no Debian

Recuperar a senha de root no Debian alterando o arquivo shadow

tar - Entenda o que é empacotador e compactador

Como alterar a imagem de fundo do GRUB no Debian

Como verificar erro de senha dos usuários

Leitura recomendada

Chmod sem mistérios

Recuperando a senha de root de forma simples e rápida

Slackware + Gentoo - Dual-boot sem live-CD/USB

Dois ambientes gráficos no mesmo Linux

Definindo Yaourt como "pacman2"

Comentários

[1] Comentário enviado por rogeriofreitas em 03/08/2017 - 15:11h

Ótimo Post Parabéns.
Segue comentário apenas com o intuito de contribuir.

Qualquer dispositivo formatado basicamente tem apenas as tabelas de indexação (Ex: $MFT, Tabela FAT dentro outras) dos arquivos apagadas. Os arquivos realmente não são apagados.

Imagine um disco como um livro, que possui o índice que identifica em quais páginas estão os capítulos, títulos e sub-títulos. Os dispositivos de armazenamento de dados, possuem algo muito parecido, conhecido como tabela de indexação.

Quando formatamos ou simplesmente excluímos os arquivos o que é efetivamente apagado é esta tabela, ou seja, os arquivos reais continuam existindo no dispositivo até serem regravados por outros arquivos. A única forma de apagar realmente os arquivos para que os mesmos não possam ser recuperados é utilizar softwares que implementam o conceito de Computer Wipe, Zero Fill ou técnicas similares para sobrescrever o conteúdo do arquivo original com um conteúdo aleatório de bits, procedimento este, que por padrão não é realizado nos processos de formatação e deleção de arquivos pelo sistema operacional, uma vez que o mesmo é um procedimento que leva algum tempo para ser realizado.

Desta forma, é possível utilizar ferramentas específicas para realizar uma varredura em cada cluster/setor do disco para identificar possíveis arquivos conhecidos.

Existem várias ferramentas até gratuitas para recuperação de fotos e arquivos mais comuns, mas nada se compara com ferramentas profissionais de recuperação de dados como PC-3000 e MRT LAB, que possuem um banco de dados de assinatura de diversos tipos de arquivos o que aumenta significativamente as chances de recuperação dos dados.

Para os casos mais graves como problemas no circuito lógico ou falhas na cabeça de leitura e gravação, caso não possua conhecimento e ferramentas especializadas, recomendo sempre a busca de uma empresa especializada no assunto. Estas empresas investem muito em conhecimento e soluções profissionais e podem aumentar significativamente as chances de recuperação de dados.

Dependendo do tipo de problema, como HDs com barulhos anormais, não insista em tentar recuperar se não possuir conhecimento necessário, pois isto pode agravar o problema inviabilizando a recuperação dos dados.

www.slackspace.com.br (Recuperação de Dados e Perícia Computacional)

2 0