Queira o Sr. Perito explicar como é feita a recuperação de arquivos apagados – Parte 01

Uma das atividades fundamentais de um examinador forense é a recuperação de arquivos apagados. É através desse procedimento que se torna possível examinar registros apagados pelos usuários ou automaticamente pelo sistema operacional. Esse tutorial trata sobre como recuperar arquivos e suas propriedades técnicas com uma técnica de recuperação baseada em metadados (entradas de sistemas de arquivos). Para isso, utilizaremos os softwares FTK Imager e Recuva.

Descrição dos softwares

FTK Imager: Software gratuito, distribuído pela AccessData, cuja principal função é gerar cópias forenses (E01, AD1, Cópia de registros e de memória RAM). Além disso, ele permite navegar de forma estruturada dentro de uma imagem forense sem alterá-la, criar imagens personalizadas, gerar lista de hashes etc.

Recuva: Software gratuito, distribuído pela Piriform, cuja principal função é a recuperação de arquivos apagados. Ele utiliza o índice do sistema de arquivos para recuperar arquivos apagados e também executa data carver, mas neste aspecto ele não é muito eficiente quando comparado ao Foremost.

Recuperação com base em metadados

A recuperação com base em índice de sistemas de arquivos, comumente chamada de File Recovery, parte do princípio de que a maioria dos sistemas operacionais mantém, após a exclusão de um arquivo, registros sobre a posição inicial e o tamanho desse arquivo. Essas entradas permanecem nos sistemas de arquivos até que seja necessário sobrescreve-las por entradas referentes a novos registros.

Acontece que em alguns sistemas de arquivos, tal como nos sistemas FAT12, FAT16 e FAT32, apenas o endereço do primeiro cluster é mantido no índice após a exclusão de um arquivo, não sendo possível, portanto, descobrir quais eram especificamente todos os outros clusters utilizados pelo arquivo. Por essa razão, os programas de recuperação verificam nos registros remanescentes o tamanho do arquivo apagado e consideram que o arquivo não estava fragmentado, assim eles recuperam todos os clusters na sequência do cluster inicial até alcançarem o tamanho do arquivo excluído.

Vamos a um exemplo: A figura a seguir é uma representação do Directory Entry, parte importante do sistema de arquivos FAT32 onde são armazenadas as principais informações dos arquivos em uma partição. No nosso exemplo colocamos apenas 03 parâmetros, pois são os que necessitaremos para entender o processo de recuperação. Assim, partimos do cenário onde temos os seguintes arquivos no computador.

A figura a seguir mostra uma FAT, que serve como um mapa de clusters de arquivos. Enquanto o Directory Entry indica apenas a posição inicial do arquivo, a FAT indica especificamente a sequência de clusters utilizada pelo arquivo. No primeiro momento do nosso exemplo, na FAT, à esquerda na figura abaixo, temos registros sobre a localização de todas as partes que compõem os três arquivos indicados na tabela acima.

Nesta tabela (FAT) temos que o primeiro cluster tem um correspondente que indica o próximo cluster, utilizado pelo arquivo na área de dados. Caso seja o final do arquivo o valor será 0XF8. Note que os arquivos destacados em azul e verde estão fragmentados, enquanto os arquivos em vermelho não estão.

A FAT mostrada ao centro da figura acima representa o primeiro momento após os três referidos arquivos terem sido apagados pelo usuário. Todos os clusters estão marcados com o valor “0”, indicando que eles estão disponíveis para serem utilizados. Destaca-se que apenas o índice de cluster na tabela de alocação de arquivos teve seu valor alterado. Após apagar o arquivo nem as informações sobre ele presentes na Directory Entry, nem o dado propriamente dito que está gravado ao longo do disco, são excluídos.

Na FAT representada pela tabela do meio, indicando uma partição supostamente vazia, nós executamos um programa de recuperação de arquivos baseado nos dados presentes no Directory Entry, a recuperação resultará no terceiro momento da FAT na figura acima.

Note que o Arquivo.txt, que estava fragmentado, foi recuperado incorretamente. Isso acontece porque como a FAT foi zerada e o Directory Entry possui referência apenas do cluster inicial, o método de recuperação calcula quantos clusters são necessários para o arquivo e realoca essa quantidade de clusters de forma contígua. O mesmo acontece com o segundo arquivo. Apenas o terceiro arquivo, Foto.jpg é recuperado corretamente, pois antes de ser apagado ele não estava fragmentado.

Por que utilizar esse método se ele é sujeito à falhas? Devemos considerar esse método de recuperação, pois os sistemas de arquivos modernos são muito eficientes na não fragmentação de arquivo, fazendo com que esse método tenha bons índices de sucesso. Além do mais, com ele podemos recuperar as principais propriedades de um arquivo, como seu nome, MAC Time, tamanho etc., ainda que seu conteúdo não seja recuperado completa ou adequadamente. Por fim, no âmbito da computação forense às vezes é muito mais importante saber das propriedades dos arquivos, do que de seu conteúdo. Essa premissa torna esse método de recuperação muito utilizado.

