Técnicas de recuperação de arquivos apagados. Flashcards
Métodos de Recuperação de arquivos:
🔹 Lixeira do Sistema: Primeira tentativa – arquivos podem ser restaurados diretamente.
🔹 Recuperação por Softwares: Programas especializados podem reconstruir os dados apagados. Exemplos: Recuva, EaseUS Data Recovery, R-Studio.
🔹 Restauração de Backup: Se houver backup prévio, basta restaurar a versão anterior.
🔹 Shadow Copy/Versões Anteriores: O Windows pode manter cópias antigas dos arquivos.
🔹 Recuperação Forense: Ferramentas avançadas permitem recuperar dados mesmo após formatação.
Principais Softwares de Recuperação de arquivos
📂 Recuva – Gratuito e fácil de usar para arquivos deletados.
📂 EaseUS Data Recovery – Suporta HDs, SSDs, cartões de memória.
📂 R-Studio – Recuperação avançada, usada para perícia digital.
📂 TestDisk & PhotoRec – Recuperação em partições e arquivos multimídia.
Quais são os fatores que afetam a recuperação de arquivos?
⚠ Tempo desde a exclusão – Quanto mais cedo a tentativa, maior a chance de sucesso.
⚠ Uso contínuo do disco – Novos arquivos podem sobrescrever os antigos.
⚠ Tipo de sistema de arquivos – NTFS e FAT32 possuem formas diferentes de armazenar e excluir dados.
⚠ Danos físicos ao disco – Se o HD/SSD estiver danificado, a recuperação pode ser difícil.
Recuperação em SSDs vs. HDDs
💾 HDDs – Arquivos apagados podem ser recuperados até serem sobrescritos.
⚡ SSDs – O TRIM pode apagar dados permanentemente, dificultando a recuperação.
Software de recuperação de arquivos - FTK Imager:
Software gratuito, distribuído pela AccessData, cuja principal função é gerar cópias forenses (E01, AD1, Cópia de registros e de memória RAM). Além disso, ele permite navegar de forma estruturada dentro de uma imagem forense sem alterá-la, criar imagens personalizadas, gerar lista de hashes etc.
Software de recuperação de arquivos - Recuva:
Software gratuito, distribuído pela Piriform, cuja principal função é a recuperação de arquivos apagados. Ele utiliza o índice do sistema de arquivos para recuperar arquivos apagados e também executa data carver, mas neste aspecto ele não é muito eficiente quando comparado ao Foremost.
A recuperação com base em índice de sistemas de arquivos, comumente chamada de File Recovery, parte do princípio de que a maioria dos sistemas operacionais mantém, após a exclusão de um arquivo, registros sobre a posição inicial e o tamanho desse arquivo.
C ou E
C
Essas entradas permanecem nos sistemas de arquivos até que seja necessário sobrescreve-las por entradas referentes a novos registros.
O que é um cluster e como funciona?
Os principais sistemas de arquivos armazenam dados sob a unidade mínima chamada Cluster que é um conjunto de setores (512 bytes na configuração padrão). Em sistemas de arquivos FAT 32, por exemplo, cada Cluster tem 4kb em sua configuração padrão. Arquivos maiores que 4kb, ou seja, que não cabem em um único Cluster, ocuparão quantos Clusters forem necessários. No exemplo a seguir, o arquivo Tutorial.txt tem 652kb, ou seja, ele ocupará 163 Clusters de 4kb cada (652kb / 4kb = 163 Clusters).
O que é Data Carving?
Data carving (ou file carving) é uma técnica utilizada na análise forense digital para recuperar dados perdidos ou excluídos de dispositivos de armazenamento, como discos rígidos, pendrives e cartões de memória. Essa técnica é especialmente útil em casos em que os dados foram apagados intencionalmente ou quando ocorreu uma falha no sistema de arquivos1.
Como Funciona o processo do Data Carving?
O data carving funciona analisando os dados brutos do dispositivo de armazenamento em busca de padrões que correspondam a formatos de arquivos conhecidos. Por exemplo, um arquivo JPEG possui um cabeçalho específico que pode ser identificado mesmo que o restante do arquivo esteja corrompido2. Ao encontrar esses padrões, o software de data carving consegue extrair e reconstruir os arquivos perdidos, independentemente de sua localização no dispositivo.
Aplicações Práticas do Data Carving:
Investigações Forenses: Recuperação de evidências digitais de dispositivos apreendidos.
Recuperação de Dados: Recuperação de arquivos perdidos devido a falhas de hardware ou ataques cibernéticos.
Segurança da Informação: Identificação e extração de arquivos maliciosos de sistemas comprometidos.
Algumas ferramentas populares para data carving incluem:
Scalpel: Permite a recuperação de arquivos deletados a partir de uma imagem de disco.
Foremost: Recupera arquivos a partir de uma imagem de disco ou de um dispositivo físico.
PhotoRec: Recupera arquivos deletados, incluindo imagens, vídeos e documentos.
TestDisk: Permite recuperar partições perdidas e reparar tabelas de partição.
O programa para recuperar arquivos consegue recuperar qualquer coisa?
Não, necessariamente. Softwares de recuperação vão tentar recuperar dados excluídos ainda intactos, ou seja, que não foram corrompidos, fragmentados ou sobrescritos por novas informações no espaço de armazenamento.
Além disso, os programas de recuperação podem ter limitações de suporte a formatos: fotos, vídeos e outras mídias costumam ser cobertos, mas é possível que o software usado não consiga “ler” e recuperar pastas, arquivos do sistema operacional ou executáveis.
É possível recuperar dados de uma unidade corrompida?
Sim, mas o processo será mais complicado e sem garantias de recuperação. Primeiramente, você pode usar a ferramenta de diagnóstico nativa do Windows para corrigir os erros de um pendrive ou recuperar um cartão de memória corrompido, por exemplo.
Depois que a unidade for recuperada, pode-se usar apps como Recuva ou EaseUS Data Recovery na tentativa de recuperar os dados. Mas tenha em mente que a corrupção da unidade pode ter prejudicado a integridade dos arquivos, tornando o processo de recuperação mais difícil.
