O que você precisa saber para recuperar arquivos apagados

Facebook
Twitter
LinkedIn

Os muitos registros digitais importantíssimos que criamos no dia a dia, arquivos de imagens, vídeos, documentos de textos e planilhas, áudios, banco de dados, seja esse conteúdo pessoal ou corporativo, podem ser perdidos de uma hora para outra: equipamento queimado, apagamento de forma involuntária, entre outros.

Os conteúdos apagados, seja de forma intencional ou equivocada, são passíveis de recuperação, porém, há três fatores essenciais para o sucesso do processo: o conhecimento adequado, as ferramentas específicas e o tempo certo. Sem essas três premissas, muito provavelmente não será possível resgatar o conteúdo, vejamos o porquê:

  • Conhecimento adequado – uma vez apagados, os dados podem ainda existir no dispositivo (celular, notebook e outros). Eles podem estar armazenados de forma “oculta”, ainda não sobrescritos por conteúdo novo. técnicos dizem reaver o conteúdo apagado, entretanto, há necessidade de conhecimento em reverter a situação, e isso normalmente demanda grande esforço de análise embasada em conhecimento de como aplicar a melhor técnica e processamento de máquina e armazenamento robusto. Aqui é interessante que o profissional que irá realizar o procedimento seja capaz de fazer uma cópia forense (bit a bit) do conteúdo a ser recuperado. Dessa maneira ele não irá trabalhar diretamente no dispositivo com os dados apagados, mitigando risco de prejudicar e apagar definitivamente o valioso conteúdo excluído.
  • Ferramentas especificas – além de equipamentos de informática com grande capacidade de processamento e armazenamento para fazer a cópia bit a bit, há necessidade de softwares adequados, capazes de fazer a cópia, o processamento e a análise do conteúdo recuperado – esses procedimentos chamamos de Data Carving.
  • Tempo certo – imagine que um conteúdo apagado ainda exista no seu dispositivo, porém, quanto mais tempo você demorar para solicitar a recuperação, maior será a possibilidade de fracasso. A unidade de armazenamento dos dispositivos de informática está em constante processo de leitura e escrita, ou seja, dependendo da quantidade de sobrescrita que determinado trecho de armazenamento tiver, o conteúdo pode ser excluído para sempre.

O que é Data Carving

Data Carving é uma prática executada por um especialista computação forense que consiste na procura por conteúdos excluídos/apagados localizados no espaço não alocado do disco, também busca por arquivos inseridos em outros – por exemplo: um arquivo executável (.exe) dentro de arquivo imagem.

Para entendermos melhor sobre é importante sabermos um pouco sobre como funciona o sistema de arquivos, ou o local onde eles são armazenados. Todos esses sistemas contêm alguns metadados que descrevem o sistema de arquivos real. No mínimo, isso inclui a hierarquia de pastas e arquivos, com nomes para cada um, além do registro dos locais físicos onde estão armazenados.

O Data Carving é o processo de tentar recuperar arquivos sem esses metadados. Isso é feito analisando os dados brutos e identificando-os: documentos, , imagens, vídeos, mensagens, áudios, mp3 etc. O procedimento pode ser feito de diferentes maneiras, mas a mais simples é procurar a assinatura, , que marcam o início e/ou o fim de um determinado tipo de arquivo.

Na maioria dos casos, quando um arquivo é excluído, a informação nos metadados do sistema é removida, mas os dados reais ainda estão no disco. A estrutura de arquivo pode ser usada para resgatar dados de um disco rígido onde os metadados foram removidos ou danificados de alguma outra forma. Esse processo pode ser bem-sucedido mesmo depois que uma unidade foi formatada ou , em caso de computadores. No caso dos celulares e tablets, é possível a recuperação até mesmo após “restaurar padrões de fábrica”.

Aqui cabe uma curiosidade: é muito comum, por exemplo, quando se faz a recuperação de conteúdo de celulares como um iPhone com capacidade de armazenamento de 64GB, ser gerada uma imagem com tamanho superior a 100GB. Isso porque a cópia bit a bit permite enxergar justamente bits que foram apagados e ainda estão lá.

A recuperação de arquivos é uma tarefa altamente complexa, com um número potencialmente grande de processamentos. Para tornar essa tarefa tratável, o software normalmente faz uso extensivo de modelos e – em que o próprio software vai criando soluções e as testando para resolver a complexa recuperação dos arquivos.

