Wiki CompFor
HD, SSD, imagem forense, sistemas de arquivos e recuperação

Recuperação de arquivos apagados e carving

Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre recuperação de arquivos apagados e carving no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como IPED, IEF, FTK, WhatsApp. Os termos mais recorrentes neste tema incluem: carving, recuperar, caso, arquivos, peritos, mas, mais, ftk, fazer, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Diferenciar arquivo recuperado por metadados de carving sem caminho original.
  • Registrar ferramenta e parâmetros de recuperação.
  • Validar relevância e integridade do arquivo recuperado.

Ferramentas, sistemas ou marcas citadas

IPEDIEFFTKWhatsApp

Palavras-chave recorrentes

carvingrecuperarcasoarquivosperitosmasmaisftkfazerelewhatsappvourecuperapralaboratorioimagemfoifilesystem

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 11/05/2018 10:03 a 10:16 — Root e extração em dispositivo Positivo

11/05/2018 10:03 · Membro 0020
Tentador, mas acho meio perigoso. Tudo vai bem em um caso de pornografia infantil enquanto tudo está latente, porém quando a coisa fica um pouco mais complexa, arquivos apagados, partições escondidas, deepweb, posse e compartilhamento e até dispositivos guardados em locais inusitados a coisa vai ficando bem mais direcionada a um perito de informática. Na operação passada aqui no Ceará foram 3 flagrantes com vasto material latente. Em outro alvo só encontramos o material ilícito em um disco abandonado em uma gaveta. Em outro foi um caso clássico de empréstimo de senha do Wi-Fi.... Vasculhamos todos os dispositivos e não encontramos nada. Aqui somos 8 peritos e parece que teremos 20 alvos
11/05/2018 10:04 · Membro 0001
Sem dúvidas [NOME]. As informações preliminares, que devem ser passadas pela investigação, são fundamentais para analisar o alvo
11/05/2018 10:04 · Membro 0001
Quais softwares estão sendo utilizados, hw
11/05/2018 10:05 · Membro 0001
E a partir daí vc pode direcionar aqueles peritos mais experientes para os alvos mais sensíveis
11/05/2018 10:07 · Membro 0020
O repasse de informações aqui foi fraco, a informação mais valiosa que tínhamos era aquela do ministério da justiça do ID do torrent do alvo e algumas datas que ele transferiu dados
11/05/2018 10:08 · Membro 0001
Na operação passada conseguimos SW que estavam sendo utilizados, quando baixou, qual hw era utilizado
11/05/2018 10:08 · Membro 0034
Entendo perfeitamente isso. O caso é o seguinte. Em Minas há umas 70 regionais, cidades maiores que têm peritos. E vai ter uma operação grande em 64 delas. E exigiram Peritos em todas elas. Há cidades com alguns Peritos que são mais experientes em informática, mas há também cidades com Peritos que não sabem nada. Quando o caso é para análise dos equipamentos em laboratório, eles são enviados para BH, mas quando é caso de flagrante, aí tem que ir alguém. Eles me pediram para fazer uma apresentação aqui para ajudar esses Peritos para fazer o melhor possível dentro das restrições apresentadas.
11/05/2018 10:09 · Membro 0001
E o perfil do alvo.. tinha um estudante de computação
11/05/2018 10:11 · Membro 0020
A sorte que os pervertidos são compulsivos kkkk
11/05/2018 10:13 · Membro 0003
Sim, isso contribui bastante. Estou analisando um caso aqui em que o hd tinha 160 gigas, 80 gigas em uma partição, e 80 não particionado. O notebook é do "cérebro" da quadrilha de clonadores de cartões. O IEF não encontrou nada no não particionado, mas o FTK fez a festa.
11/05/2018 10:16 · Membro 0034
É o certo mesmo. Mas como é para Peritos, ficou complicado de negar.

Origem 002 — 07/10/2021 09:08 a 09:46 — Análise de Registro Windows e arquivo NTUSER.DAT

07/10/2021 09:08 · Membro 0096
Pessoal, bom dia.
Sou bastante inexperiente com DVR, mas estou com uma requisição pra exame em um Intelbras, DHFS 4.1.
Eu consegui abrir o conteúdo e constam registros no seguinte período:
19/08/2021 até 26/08/2021.
Pergunta: é possível recuperar conteúdo apagado por meio de física? Um eventual conteúdo recuperado seria somente de período anterior a este registrado, certo?
07/10/2021 09:08 · Membro 0096
Desculpem se falei alguma besteira.
07/10/2021 09:12 · Membro 0088
Bom dia. Se já foi sobrescrito por novas gravações, só irá recuperar poucos segundos de cada dia, se recuperar.
07/10/2021 09:12 · Membro 0088
Se não foi sobrescrito
07/10/2021 09:12 · Membro 0088
dá pra recuperar praticamente tudo
07/10/2021 09:12 · Membro 0048
DHFS = Dahua FileSystem. recuperável
07/10/2021 09:13 · Membro 0088
uma dica: DHFS apresentam logs diretamente no HD, indicando a data de última formatação
07/10/2021 09:13 · Membro 0096
E para este processo eu poderia seguir via FTK pra imagem e carving?
07/10/2021 09:14 · Membro 0088
basta pesquisar por "HDDLOG" em algum leitor como o FTK imager
07/10/2021 09:14 · Membro 0088
E o DVRExtractor do [MENCAO] já está extraindo esses logs também, creio.
07/10/2021 09:14 · Membro 0088
Recomendo a ferramenta do colega [MENCAO]
07/10/2021 09:15 · Membro 0096
Beleza. Vou dar uma olhada, valeu. Essa ferramenta tbm faria a tentativa de recuperação?
07/10/2021 09:16 · Membro 0096
Vou dar uma olhada aqui.
07/10/2021 09:17 · Membro 0131
aí o modo para recuperar por carving é o "DAHUA Filesystem Carving".
se for usar imagem do disco, monta no arsenal image mounter
https://arsenalrecon.com/downloads/
07/10/2021 09:17 · Membro 0088
Em Julho, usando o DVRExtractor recuperei 5 TB de imagens de um estabelecimento de um cara que matou funcionários da Celpe logo depois deles terem ido lá constatar fraude de roubo de energia.
07/10/2021 09:18 · Membro 0088
Deu até pra mostrar ele formatando os HDs uma hora depois do crime
07/10/2021 09:18 · Membro 0088
indo lá no menu...
07/10/2021 09:18 · Membro 0088
Limpando a arma...
07/10/2021 09:44 · Membro 0096
[NOME], o objetivo do meu exame é extrair e devolver todo o conteúdo pra delegacia analisar.
Então preciso pensar em uma maneira que seja fácil deles reproduzirem.
Será melhor eu fazer a extração DHFS 4.1 primeiro e depois fazer o carving ou faço direto o carving?
07/10/2021 09:44 · Membro 0096
E parabéns. A primeira vista é extremamente intuitivo 👏🏻
07/10/2021 09:46 · Membro 0131
então, na ferramenta vai extrair para o formato DAV. na pasta conversores tem o "DVRExtractor - DHFS DAV para AVI.zip", que é um programa que transcodificar o DAV para AVI ou MP4 por linha de comando. aí só fazer um script para executar em lote

Origem 003 — 22/10/2021 08:56 a 09:09 — Beleza. É um colega aposentado que tava querendo. Como eu uso software pago

22/10/2021 08:56 · Membro 0076
Bom dia. Alguém sugere algum programa de recuperar arquivos no computador que seja gratuito?
22/10/2021 08:59 · Membro 0048
Dependendo do que se quer recuperar, o photorec é bem eficiente
22/10/2021 09:00 · Membro 0048
Apesar do nome com "Photo", recupera arquivos de video, documentos, pdfs, ...
https://www.cgsecurity.org/wiki/PhotoRec
22/10/2021 09:09 · Membro 0076
Beleza. É um colega aposentado que tava querendo. Como eu uso software pago, perdi as reverências dos gratuítos. Obrigado, gente.
22/10/2021 09:09 · Membro 0009
[MENCAO] , com os arquivos desse tutorial, foi de boa. Mais uma vez, obg.

Origem 004 — 03/12/2021 12:38 a 15:46 — Recuperação de mensagens e vestígios do WhatsApp

03/12/2021 12:38 · Membro 0020
[EMAIL]
03/12/2021 12:42 · Membro 0020
Até onde sei ele não usa WhatsApp
03/12/2021 13:25 · Membro 0012
Isso, não usa WhatsApp, estive com ele no mês passado em Natal.
03/12/2021 13:41 · Membro 0041
Grato, amigos! Vou entrar em contato com ele.
03/12/2021 15:30 · Membro 0041
Grato pela indicacao. Vou baixar o programa e testar. Preciso recuperar arquivos excluídos em um dvr.
03/12/2021 15:30 · Membro 0041
Ele tem sistema linux proprietário.
03/12/2021 15:34 · Membro 0045
Esse sistema do [NOME] supera em muito a solução chinesa que andamos tentando comprar por aqui, muito boa mesmo, recomendo a todos sua utilização, já resolvemos diversos casos aqui com ela, com linux proprietário e tudo mais.
03/12/2021 15:37 · Membro 0020
O sistema do [NOME] só recupera dvr padrão intelbras
03/12/2021 15:38 · Membro 0041
Hummm...que legal! A do [NOME] tambem recupera arquivos excluídos?
03/12/2021 15:39 · Membro 0058
não não, há 3 versões, uma delas é genérica e recupera muitas marcas
03/12/2021 15:39 · Membro 0058
tecvoz, luxvision, giga, hikvision,e tc
03/12/2021 15:39 · Membro 0058
outra recupera posonic
03/12/2021 15:45 · Membro 0045
Funções profundas de carving e recovery, extremamente funcionais…
03/12/2021 15:46 · Membro 0041
Vou fazer o exame com ele. Tenho um caso de grande repercussão.

Origem 005 — 22/01/2022 20:00 a 20:03 — Recuperação de arquivos apagados e carving

22/01/2022 20:00 · Membro 0012
Boa noite!
Tem um estudo de caso num livro de computação forense, salvo engano o autor é [NOME] Lemos. Chegaram a autoria com carving e análise de log, associado as investigações policiais.
22/01/2022 20:03 · Membro 0012
O autor era o ex funcionário da empresa, invadiu o servidor, mudou o index.html e depois apagou o log

Origem 006 — 10/10/2024 09:46 a 09:47 — Uso do IPED na triagem, indexação e análise

10/10/2024 09:46 · Membro 0164
Bom dia pessoal. Gostaria de tirar uma dúvida sobre o IPED. Alguém pode ajudar?
O arquivo IPEDConfig possui possui uma opção "enableCarving = false", eu ativei essa opção, pensando que era para ativar o carving padrao, mas começou a aparecer erro no fim do processamento. Então fui verificar e percebi que trata-se de um tipo de carving para arquivos específicos, é isso ?
10/10/2024 09:47 · Membro 0164
ele deve ficar desativado mesmo, usar somente para arquivos específicos em espaços não alocado ?