EnCase Forensic – Recuperando Dados

O EnCase Forensic é uma das melhores ferramentas de Análise Forense, é uma das ferramentas utilizadas pela Policia para encontrar evidências de um possível ato criminoso.

Site: www.encase.com

Neste artigo vou mostrar um dos processos mais básicos do EnCase para recuperar uma imagem apagada.

01 - Passo

Apagar a imagem 100security.png da unidade E:.

02 - Passo

Abrir o EnCase e clicar em New.

03 - Passo

Defina um nome para o caso (Case 1) o nome do perito (Marcos Henrique) a pasta padrão C:\Program Files (X86)\EnCase4 e a pasta temporária C:\Temp, clique em Concluir.

04 - Passo

O Case 1 foi criado, clique em Add Device.

05 - Passo

Selecione Local Drivers e clique em Avançar.

06 - Passo

Selecione a unidade E: do dispositivo removível, clique em Avançar.

07 - Passo

Clique em Concluir.

08 - Passo

O ícone que esta na frente do nome do arquivo 100security.jpg simboliza que ele foi excluído da unidade removível.

09 - Passo

Para recuperá-lo clique com o botão direito sobre o nome do arquivo 100security.jpg em seguida Copy/UnErase…

10 - Passo

Clique em Avançar.

11 - Passo

Clique em Avançar.

12 - Passo

Informe o diretório onde o arquivo 100security.jpg deve ser restaurado, clique em Concluir.

13 - Passo

O arquivo foi recuperado, clique em OK.

14 - Passo

Arquivo recuperado em C:\Imagens.

15 - Passo

Clique sobre Timeline para visualizar arquivos excluídos nos anos de 2008, 2009, 2010, 2011, 2012.