O conceito de ajuda a entender quão importante é esse passo no processo de recuperação de conteúdo. Abaixo, apresentamos dois roteiros para a resgate de conteúdos com especificidades para celulares e computadores.

5 passos essenciais para recuperar conteúdo apagado de celulares e smartphones

O roteiro a seguir são os passos essenciais que devem ser realizados pelo profissional em perícia em celulares, sob o risco de serem perdidos todos os dados e até mesmo o celular. A recuperação de conteúdo de celulares é bem complexa, pois, além dos fabricantes, iOS – Iphone e Android, há diversos modelos de aparelho e versões de software.

  1. Ligar o dispositivo e certificar que ele está em modo avião – não queremos ter nenhuma interferência externa durante a realização dos procedimentos;
  2. Criar a cópia forense da unidade de armazenamento do celular, que deve ser feita bit a bit. Uma sugestão de ferramenta para ser utilizada no Android é o DD, utilizado no Linux. Para os sistemas iOS, recomendamos a ferramenta Cellebrite e o iTunes – não fará a cópia forense, irá apenas realizar o backup do dispositivo iOS;
  3. Realizar o procedimento de D. Sugestão de ferramentas: Cellebrite, Autopsy, Mobile Edit Pro;
  4. Processar as informações para que o sistema reconheça os arquivos recuperados;
  5. Fazer uma cópia dos arquivos recuperados e disponibilizá-los em pen drive direto ao solicitante.

5 passos essenciais para recuperar arquivos apagados de computadores

O guia proposto a seguir são os passos essenciais que devem ser realizados pelo profissional em computação forense, sob o risco de os dados serem perdidos de forma definitiva. A recuperação de conteúdo de computadores, servidores e notebooks é bem mais complexa que a de celulares e smartphones, pois normalmente envolve unidades de armazenamentos com muito espaço.

  1. Certificar que a unidade de armazenamento da qual deseja recuperar conteúdo está desabilitada lógica ou fisicamente para escrita – sendo assim, não poderá executar processo de gravação e alteração de arquivos, apenas leitura; Criar a cópia forense da unidade de armazenamento do computador (HD, HD externo, SSD e outros), que deve ser feita bit a bit. Uma sugestão de ferramenta para ser utilizada é o FTK Imager e o Linux Kali;
  2. Realizar o procedimento de Data Carving com a ferramenta (Autopsy, IPED, FTK);
  3. Processar as informações para que o sistema reconheça os arquivos recuperados; e
  4. Fazer uma cópia dos arquivos recuperados e disponibilizá-los direto ao solicitante, conferindo e apresentando a ele o resultado.

Faça backups periodicamente

Aquilo que produzimos de forma digital são registros de um momento, de estudos, de trabalhos e de compilação de ideias. Tudo isso é transformado em fotos, vídeos, planilhas, documentos, mensagens etc. Esses registros digitais só consideramos valiosos quando perdemos. A fim de mitigar a perda desses arquivos, sempre orientamos categoricamente que as pessoas tenham rotinas sistemáticas de realização de backups. Com a adoção de soluções de armazenamento em nuvem, hoje se tornou muito simples a realização de backups automáticos. Lembre-se, é claro, que, pelo fato de seus arquivos estarem na nuvem, podem ser alvo de ataques cibernéticos, por isso recomendamos que suas senhas sejam as mais seguras possíveis. Alguns serviços para backups na nuvem:

Recuperação de conteúdo apagado apenas com um especialista

O processo de recuperação de conteúdo apagado em dispositivos de informática é algo que exige técnica e perícia para que não seja perdida, de forma definitiva, a informação valiosa que tanto se deseja resgatar. Feito de forma certa, as chances de desses conteúdos é relativamente grande, porém feito de maneira incorreta, a possibilidade de perda definitiva é quase certa. Por isso, escolha um especialista que detenha o conhecimento técnico-científico e as ferramentas corretas para reaver o que se precisa. O conteúdo é muito valioso para que seja realmente perdido e não possa mais ser recuperado, se a tentativa for feita de forma errada. Por isso, contrate um perito em computação para realizar esse procedimento.

Cabe ressaltar que abstraímos diversas complexidades que devem ser analisadas no procedimento de recuperação de conteúdo, como: tipo de mídia e de armazenamento, o formato de arquivo e, ainda, se há dano físico no meio de armazenamento e necessidade de procedimento de instalação física.

2 respostas

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Precisa de ajuda?

Envie-nos uma mensagem