Este artigo foi traduzido e adaptado a partir do artigo Recover Deleted Files with Foremost,scalpel in Ubuntu, publicado no site UbuntuGeek.

foremost e scalpel não estão interessados no sistema de arquivos subjacente. Eles simplesmente esperam que os blocos de dados dos arquivos residam sequencialmente na imagem que está sob investigação. As ferramentas encontrarão imagens em dumps gerados com o comando dd, dumps de memória RAM, ou arquivos de swap. Com esta ferramenta é possível identificar e reconstruir arquivos em partições corrompidas, em espaço não alocado, mesmo após a instalação de um novo sistema operacional, desde que os blocos de dados necessários ainda existam.

Aplicações forenses para recuperação de dados

Foremost é um programa de console para recuperação de dados a partir de seus cabeçalhos, rodapés e estruturas de dados internas. Este processo é conhecido como extração de dados (data carving). O utilitário Foremost pode trabalhar em arquivos de imagens, tais como as imagens geradas pelo comando dd, Safeback, Encase etc ou diretamente em uma partição ou disco.

Os cabeçalhos e rodapés pode ser especificados em um arquivo de configuração ou você pode usar diretivas de linha de comando para especificar tipos de arquivos nativos. Estes tipos de arquivos nativos analisam as estruturas de dados de um formato de arquivo, permitindo que a recuperação seja feita de forma mais rápida e confiável.

[1] Comentário enviado por luizvieira em 19/06/2010 - 13:41h:

Muito interessante Rubens!
Estou justamente estudando esse assunto agora, voltando-me para pesquisas nessa area de forense, que ficaram um pouco adormecidas ao longo do tempo.
Seu artigo despertou meu interesse em publicar alguns cases com ferramentas especificas na area.
[ ]'s

[2] Comentário enviado por sinesioneto em 25/11/2010 - 22:11h:

Olha, só tenho é que agradecer...
Muito obrigado, vem ser de grande utilidade pra mim!!

abraço

[3] Comentário enviado por Thalysson S em 26/12/2010 - 21:00h:

Excelente artigo rubens ! Ótimas informações. Estava precisando disso mesmo.

Abraço

[4] Comentário enviado por israhofnni em 30/12/2011 - 00:43h:

Olá pessoal, eu quero entender direito o que este programa pode me oferecer, então segue o caso:
Minha missão é tentar recuperar os dados perdidos em um disco rígido "HD IDE" de Notebook formatado acidentalmente.
O disco em questão tinha Windows XP "NTFS" com todos os arquivos do cliente separados em duas partições de 40 GB cada uma (havia dados importantes nas duas unidades NTFS), então por descuido o próprio cliente formatou, criou uma nova e única partição de 80 GB e fez então a migração para Windows 7, só no final é que ele se deu conta que tinha apagado todos os dados.
Neste momento eu tenho o HD em mãos e estou fazendo o acesso a ele via USB através de um gaveta apropriada.
Como o Scalpel pode me ajudar ?

Uso o Debian Squeeze.

[5] Comentário enviado por juniotee em 22/02/2012 - 17:20h:

Obrigado Rubens! Ótimo artigo.

Keep Going!!!