Recuperação de arquivos com dd e foremost

Publicado por Alexandre Prates em 11/01/2010

[ Hits: 75.703 ]

Blog: http://pratesdicas.wordpress.com

3 0

Denuncie Favoritos Indicar Impressora

Recuperação de arquivos com dd e foremost

Esta dica mostra o processo de recuperação de arquivos no Linux usando o dd e foremost. Está disponível em meu blog: http://www.pratesdicas.wordpress.com

O comando dd é nativo na maior parte dos sistemas derivados de Unix. Um dos principais usos para esse comando é criação de uma imagem a partir de um disco. Esse procedimento é muito usado em computação forense.

Foremost - ferramenta de recuperação de dados open source disponível em: http://foremost.sourceforge.net/

Trata-se de uma ferramenta em modo texto, desenvolvida inicialmente pelas Forças Armadas dos Estados Unidos, que trabalha com recuperação de arquivos a partir de imagens de discos (criadas pelo dd).

Instalando as ferramentas

Para instalar o Foremost no Ubuntu Linux:

# apt-get install foremost

Para instalar no Fedora Linux:

# yum install foremost

Ou baixe o código fonte e compile:

tar zxvf foremost-xx.tar.gz
$ cd foremost-xx
$ make
$ make install

Criando uma imagem com o dd

O primeiro passo antes de usar o Foremost é criar uma imagem do disco com o comando dd.

A forma mais genérica é:

# dd if=arquivo_origem of=arquivo_destino

Onde:

if (Input File)- localização do disco que sera gerada a imagem. Exemplo: /dev/sda
of (Output File) - destino da imagem gerada. Geralmente é recomendado o uso das extensões .raw ou aff, por serem padrão para as ferramentas de perícia forense.

Usando o foremost para recuperação de arquivos

Uma vez com a imagem criada, basta usar o Foremost para recuperar os arquivos contidos na imagem.

A forma geral de uso do foremost é:

# foremost -i arquivo_de_entrada -o diretório_de_saída

No diretório de saída ele cria uma pasta para cada extensão de arquivo recuperado.

Uma desvantagem da recuperação de arquivo é que os arquivos voltam com outros nomes.

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Fórum Lazarus

Como conquistar a LPI 1

Conheça as novidades do Gnome 3.20

Instalando o emulador (client) de Mainframes zOS (IBM) no Debian Lenny

Alterando o tema do KDM (KDM Theme Manager)

Comentários

[1] Comentário enviado por VonNaturAustreVe em 13/01/2010 - 13:47h

como assim com outros nomes?

[]'s

0 0

[2] Comentário enviado por allen.konstanz em 27/09/2010 - 15:51h

Já que existem esses programas que recuperam arquivos deletados, como seria possível fazer uma formatação que deletesse os arquivos de uma vez por todas?

Att.

0 0

[3] Comentário enviado por rafael.klock em 24/05/2011 - 09:16h

Se voce tem algum arquivo que por motivo voce quer que seja apagado definitivamente é só apaga-lo com o wipe. Esse aplicativo escreve valores aleatorios no espaço que o arquivo que voce quer apagar 30 vezes, logo é praticamente impossivel se recuperar essa informação.

1 0

[4] Comentário enviado por alanneo em 01/12/2011 - 10:10h

Eu deletei sem querer uma pasta importante da minha area de trabalho pelo file zilla, é possível recuperar? Ela continha somente arquivos de texto com algumas informações que uso no dia a dia.

0 0

[5] Comentário enviado por rplaurindo em 18/02/2012 - 18:45h

E se eu não souber o nome do arquivo?

2 0

[6] Comentário enviado por cassiomurilo em 31/08/2015 - 19:42h

Eu usei o comando:
sudo foremost -t all -i /dev/sda2 -T

Porem gostaria de buscar arquivos .vym e parece que ele só aceita busca extensões genericas, é isso mesmo?

0 0