Recuperar arquivos deletados usando TestDisk

Através do programa TestDisk é possível recuperar arquivos e fotos de um dispositivo removível, é um recurso muito utilizado em um processo de Análise Forense a fim de recuperar qualquer tipo de evidência.

Download : www.cgsecurity.org/wiki/TestDisk

01 - Passo

Adicione arquivos no dispositivo removível, como por exemplo: Arquivos .JPG, .ZIP, .DOCX, .MPP, .XLSX, vale ressaltar que neste dispositivo já existiam arquivos e os mesmos já haviam sido removidos.

02 - Passo

Delete todos os arquivos do dispositivo.

03 - Passo

Dispositivo vazio.

04 - Passo

Acesse o Prompt de Comando e execute o programa testdisk_win.exe.

05 - Passo

Selecione a opção [ Create ] para criar o arquivos de log.

06 - Passo

Selecione o dispositivo de deseja recuperar os dados neste exemplo é o ( General USB Flash Disk ) em seguida > [ Proceed ].

07 - Passo

Selecione o tipo de partição do dispositivo, em todos os testes que realizei utilizei o tipo > [ Intel ] e o processo de recuperação foi realizado normalmente.

08 - Passo

Selecione [ Analyse ] para que a partição do dispositivo seja verificada a procura de arquivos removidos.

09 - Passo

Será exibido o tipo de formatação e dados dos setores do dispositivo, prossiga selecionando > [ Quick Search ].

10 - Passo

Para usuários de Windows Vista ou superior responda Y.

11 - Passo

Pressione a tecla P para Listar os Arquivos que foram removidos.

12 - Passo

Os arquivos que foram removidos deste dispositivos foram exibidos nesta tela, pressione a tecla a para selecionar todos os arquivos que serão recuperados.

13 - Passo

Observe que ao pressionar a tecla a o texto mudou de a to select all files para a to deselect all files.

14 - Passo

Selecione o diretório que irá receber os arquivos recuperados, a seta do teclado para a direita -> entra no diretório selecionado, no exemplo entro no diretório Recuperados.

15 - Passo

Após entrar no diretório pressione a tecla ENTER.

16 - Passo

A cópia dos arquivos é realizada para o diretório Recuperados, para sair do aplicativo basta pressionar as teclas CTRL + C ( duas vezes ) ou clicar no botão X do Prompt de Comando.

17 - Passo

Acesse o diretório Recuperados e confira os arquivos que foram recuperados.