Recuperação de Dados e Data Carving em HD's, Pendrives e Partições de Disco formatadas ou corrompidas utilizando ferramentas forense.

Recuperação de dados de HD's, mídias removíveis e partições corrompidas e formatadas com ferramentas Forense  no Linux. 

Neste artigo estarei realizando exemplos práticos de recuperação de dados que podem ser aplicados em HD's, Pendrives, Cartões SD e até partições corrompidas e formatadas, e nela estarei utilizando duas aplicações forense. Nos exemplos estarei utilizando a distribuição Kali Linux, mas eles poderão ser reproduzidos em qualquer ambiente.

Aplicações Forense 

Foremost

O Foremost é um programa para recuperação de dados que trabalha a partir dos headers, rodapés e locações nas tabelas de armazenamento internas das midias. Ele é utilizado para extração e mineração de dados, mais processo mais conhecido como Data Carving. Além de vasculhar as tabelas FAT, NTFS, ele pode vascular filesystens como ext3, ext4 e etc, além de conseguir fazer a mineração diretamente em imagens geradas pelo dd.


Scapel

O Scapel assim como o foremost é utilizado para mineração de dados, e pode ser utilizado tanto para análise forense quanto pra recuperação de arquivos. Ele lê bancos de dados de cabeçalhos e é capaz de fazer a extração


Utilizando o Foremost

Vamos utilizar o foremost para fazer a recuperação de dados em um pendrive que foi formatado, fazendo com que ele perdesse grande quantidade de informações armazenadas.

Primeiro vamos identificar o dispositivo de mídia inserido.

 #fdisk -l

No caso a mídia removível que eu quero realizar a mineração de dados é a /dev/sdc1. Então vamos criar um diretório para subir o backup dos arquivos resgatados. Lembrando é bom analisar bem a partição ou mídia que você está tentando resgatar. 

A sintaxe é simples:

foremost -t TIPOS -v -i /CAMINHODODISPOSITIVO/ -o /DIRETÓRIO/OUTPUT

Vamos testar:

Vamos criar o diretório Output:

 # mkdir /root/data-backup

Agora vamos relizar a varredura: 

 # foremost  -t all -v -i /dev/sdc1 -o /root/data-backup

O foremost irá realizar a varredura em todos os headers das tabelas do dispositivo e criar pastas no diretório de output armazenando elas por tipo.

Vamos entender melhor o que a gente fez?

# foremost  -t all -v -i /dev/sdc1 -o /root/data-backup

-t é o parâmetro que usamos para identificar as extensões dos arquivos que queremos recuperar. No exemplo eu usei o parâmetro all para recuperar todas as extensões existentes, mas da pra gente ser mais específico utilizando foremost -t jpg,pdf e etc.

-v é o parâmetro que utilizamos para ativar o modo verbose, para o programa jogar as informações na tela enquanto roda.

-i é o dispositivo de orígem, ou seja, o dispositivo ou partição que iremos recuperar

-o especifica o diretório output da pesquisa, onde o foremost irá jogar todo o resultado. 


Utilizando o Scalpel

O Scalpel, assim como o Foremost pode fazer uma checagem completa na partição ou dispositivo e recuperar bastante coisa. Diferente do foremost, você deverá identificar as extenções dos arquivos a serem recuperados dentro do arquivo de configuração do Scalpel, o /etc/scalpel/scalpel.conf. Normalmente todas as extensões vem comentadas, então será necessário acessar o arquivo e descomentar sempre que for realizar o data minning.

 # vi /etc/scalpel/scalpel.conf 

Para o exemplo eu vou descomentar  as linhas referentes as imagens GIF, JPG, PNG e BPM para o testes.

Feito isso, vamos verificar em qual partição ou dispositivo iremos realizar a mineração de dados.

 # fdisk -l

A unidade que eu vou efetuar a análise é a /dev/sdb, um pendrive que eu tenho aqui formatado em NTFS.

Vamos efetuar os testes, Hands On!!

