Data Recovery em dispositivos e partições formatadas com Linux

Recuperação de dados de HDs, mídias removíveis e partições corrompidas e formatadas com ferramentas Forense no Linux. Neste artigo estarei realizando exemplos práticos de recuperação de dados que podem ser aplicados em HDs, pendrives, cartões SD e até partições corrompidas e formatadas, e nela estarei utilizando duas aplicações forense. Nos exemplos estarei utilizando a distribuição Kali Linux, mas eles poderão ser reproduzidos em qualquer ambiente.

[ Hits: 8.366 ]

Por: Matheus Fidelis em 15/09/2015 | Blog: http://www.nanoshots.com.br/


Aplicações Forense



Foremost

O Foremost é um programa para recuperação de dados que trabalha a partir dos headers, rodapés e locações nas tabelas de armazenamento internas das mídias. Ele é utilizado para extração e mineração de dados, processo mais conhecido como Data Carving. Além de vasculhar as tabelas FAT, NTFS, ele pode vasculhar filesystems como ext3, ext4 etc, além de conseguir fazer a mineração diretamente em imagens geradas pelo dd.

Scapel

O Scapel, assim como o Foremost, é utilizado para mineração de dados, e pode ser utilizado tanto para análise forense quanto pra recuperação de arquivos. Ele lê bancos de dados de cabeçalhos e é capaz de fazer a extração.

Utilizando o Foremost

Vamos utilizar o Foremost para fazer a recuperação de dados em um pendrive que foi formatado, fazendo com que ele perdesse grande quantidade de informações armazenadas.

Primeiro vamos identificar o dispositivo de mídia inserido:

# fdisk -l

No caso a mídia removível que eu quero realizar a mineração de dados é a /dev/sdc1. Então vamos criar um diretório para subir o backup dos arquivos resgatados. Lembrando é bom analisar bem a partição ou mídia que você está tentando resgatar.

A sintaxe é simples:

# foremost -t TIPOS -v -i /CAMINHODODISPOSITIVO/ -o /DIRETÓRIO/OUTPUT

Vamos testar:

Vamos criar o diretório output:

# mkdir /root/data-backup

Agora vamos realizar a varredura:

# foremost -t all -v -i /dev/sdc1 -o /root/data-backup
Linux: Data Recovery em dispositivos e partições formatadas com Linux
Linux: Data Recovery em dispositivos e partições formatadas com Linux
O Foremost irá realizar a varredura em todos os headers das tabelas do dispositivo e criar pastas no diretório de output armazenando elas por tipo.

Vamos entender melhor o que a gente fez?

# foremost -t all -v -i /dev/sdc1 -o /root/data-backup
  • "-t" é o parâmetro que usamos para identificar as extensões dos arquivos que queremos recuperar. No exemplo eu usei o parâmetro all para recuperar todas as extensões existentes, mas dá pra gente ser mais específico utilizando "foremost -t jpg,pdf" etc.
  • "-v" é o parâmetro que utilizamos para ativar o modo verbose, para o programa jogar as informações na tela enquanto roda.
  • "-i" é o dispositivo de origem, ou seja, o dispositivo ou partição que iremos recuperar.
  • "-o" especifica o diretório output da pesquisa, onde o foremost irá jogar todo o resultado.

Utilizando o Scalpel

O Scalpel, assim como o Foremost, pode fazer uma checagem completa na partição ou dispositivo e recuperar bastante coisa. Diferente do Foremost, você deverá identificar as extensões dos arquivos a serem recuperados dentro do arquivo de configuração do Scalpel, o /etc/scalpel/scalpel.conf. Normalmente todas as extensões vem comentadas, então será necessário acessar o arquivo e descomentar sempre que for realizar o data minning.

# vi /etc/scalpel/scalpel.conf

Para o exemplo eu vou descomentar as linhas referentes as imagens GIF, JPG, PNG e BPM para o teste.

Feito isso, vamos verificar em qual partição ou dispositivo iremos realizar a mineração de dados:

# fdisk -l

A unidade que eu vou efetuar a análise é a /dev/sdb, um pendrive que eu tenho aqui formatado em NTFS.

Vamos efetuar os testes, Hands On!

# mkdir recuperados
# scalpel /dev/sdb -o recuperados

O Scalpel irá fazer toda a varredura das tabelas procurando endereços em hexadecimal parecido com o das extensões que você atribuiu e irá jogar tudo no diretório "recuperados" que criamos anteriormente.

Após o término, ele vai salvar todo o output na pasta que você atribuiu como o output separados por extensão.

:)

Fonte:
   

Páginas do artigo
   1. Aplicações Forense
Outros artigos deste autor

Instalando o Zabbix 2.4.3 em ambientes CentOS/RHEL 7

Leitura recomendada

Tutorial de Instalação do ClamAV - Anti-vírus open Source

TinyOS

Melhorando a segurança do Firewall com Bridges usando Snort_Inline no Debian Etch

Instalando o antivírus BitDefender no Linux

Armitage: a nova interface gráfica do Metasploit

  
Comentários
[1] Comentário enviado por fabio em 15/09/2015 - 15:08h

Muito bom artigo! Favoritado.

[2] Comentário enviado por ssaleksandro em 15/09/2015 - 15:35h


É possível recuperar apenas alguns arquivos ou pastas ?

Eu tentei recuperar umas pastas mas as opções do programa só se referiam a partições inteiras (100GB cada) eu não tenho HD externo com esse espaço livre.

Parabéns pelo artigo.

[3] Comentário enviado por rootgerr em 15/09/2015 - 21:10h


[1] Comentário enviado por fabio em 15/09/2015 - 15:08h

Muito bom artigo! Favoritado.


plus 1

[4] Comentário enviado por Joker7 em 15/09/2015 - 21:21h


[3] Comentário enviado por rootgerr em 15/09/2015 - 21:10h


[1] Comentário enviado por fabio em 15/09/2015 - 15:08h

Muito bom artigo! Favoritado.

plus 1


plus 2

[5] Comentário enviado por Freud_Tux em 15/09/2015 - 21:58h

Ótimo artigo.

T+

[6] Comentário enviado por sacioz em 19/09/2015 - 18:17h

Vlw ! ^D procê ...tbm...

[7] Comentário enviado por manoel.junior em 22/09/2015 - 20:40h

Obrigado amigo!!! Eu testei como sua sugestão o Foremost e o Scapel, mas nenhum dos dois recuperaram efetivamente os dados, o único que realmente recuperou em uma taxa de 60% dos dados, foi o exundelete.

[8] Comentário enviado por henriquejne em 28/09/2015 - 01:34h

Bom artigo, brigado, compartilhei no face e twitter boa sorte...

[9] Comentário enviado por removido em 01/07/2017 - 23:11h


Foremost não funciona para arquivos específicos somente para arquivos genéricos.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts