quarta-feira, 8 de junho de 2016

Recuperar arquivos deletados com foremost no Debian e Ubuntu

Muitas vezes deletamos arquivo e nos arrependemos, ai nos perguntamos como podemos recuperar esses arquivos, é disso que irei falar nessa matéria.











Nessa matéria iremos usar o foremost, nos testes consegui recuperar dados deletados e até dados de HD formatados.
O único inconveniente é que ele não recupera os dados com seus nomes originais, a recuperação se da por extensão e feita em pastas separadas para cada extensão, como na imagem.
Além disso ele recupera de forma bruta, todo o disco ou por extensão.



Você vai precisar de um disco rígido com capacidade dobrada aos dados que pretende recuperar, você de forma alguma pode fazer a recuperação no mesmo disco que contem os dados perdidos.
Nesse teste eu usei um HD de 500 GB sabendo que os dados perdidos eram de +- 40GB  que foi a informação passada pelo cliente.

Em primeiro lugar instale os programas que iremos usar, abra o terminal e de o comando abaixo.

sudo apt install foremost dd
Com o disco rígido com os dados perdidos e o que iremos usar para armazenar os dados recuperados, vamos obter informações do disco que queremos recuperar os dados, no terminal de o comando abaixo.

sudo fdisk -l
O disco que irei recuperar os dados é o /dev/sdc identificado com o fdisk.



Agora vamos obter informações do disco em que iremos salvar os dados recuperados.
De o comando abaixo no terminal.

sudo fdisk -l

O disco que irei salvar os dados recuperados é o /dev/sda1.



Vamos criar um ponto de montagem para o disco que iremos armazenar os dados recuperados, de o comando abaixo no terminal.

sudo mkdir /mnt/rec

Vamos montar o disco no diretório /mnt/rec com o comando abaixo.
Substitua o /dev/sda1 pelo seu disco identificado.

sudo mount /dev/sda1 /mnt/rec

Vamos entrar no diretório /mnt/rec com o comando abaixo.

cd /mnt/rec

A recuperação é feita em dois estágios, o primeiro é a criação de uma imagem do disco que pretendemos recuperar os dados, para isso de o comando abaixo no terminal.
Substitua o /dev/sdc pelo seu disco identificado.

sudo dd if=/dev/sdc of=rec.raw

Aguarde o final da operação, ela é lenta e vai depender da quantidade de dados a serem recuperados.



Quando terminar a criação da imagem.raw você vai ter uma mensagem como a da imagem abaixo.


Para fazer a recuperação, de o comando abaixo no terminal.

sudo foremost -t all -i rec.raw -o dados

Aguarde o final da extração dos dados da imagem.raw;


Ao final da operação de extração dos dados da imagem.raw,basta alterar as permissões da pasta rec e verificar os dados recuperados com o comando abaixo.

sudo chown -R $USER:$USER /mnt/rec/dados

Agora é só procurar os dados e ser feliz :)



Contribua para a melhoria do nosso trabalho!!






4 comentários:

  1. Este programa é melhor que o photorec/testdisk?

    ResponderExcluir
    Respostas
    1. Não existe programa melhor, o que existe é o programa conseguir resolver o seu problema, esse nesse caso resolveu, assim como os outros que vc perguntou resolveram outros casos e de forma diferente, mas são para matérias futuras.

      Excluir
  2. consigo recuperar arquivos de um hd com windows???

    ResponderExcluir
    Respostas
    1. Sim, a matéria foi feita usando um HD de dados de um cliente em formato windows ntfs.

      Excluir