 # mkdir recuperados

 # scalpel /dev/sdb -o recuperados 

O Scalpel irá fazer toda a verredura das tabelas procurando endereços em hexadecimal parecido com o das extensões que você atribuiu e irá jogar tudo no diretório "recuperados" que criamos anteriormente.

Após o termino, ele vai salvar todo o output na pasta que você atribuiu como o output separados por extensão.

Fonte: http://www.nanoshots.com.br/2015/08/data-recovery-forense-em-dispositivos-e.html

Resetar senha Windows 7

1) Inicie o PC usando um disco de instalação do Windows. O que veio com seu computador deve servir. Espere o instalador carregar, selecione um idioma para a instalação e clique em Avançar.

2) Clique em Reparar seu computador, selecione o OS a reparar e tome nota da letra do drive onde o sistema está instalado. Clique em Avançar. Na lista de ferramentas de recuperação, clique em Prompt de Comando. 

Nos próximos passos nos referimos ao drive com o sistema operacional como o drive C:. Se em seu PC o sistema estiver em outro drive, substitua o C: nos comandos abaixo pela letra do drive correspondente.

3) No prompt de comando digite: copy c:\windows\system32\sethc.exe  c:\ e tecle Enter

4) Agora digite copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe e tecle Enter

5) Saia do Prompt de Comando (digite exit e tecle Enter) e reinicie o PC. Na tela de login, tecle Shift cinco vezes seguidas. Isso fará com que um prompt de comando apareça na tela. 

^{Depois de conseguir acesso a um prompt, basta um comando para mudar a senha}

6) No Prompt digite o comando net user username password, substituindo username pelo seu nome de usuário no Windows e password pela nova senha que você quer definir, e tecle Enter. Se você não se lembra do seu nome de usuário, digite apenas net user (seguido de Enter) para ver uma lista com todos os usuários do sistema.

7) Saia do Prompt de Comando e faça login com a nova senha. Problema resolvido!

Agora você precisa desfazer as mudanças anteriores para impedir que alguém explore o mesmo truque e mude sua senha. Repita os passos 1 e 2 acima, e no Prompt de Comando digite copy /y c:\sethc.exe c:\windows\system32\sethc.exe e tecle Enter. Saia do prompt de comando e reinicie o computador.

Ocultar Partição do Windows

1 - Abra a janela Executar do Windows utilizando o atalho Windows+R e digite “diskpart”. Com isso, abrirá uma janela com o Prompt de Comando;

2 - Digite “list volume” e aperte a tecla Enter. Assim, surgirá uma lista com todas as partições do disco rígido;

3 - Verifique a letra da partição que gostaria de ocultar e veja qual o volume relacionado a ela. No nosso caso, esconderemos a letra “D” no “Volume 1”;

4 - Utilizando o nosso exemplo, digite “select volume 1”. Mude o número do volume de acordo com sua necessidade;

5 - Para finalizar, digite “remove letter D”, pois está relacionado ao Volume 1 que acabamos de selecionar. Apesar do nome “Remove” (Remover), ele não apagará os dados, apenas ocultará a partição. Para aplicar a modificação, reinicie o computador.

Mostrar a partição oculta

Caso queira mostrar a partição escondida anteriormente e reativar os dados gravados nela, refaça o procedimento descrito nos itens 1 e 2 deste artigo. Em seguida, localize a partição que gostaria de reativar e digite “select volume 1”. Da mesma forma que anteriormente, mude o número do volume de acordo com o desejado.

A próxima etapa depende do sistema operacional utilizado. Para o Windows XP, digite “assign letter D”. Para os Windows 7 e Vista, digite “assign letter=D”. Assim, todos os arquivos desse volume estarão disponíveis novamente para uso.

