Esta dica mostra o processo de recuperação de arquivos no Linux usando o dd e foremost. Está disponível em meu blog: http://www.pratesdicas.wordpress.com

O comando dd é nativo na maior parte dos sistemas derivados de Unix. Um dos principais usos para esse comando é criação de uma imagem a partir de um disco. Esse procedimento é muito usado em computação forense.

Foremost - ferramenta de recuperação de dados open source disponível em: http://foremost.sourceforge.net/

Trata-se de uma ferramenta em modo texto, desenvolvida inicialmente pelas Forças Armadas dos Estados Unidos, que trabalha com recuperação de arquivos a partir de imagens de discos (criadas pelo dd).

Instalando as ferramentas

Para instalar o Foremost no Ubuntu Linux:

# apt-get install foremost

Para instalar no Fedora Linux:

# yum install foremost

Ou baixe o código fonte e compile:

tar zxvf foremost-xx.tar.gz
$ cd foremost-xx
$ make
$ make install

Criando uma imagem com o dd

O primeiro passo antes de usar o Foremost é criar uma imagem do disco com o comando dd.

A forma mais genérica é:

# dd if=arquivo_origem of=arquivo_destino

Onde:

• if (Input File)- localização do disco que sera gerada a imagem. Exemplo: /dev/sda
• of (Output File) - destino da imagem gerada. Geralmente é recomendado o uso das extensões .raw ou aff, por serem padrão para as ferramentas de perícia forense.

Usando o foremost para recuperação de arquivos

Uma vez com a imagem criada, basta usar o Foremost para recuperar os arquivos contidos na imagem.

A forma geral de uso do foremost é:

# foremost -i arquivo_de_entrada -o diretório_de_saída

No diretório de saída ele cria uma pasta para cada extensão de arquivo recuperado.

Uma desvantagem da recuperação de arquivo é que os arquivos voltam com outros nomes.