Técnicas de Recuperação de Arquivos Apagados

Fonte: MaxPixel.net

Introdução

A complexidade na recuperação de um arquivo excluído, seja de forma acidental ou não, depende da forma e, principalmente, de QUANDO o mesmo foi excluído. Caso o usuário tenha feito uma exclusão simples no Windows, por exemplo, utilizando a tecla Delete, uma simples visita a pasta Lixeira e a execução de um comando de restauração será mais do que suficiente para ter o arquivo "são e salvo". Porém, caso a exclusão tenha sido executada a partir do conjunto de teclas Ctrl+Alt+Del ou o usuário tenha limpado a pasta Lixeira, temos um aumento de complexidade. Caso o arquivo resida em uma região corrompida no seu HD, a situação fica ainda mais complicada.

De acordo com Rikhi (2021), nem tudo está perdido: quando um arquivo é "permanentemente" excluído, o sistema operacional remove apenas o endereço do arquivo excluído de um banco de dados conhecido por Master File Table (MFT). É a partir da referida tabela que o SO localiza e acessa arquivos. Caso um endereço de arquivo seja excluído da MFT, o arquivo fica inacessível para o SO, mas continua a residir no disco, intacto, enquanto outro arquivo não for endereçado para a posição que agora está disponível. O espaço alocado para o arquivo é marcado como disponível pelo SO e um novo arquivo poderá ser armazenado no mesmo endereço. Quando isso acontecer, ocorrerá uma sobrescrita que, aí sim, destruirá permanentemente os dados que ali estiverem. Por isso, o fator TEMPO é crucial em processos de recuperação de arquivos: quanto mais tempo for protelado para uma ação de recuperação, maior a chance do SO utilizar posições assinadas como disponíveis e sobrescrever dados.

Existem métodos, técnicas e ferramentas que se aproveitam do MFT e de outros recursos para facilitar ou até mesmo viabilizar a recuperação parcial ou total de arquivos excluídos. Alguns deles serão descritos a seguir.

Métodos, Técnicas e Ferramentas para a Recuperação de Arquivos

Na lista abaixo, serão listadas algumas ações que poderão ser tomadas na recuperação de arquivos excluídos:

1. Não deixar para depois - Sentiu falta de algum arquivo, pare tudo o que estiver fazendo no computador. Não salve nada que estiver editando, não baixe nenhum arquivo na Internet, não instale nada. Em resumo: Não faça o SO interagir com o HD. Tudo isso para não correr o risco do SO utilizar algum endereço assinado como disponível na MFT e sobrescrever o(s) arquivo(s) a serem recuperados. Quanto mais cedo você tentar recuperar um arquivo removido, maiores serão as chances de recuperá-lo;
2. Confira a pasta Lixeira - Outra solução óbvia, mas que não exige conhecimentos avançados em perícia digital. Quem sabe o arquivo a ser recuperado ainda não está por lá?
3. Utilize um software especializado (de preferência portável, que possa ser executado a partir de um pendrive ou HD Externo, pois o ideal é não instalar nada no HD enquanto os arquivos não forem recuperados) - Existem soluções gratuitas (Recuva, Paragon Rescue Kit Free Edition, CGSecurity PhotoRec, Minitool Partition Wizard Free, TestDisk, entre outras) e pagas (Stellar Windows Data Recovery, Kroll Ontrack EasyRecovery, Disk Drill, etc.) para a recuperação de arquivos. Boa parte das aplicações gratuitas fornecerão tudo o que é necessário para ações de recuperação, limitando o usuário a recuperar uma quantidade específica de arquivos, ou arquivos com uma extensão específica, ou serem mais lentos na recuperação. Já as aplicações pagas são otimizadas na busca, ilimitadas na quantidade de arquivos que possam ser recuperados e prometem encontrar arquivos que as versões gratuitas não conseguiriam encontrar;
4. Faça backup regularmente - Não tem jeito: É preciso fazer essa recomendação que, apesar de ser óbvia para alguns usuários, para outros está distante se ser acatada. Existem inclusive ferramentas, algumas delas nativas em SOs, que auxiliam no gerenciamento e automação de backups. Para aqueles que preferem realizar backups manualmente, o ideal é que mantenham uma frequência de, pelo menos, uma semana para cada backup. Lopes (2021) ainda recomenda a adoção de soluções de armazenamento na nuvem (ICloud, Dropbox, Google Drive, Microsoft OneDrive, entre outros) como forma de simplificar a realização de backups automáticos;

Além das alternativas já citadas, Lopes (2021) também descreve uma técnica bastante utilizada por profissionais especializados e peritos, conhecida por Data Carving. Segundo a Computer Hope (2019), Data Carving ou File Carving é uma técnica forense que visa reconstruir arquivos a partir dos seus fragmentos, mesmo quando seus metadados não estiverem disponíveis. O Data Carving é realizado a partir da identificação e análise da assinatura de dados brutos, que marcam o início e/ou o fim de um determinado tipo de arquivo (documento, imagens, vídeos, mensagens, áudio, etc.). Tal técnica é bastante utilizada em HDs corrompidos, por exemplo. Mesmo que o processo não consiga recuperar um arquivo na íntegra, é possível a recuperação dos seus fragmentos e, a partir dos mesmos, deduzir o tipo de arquivo ou extrair/deduzir parte do seu conteúdo.