Erro ao Abrir Link no e-mail pelo Outlook

Fonte: Microsoft

Quando você clica em um link usando aplicações do Microsoft Office (por exemplo: Microsoft Outlook, Word, Excel, Powerpoint) você recebe a seguinte mensagem de erro: 

1. Feche todas as aplicações do Office
2. Clique em Iniciar; Todos os programas, Internet Explorer
   
   
   
   
   
3. No Internet Explorer clique em Ferramentas e então selecione Opções da Internet
   
   
   Expandir esta imagem

   
   
   
4. Selecione a guia Programas e clique no botão Tornar Padrão
5. Clique em OK e feche o Internet Explorer
   
   
   
   
   
6. Nós podemos executar os próximos para você ou poderá executa-los você mesmo.
   
   1. Clique em Iniciar, Todos os programas, Acessórios e selecione Bloco de Notas
      
      
      
      
      
   2. Copie o texto abaixo e cole no Bloco de Notas
      
      
      REG ADD HKEY_CURRENT_USER\Software\Classes\.htm /ve /d htmlfile /F 
      REG ADD HKEY_CURRENT_USER\Software\Classes\.html /ve /d htmlfile /F 
      REG ADD HKEY_CURRENT_USER\Software\Classes\.shtml /ve /d htmlfile /F 
      REG ADD HKEY_CURRENT_USER\Software\Classes\.xht /ve /d htmlfile /F 
      REG ADD HKEY_CURRENT_USER\Software\Classes\.xhtml /ve /d htmlfile /F
      
   3. Salve o arquivo como MSO_Hyperliks.CMD na área de trabalho e feche o Bloco de Notas
      
      
      
      
      
   4. Execute o arquivo MSO_Hyperlinks.CMD salvo na área de trabalho; (Para Windows Vista ou Windows 7 clique com o botão direito do mouse sobre o MSO_Hyperlinks.CMD e selecione Executar como Administrador)
      
      
      Aparecerá uma mensagem do controle de contas de usuario. Escreva a senha de administrador ou clique em Continuar. Aparecerá uma mensagem de advertência do Editor do Registro; clique em Sim.

Como imprimir em qualquer impressora pelo iPhone

se você tem sua impressora em casa instalada no seu computador, tem Wi-Fi e gostaria de imprimir direto do seu aparelho (iPhone, iPod ou iPad) sem ter que precisar comprar uma impressora compatível? Essa postagem explicará como compartilhar sua impressora instalada no seu desktop e ela ser reconhecida pela tecnologia AirPrint. A configuração é toda feita no computador, os pequenos portáteis não terão nenhuma modificação.

Material necessário:
- Computador com Windows, iTunes e impressora instalada
- AirPrint.zip
- Ter instalado o iTunes com o Serviço Bonjur iniciado.
- Qualquer aparelho com iOS 4.2 ou superior instalado - iPhone, iPod ou iPad

Os passos abaixos foram feitos no Windows 7, mas funcionam no Vista e no XP sem problemas.

- Faça o download do AirPrint, descompacte-o e coloque na pasta C:\Arquivos de Programas\ ou C:\Arquivos de Programas (x86) se o seu Windows for 64-bits.- Abra o prompt de comandos como Administrador em Iniciar > Todos os Programas > Acessórios > Clica com o botão direito em Prompt de Comando > Executar como Administrador.
- Digite os dois comandos abaixo (sugiro copiar e colar pois tem espaço em branco depois de cada "=" que deve ser preservado):

1º Comando:

 sc create AirPrint binPath= "C:\Arquivos de Programas\AirPrint\airprint.exe -R _ipp._tcp,_universal -s" depend= "Bonjour Service" start= auto  

2º Comando:

 sc start AirPrint  

OBS: Se o seu Windows for 64-bits, acrescente o (x86) depois de Arquivos de Programas, ficando C:\Arquivos de Programas (x86)\AirPrint\airprint.exe.

- Vá até a pasta C:\Arquivos de Programas\AirPrint e execute o airprint.exe. O firewall do Windows perguntará se deseja permitir acesso ao programa. Permita o acesso e feche a janela do DOS que abre ao executar o programa.

Caso a sua impressora ainda não esteja compartilhada, vá ao Painel de Controle e depois em Impressoras. Clique com o botão direito na impressora que deseja compartilhar e selecione Propriedades da Impressora.

Na aba Compartilhamento, marque a opção Compartilhar essa impressora e clique em OK.

Pronto, agora é só mandar imprimir algo do seu iPhone, iPod ou iPad. Caso ele peça alguma senha, é a senha do seu usuário do computador.