Como recuperar dados de uma partição

Nunca havia usado ferramenta alguma de recuperação de dados, e quando via alguém comentar sobre esse assunto, pensava em como resolver este problema Fui e encontrei um artigo interessante sobre isso no VOL sobre uma ferramenta chamada foremost que e uma aplicação de linha de comando para recuperação de dados que foi desenvolvida originalmente pelos agentes Jesse Kornblum e Kris Kendall quando serviam no Air Force Office of Special Investigations.
Um detalhe que achei interessante do Foremost, de acordo com o forensicswiki.org, é que ele é limitado a processar arquivos de no máximo 2GB.

Seu uso é bastante simples e possui poucos parâmetros, o man do foremost pode ser visto neste link.
Logo abaixo vou explicar rapidamente como usar a ferramenta.

Primeiramente você precisa criar uma imagem da partição, para isso você pode usar o comando dd, que já é nativo no linux, como segue abaixo:

dd if=/dev/XXX of=YYY

  • XXX é a partição que você deseja criar aq imagem;
  • YYY é o arquivo da imagem que pelo que encontrei na net podem ser no formato .dd , .raw ou .aff .

Depois de criada a imagem, partindo do principio que o foremost já está instalado, execute-o como mostrado abaixo:

foremost -i AAA -o BBB

  • AAA é o endereço do arquivo cópia da partição;
  • BBB é o endereço do diretório que o foremost vai armazenar os arquivos recuperados.

Após o fim da execução do programa, você terá no diretório BBB diversas pastas tituladas com os formatos dos arquivos que ele conseguiu recuperar. Um detalhe a citar, é que quando recuperados, eles não vem com o nome original do arquivo.

Testei este programa baixando o source no slackbuild em um computador com o slackware 13.0 64 bits.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s