Recuperação com FTK e Recuva

Para executar o programa de recuperação é necessário que o disco esteja montado. Contudo, de acordo com as melhores práticas forenses, sempre devemos realizar procedimentos em imagens forenses e nunca em discos originais. Por essa razão, e com intuito de garantir a integridade dos dados, utilizaremos o programa FTK Imager para montar uma unidade a partir de uma Imagem Forense. Além de permitir a execução dos procedimentos de recuperação, ao montar a unidade o FTK protege a imagem contra gravação.

Baixe o FTK Imager a partir do endereço: http://www.accessdata.com/support/product-downloads

Depois de ter o programa instalado, execute-o. Na janela que surgirá, clique sobre a opção “File” e “Image Mounting…”, como mostra a figura a seguir.

Na janela “Mount Image To Drive”, escolha a imagem forense que deverá ser montada e selecione qual letra deverá ser atribuída à unidade. As demais configurações devem estar exatamente como na figura abaixo.

Após conferir, clique em “Mount”. Isso fará com que a imagem forense apareça como uma unidade de disco protegida contra gravação.

Agora, baixe o Recuva a partir do endereço: http://www.piriform.com/recuva/download

Após instalar execute o programa. A seguinte janela deverá surgir, clique na opção “Next”.­­­­­

Na janela seguinte você pode escolher qual tipo de arquivo deseja recuperar. Como o procedimento é sempre bastante rápido e nosso objetivo é forense, vamos escolher a opção “All Files”. ­­­­

A próxima janela também é muito importante, nela você deve escolher a opção “In a specific location” e indicar a letra da unidade montada via FTK Imager. Feito isto, clique em “Next”.

A tela seguinte permite você escolher a opção “Enable Deep Scan”. Essa opção estenderá a forma de recuperar arquivos. Além de verificar os sistemas de arquivos por registros remanescentes, o programa varrerá todo o disco em busca de cabeçalhos e rodapés de arquivos apagados cujos registros já foram sobrescritos nas entradas do sistema de arquivos. Esse método é muito importante e  certamente resultará em um volume muito maior de arquivos recuperados completamente, contudo, além de ele ser muito demorado, existem outros softwares mais eficientes nesse aspecto, como o Foremost que detalharemos em outro tutorial. Assim, deixe a opção “Enable Deep Scan” não selecionada e clique em “Start”.

8

O procedimento é bastante rápido e, ao final, será apresentada uma lista com o nome de todos os arquivos que o programa localizou utilizando o método de verificação das entradas de registros remanescentes no sistema de arquivos do computador.

Obviamente, como explicado no início desse tutorial, esse método pode resultar em uma série de nomes de arquivos e seus metadados, sem que o conteúdo completo e íntegro dele possa ser de fato restaurado. Mas o Recuva sabe disso e sinaliza o estado do arquivo. O círculo vermelho indica que o arquivo cujos dados são apresentados na lista foi sobrescrito por um novo arquivo e, portanto, não pode ser recuperado. No limite direito da lista o Recuva mostra, inclusive, qual novo arquivo está sobrescrevendo o antigo.  O círculo amarelo indica arquivos embora estejam incompletos, podem ser eventualmente abetos. Já o círculo verde indica arquivos íntegros e que podem ser recuperados completamente.

Note que até esse momento o Recuva apenas analisou o sistema de arquivos. Para continuar, selecione todos os arquivos que deseja recuperar, clique com o botão direito sobre eles e escolher a opção “Recover Cheked”. Na janela que surgirá basta você indicar onde quer que sejam armazenados os arquivos recuperados e pronto!

Ao final da recuperação a seguinte mensagem deverá ser mostrada. No nosso exemplo os dois arquivos selecionados foram recuperados com sucesso.

Note que na janela com a lista de arquivos estão todas as propriedades originais dos arquivos apagados. Isso é muito importante para computação forense e pode ajudar sobremaneira um investigador, ainda que o conteúdo dos arquivos não tenha sido completamente recuperado.

Partindo desse princípio, se você quiser analisar todos os registros sobre aquilo que foi apagado, basta selecionar todos os arquivos indicados na lista do Recuva, clicar com o botão direito sobre eles e escolher a opção “Save List to text File…”.

Não se esqueça de no final do procedimento voltar ao FTK Imager e clicar sobre “Umount” para que a imagem forense seja desmontada. Isso garante que a imagem continuará inalterada e íntegra.

3 comentários sobre “Queira o Sr. Perito explicar como é feita a recuperação de arquivos apagados – Parte 01

    • Caro Gilmarcio, obrigado por acompanhar o nosso blog.

      Infelizmente não conheço nenhum livro sobre esse assunto publicado em português. Contudo, existem muitos artigos acadêmicos e materias de revistas cientifícas que podem ter ajudar.

      Caso deseje se aprofundar nesse tema (infelizmente em inglês), recomendo veementemente a leitura do livro “File System Forensics”. Entender o funcionamento de sistemas de arquivos é tudo o que você precisa para dominar a recuparação daqueles que foram apagados, e esse livro é bastante completo.

      Espero ter ajudado😉

      Everson Probst

  1. Olá boa noite.. Fiz um procedimento no meu celular… Formatando ele nas configurações de fábrica… Mas preciso recuperar alguns vídeos… É possível??

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s