Existem várias ferramentas de Data Carving no mercado, como a Encase, o TestDisk, a FTK, a Foremost, entre outras.

Exercícios

1) [Ano: 2012 Banca: MPE-RS Órgão: MPE-RS Prova: MPE-RS - 2012 - MPE-RS - Técnico em Informática - Equipamentos] Assinale a alternativa que descreve corretamente o princípio de funcionamento dos programas de recuperação de arquivos apagados indevidamente em um disco rígido, na maior parte dos sistemas de arquivos.

A) No momento do apagamento dos arquivos, é criada uma cópia em um espaço especial do disco, para futura recuperação.

B) Quando um arquivo é apagado, é colocada uma marca de disponibilidade na entrada de diretório e nos blocos que o arquivo ocupa, mas efetivamente os dados não são apagados do disco.

C) Em um disco rígido, o sistema procura minimizar o número de escritas em um determinado setor, fazendo com que um setor seja utilizado apenas após todos os setores do disco serem escritos.

D) No momento do apagamento do arquivo, é realizada uma cópia em memória RAM, antes que o sistema seja desligado, para eventual recuperação.

E) No caso de utilização do Windows 7, só é possível recuperar arquivos que não tenham sido movidos para a Lixeira.

2) [Ano: 2014 Banca: COTEC Órgão: Prefeitura de Rubelita - MG] Os softwares para recuperação de dados são uma oportunidade de recuperar arquivos deletados do disco rígido, cartão de memória, pendrive, MP3 Player, iPod, entre outros dispositivos. No Windows, quando se apaga um arquivo e em seguida se esvazia a lixeira, esse arquivo ainda existe no dispositivo de armazenamento de dados, isso porque o Windows remove apenas a referência do arquivo deletado na tabela de alocação de arquivos e libera a área do disco que ele usa para gravação de novos dados. Enquanto essa área não é sobrescrita por novos arquivos, existe a possibilidade de recuperação dos arquivos que estavam gravados nessa área. Para recuperar os arquivos deletados, são necessárias algumas precauções, EXCETO

A) Não gravar nenhum arquivo novo na mídia onde o arquivo deletado estava armazenado.

B) Se precisar recuperar arquivos que estavam na unidade do sistema (normalmente o disco C:/), não instalar nenhum programa no computador.

C) Instalar programa de backup de dados e ativar auditoria de dados.

D) Certificar-se de manter o sistema o mais próximo possível do inalterado, não abrindo ou fechando arquivos ou programas, pois isso pode criar arquivos temporários que substituirão os arquivos deletados.

3) [Ano: 2021 - Banca: Instituto Brasileiro de Incentivo ao Desenvolvimento Organizacional Eireli - IBDO - Prova: IBDO - Prefeitura de Iguaba Grande - Procurador Municipal - 2021] Uma vez residentes na Lixeira, os arquivos podem ser recuperados, isto é, podem voltar para seu local original, antes de terem sido excluídos. Para isso, basta seguir os procedimentos abaixo:

A) 1º - "Abra" a lixeira. 2º - Selecione o arquivo e, em seguida, selecione a opção restaurar.

B) 1º - "Abra" o gerenciador de tarefas. 2º - Selecione a opção ferramentas do sistema. 3º - Abra a lixeira. 4º - Selecione o arquivo desejado e, em seguida, selecione a opção restaurar.

C) 1º - "Abra" o painel de controle. 2º - Selecione a opção gerenciador de tarefas. 3º - Abra a lixeira. 4º - Selecione o arquivo desejado e, em seguida, selecione a opção restaurar. 

D) Nenhuma das alternativas anteriores. 

Gabarito

1 - B / 2 - C / 3 - A

Referências

BEDFORD, M.  How to Recover Deleted Files. Tech Advisor. 2020. Disponível em: <https://www.techadvisor.com/how-to/software/recover-deleted-files-3365461/> Acesso em: 29 jan. 2022.

COMPUTER HOPE.  Data Carving. 2019. Disponível em: <https://www.computerhope.com/jargon/d/data-carving.htm> Acesso em: 29 jan. 2022.

LOPES, D.  O que você precisa saber para recuperar arquivos apagados. Lopes Perícias. 2021. Disponível em: <https://lpericias.com.br/o-que-voce-precisa-saber-para-recuperar-arquivos-apagados/> Acesso em: 29 jan. 2022.

RIKHI, I.  Easy Methods to Recover Deleted Data from Your PC. Stellar. 2021. Disponível em: <https://www.stellarinfo.com/blog/easy-methods-to-recover-deleted-data-from-the-computer/> Acesso em: 28 jan. 2022.