Recuperação de arquivos com dd e foremost

Em outro post eu comentei sobre o CAINE, agora vou demostrar o uso de algumas ferramentas.

Para recuperação de arquivo perdidos, de qualquer tipo de partição (ext2. ext3, FAT, NTFS e etc), usei o comando dd ( nativo na maioria das distros Linux, e provavelmente nos demais sistemas derivados de Unix), e o foremost (ferramenta de analise forense disponivel para sistemas Unix).

Nesse post eu presumo que vc ja tenha instalado o foremost em seu sistema, mas por via das duvidas qualquer dia eu posso escrever um post detalhado sobre isso.

O primeiro passo para recuperar os dados de uma partição ou disco é criar uma imagem com o comando dd. Essa imagem é uma cópia exata do disco ou partição que será analizado.

O formato geral do comando dd é:

#dd if=arquivo_de_entrada of=arquivo_de_saida

Como nos sistemas derivados de Unix todas as entradas e saídas são tratadas como arquivos, logo é possivel copiar o conteúdo de um disco em outro, o conteúdo de uma imagem em um disco ou o inverso. Para criar a imagem coloque o endereço de onde ela será criada e use uma  extensão aff ou raw (pois são padrão para a maioria dos programas de analise forense).

Exemplo de uso de comando dd:

#dd if=/dev/sda1 of=/home/user/tmagem.raw

Lembrando que a criação da imagem pode demorar de acordo com o tamanho do disco analisado e que ao final a imagem fica com tamanho igual ao do disco analisado.

Após criar a imagem você pode usar o foremost para recuperar os dados contidos nela.

O formado geral é:

#foremost -i arquivo_de_entrada -o diretorio_de_saída

Em que o arquivo de entrada é a imagem do disco e a saída é o diretório que deseja que sejam salvos os dados.

Após o termino do processo abra o diretorio onde estão contido os dados e verifique os arquivos recuperados. A unica desvantagem do processo de recuperção é que os arquivos não retornam com os nome antigos.