Recuperação de arquivos com dd e foremost


Em outro post eu comentei sobre o CAINE, agora vou demostrar o uso de algumas ferramentas.

Para recuperação de arquivo perdidos, de qualquer tipo de partição (ext2. ext3, FAT, NTFS e etc), usei o comando dd ( nativo na maioria das distros Linux, e provavelmente nos demais sistemas derivados de Unix), e o foremost (ferramenta de analise forense disponivel para sistemas Unix).

Nesse post eu presumo que vc ja tenha instalado o foremost em seu sistema, mas por via das duvidas qualquer dia eu posso escrever um post detalhado sobre isso.

O primeiro passo para recuperar os dados de uma partição ou disco é criar uma imagem com o comando dd. Essa imagem é uma cópia exata do disco ou partição que será analizado.

O formato geral do comando dd é:

#dd if=arquivo_de_entrada of=arquivo_de_saida

Como nos sistemas derivados de Unix todas as entradas e saídas são tratadas como arquivos, logo é possivel copiar o conteúdo de um disco em outro, o conteúdo de uma imagem em um disco ou o inverso. Para criar a imagem coloque o endereço de onde ela será criada e use uma  extensão aff ou raw (pois são padrão para a maioria dos programas de analise forense).

Exemplo de uso de comando dd:

#dd if=/dev/sda1 of=/home/user/tmagem.raw

Lembrando que a criação da imagem pode demorar de acordo com o tamanho do disco analisado e que ao final a imagem fica com tamanho igual ao do disco analisado.

Após criar a imagem você pode usar o foremost para recuperar os dados contidos nela.

O formado geral é:

#foremost -i arquivo_de_entrada -o diretorio_de_saída

Em que o arquivo de entrada é a imagem do disco e a saída é o diretório que deseja que sejam salvos os dados.

Após o termino do processo abra o diretorio onde estão contido os dados e verifique os arquivos recuperados. A unica desvantagem do processo de recuperção é que os arquivos não retornam com os nome antigos.

Anúncios

Tags:, , , ,

About Alexandre Prates

Sou analista de sistemas, sou aluno do Bacharelado em Ciências da Computação na UFABC. Tenho interesse em finanças e computação.

One response to “Recuperação de arquivos com dd e foremost”

  1. Pedro Krin says :

    Hummm muito interessante, tentarei executar e recuperar dados de um cardSD. vlw pela dica. ainda melhor por exercitar comandos nos sistemas unix/linux. 😀

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: