Recuperação de dados

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Recuperação de dados é o processo de recuperação e tratamento dos dados através dos dados de mídias de armazenamento secundário danificadas, falhadas, corrompidas ou inacessíveis quando ela não pode ser acessada normalmente. Geralmente os dados estão sendo recuperados de mídias de armazenamento, como unidades de disco rígido internas ou externas, unidades de estado sólido (SSD), unidade flash USB, fitas de armazenamento, CDs, DVDs, RAID e outros eletrônicos. A recuperação pode ser necessária devido a defeito físico do dispositivo de armazenamento ou defeito lógico do sistema de arquivos que impede que o impede de ser montado pelo sistema operacional (SO) do hospedeiro.

O cenário mais comum de recuperação de dados envolve uma falha do sistema operacional, dano acidental etc. (normalmente em um sistema de disco único, partição única e SO único), caso em que o objetivo é simplesmente copiar todos os arquivos desejados para outro disco. Isto pode ser realizado facilmente usando um Live CD, muitos dos quais fornecem um meio de montar a unidade do sistema e realizar backups de discos ou mídias removíveis e mover os arquivos do disco de sistema para a mídia de backup com um gerenciador de arquivos ou software de autoração de disco óptico. Tais casos geralmente podem ser mitigados pelo particionamento de disco e o consistente armazenamento de arquivos de dados (ou cópias deles) valiosos em uma partição diferente dos arquivos de sistema do SO substituíveis.

Outro cenário envolve uma falha de nível de disco, como um sistema de arquivos ou partição de disco comprometidos, ou uma falha de disco rígido. Em qualquer dos casos, os dados não podem ser facilmente lidos. Dependendo da situação, as soluções envolvem o reparo do sistema de arquivos, da tabela de partição ou do registro mestre de inicialização, ou técnicas de recuperação de disco rígido variando de recuperação de dados corrompidos baseada em software, recuperação de áreas de serviço (também conhecidas como o "firmware" do disco rígido) danificadas baseada em software e hardware, a substituição de hardware em um disco danificado fisicamente. Se a recuperação de disco rígido for necessária, o disco em si provavelmente falhou permanentemente e o foco está preferencialmente sobre uma recuperação em um momento, salvando todos os dados que puderem ser lidos.

Em um terceiro cenário, os arquivos foram "deletados de um meio de armazenamento. Normalmente, os conteúdos dos arquivos deletados não são removidos imediatamente da unidade. Em vez disso, referências a eles na estrutura de diretórios são removidas e o espaço que eles ocupam é disponibilizado para posterior sobrescrita. Para os usuários finais, arquivos deletados não são detectáveis por meio de um gerenciador de arquivos, mas estes dados tecnicamente ainda existem na unidade. Entretanto, os conteúdos originais dos arquivos permanecem, geralmente em um número de fragmentos desconectados, e podem ser recuperados.

O termo "recuperação de dados" também é usado no contexto de aplicações forenses ou em espionagem, onde os dados que foram criptografados ou escondidos, em vez de danificados, são recuperados.

Dano físico[editar | editar código-fonte]

Uma grande variedade de falhas podem causar dano físico à mídia de armazenamento, que pode resultar de erros humanos e desastres naturais. CD-ROMs podem ter seu substrato metálico ou camada de tinta raspados, discos rígidos podem sofrer qualquer uma das várias falhas mecânicas, como colisões de cabeça e motores falhados, fitas podem simplesmente parar. Danos físicos sempre causam pelo menos alguma perda de dados e em muitos casos as estruturas lógicas do sistema de arquivos também são danificadas. Qualquer dano lógico pode ser tratado antes que os arquivos possam ser recuperados da mídia falhada.

A maioria dos danos físicos não pode ser reparada por usuários finais. Por exemplo, abrir um disco rígido em um ambiente normal pode permitir que a poeira do ar se instale no prato e fique presa entre o prato e a cabeça de leitura/escrita, causando novas colisões da cabeça que danificam ainda mais o prato e assim compromete o processo de recuperação. Além disso, os usuários finais geralmente não possuem o hardware ou experiência técnica necessária para fazer esses reparos. Consequentemente, as empresas de recuperação de dados são geralmente empregadas para salvar dados importante com aqueles mais respeitáveis que usam salas limpas [[classe 100] livre de estática e poeira.[1]

Técnicas de recuperação[editar | editar código-fonte]

Recuperar dados de hardware fisicamente danificado pode envolver várias técnicas. Alguns dados podem ser reparados substituindo-se partes no disco rígido. Isto por si só pode tornar o disco utilizável, mas ainda pode existir dano lógico. Um procedimento especializado de produção de imagem de disco é usado para recuperar todo bit legível da superfície. Uma vez que esta imagem seja adquirida e salvada em um meio legível, a imagem pode ser seguramente analisada para danos lógicos e possivelmente permitirá que muito do sistema de arquivos original seja reconstruído.

Reparo de hardware[editar | editar código-fonte]

Ficheiro:HD with toasty PCB.jpg
Mídia que sofreu uma falha eletrônica catastrófica requer a recuperação de dados, a fim de salvar seu conteúdo.

Um equívoco comum é que uma placa de circuito impresso (PCB) danificada possa ser simplesmente substituída durante procedimentos de recuperação por uma PCV idêntica de uma unidade não-defeituosa. Apesar deste procedimento funcionar em raras circunstâncias em discos rígidos fabricados antes de 2003, não funcionará em discos rígidos novos. Placas eletrônicas de unidades modernas normalmente contém dados de adaptação específicos da unidade necessários para acessar suas áreas de sistema, de modo que os componentes relacionados precisem ser reprogramados (se possível) ou dessoldados e transferidos entre duas placas eletrônicas.[2] [3]

Cada unidade de disco possui o que é chamado de uma área de sistema ou área de serviço. Esta porção da unidade, que não é diretamente acessível ao usuário final, normalmente contem o firmware da unidade e dados adaptativos que ajudam a unidade a operar dentro de parâmetros normais.[4] Uma função da área de sistema é registrar setores defeituosos dentro da unidade, dizendo essencialmente à unidade de disco onde ela pode e não pode escrever dados.

As listas de setor também são armazenadas em vários chips adjuntos à PCB e elas são únicas para cada unidade de disco. Se os dados na PCB não correspondem com o que está armazenado no prato, então a unidade não será calibrada devidamente.[5] Na maioria dos casos as cabeças do disco rígido erão estalar, pois não serão capazes de encontrar os dados que correspondem ao que está armazenado na PCB.

Dano lógico[editar | editar código-fonte]

Resultado de uma recuperação de dados falha de uma unidade de disco rígido.

O termo "dano lógico" refere-se a situações em que o erro não é um problema no hardware e requer soluções de nível de software.

Partições e sistemas de arquivos corrompidos e erros de mídia[editar | editar código-fonte]

Em alguns casos, os dados em um disco rígido pode estar ilegível devido a danos na tabela de partições ou no sistema de arquivos, ou a erros de mídia (intermitentes). Na maioria dos casos, pelo menos uma porção dos dados originais podem ser recuperados pelo reparo da tabela de partições ou sistema de arquivos danificados usando um software de recuperação de dados especializado como o Testdisk ou M3 RAW Drive Recovery.[6] Software como dd rescue pode criar uma imagem da mídia apesar dos erros intermitentes e cria uma imagem de dados brutos quando há tabela de partições ou sistema de arquivos danificados. Este tipo de recuperação de dados pode ser realizado por pessoas sem experiência no hardware da unidade, uma vez que não requer equipamento físico especial ou acesso aos pratos da unidade.

Algumas vezes os dados podem ser recuperados usando métodos e ferramentas relativamente simples. Casos mais sérios podem necessitar de intervenção de especialista, particularmente se partes dos arquivos estão irrecuperáveis. Esculpimento de dados é a recuperação de partes de arquivos danificados usando conhecimento de sua estrutura.[7]

Dados sobrescritos[editar | editar código-fonte]

Quando dados foram fisicamente sobrescritos em uma unidade de disco rígido, geralmente assume-se que os dados anteriores não são mais passíveis de recuperação. Em 1996, Peter Futmann, um cientista da computação, apresentou um artigo que sugeria que dados sobrescritos poderiam ser recuperados por meio do uso de microscópio de força magnética.[8] In 2001, he presented another paper on a similar topic.[9] Em 2001, ele apresentou outro artigo sobre um tópico similar. Críticas substanciais seguiram, primeiramente lidando com a falta de quaisquer exemplos concretos de quantias significantes de dados sobrescritos sendo recuperados.[10] Apesar de a teoria de Gutmann poder estar correta, não há evidência prática que dados sobrescritos que podem ser recuperados, enquanto que pesquisas foram mostradas para suportar a afirmação de que dados sobrescritos não podem ser recuperados.[11] [12] [13] Para se defender diante deste tipo de recuperação de dados, Gutmann e Colin Plumb desenvolveram um método de purificação de dados irreversivelmente, conhecido como método Gutmann e usado por vários pacotes de software de purificação de dados.

Unidades de estado sólido (Solid-state drive - SSD) sobrescrevem dados de forma diferentes das unidades de disco rígido o que faz com que pelo menos alguns destes dados mais fáceis de recuperar. A maioria dos SSDs usam memória flash para armazenar dados em páginas e blocos, referenciados por endereços de bloco lógico (Logical Block Addresses - LBA) que são gerenciados pela camada de tradução de flash (Flash Translation Layer - FTL). Quando o FTL modifica um setor, ele escreve os novos dados em outro local e atualiza o mapa de forma que os novos dados apareçam no LBA de destino. Isto deixa os dados de pré-modificação no lugar, com possivelmente muitas gerações, e recuperáveis por software de recuperação de dados.

Recuperação de dados remota[editar | editar código-fonte]

Especialistas em recuperação de dados nem sempre necessitam ter acesso físico ao dispositivo danificado. Quando a perda de dados pode ser recuperada por técnicas de software, eles geralmente podem ser usados remotamente com um especialista usando um computador em outro local conectado pela Internet ou outra conexão ao equipamento no local da avaria, apesar do processo essencialmente não ser diferente daquele que o usuário final poderia realizar por ele mesmo.[14]

Recuperação remota necessita de uma conexão estável com uma largura de banda adequada. Entretanto, não é aplicável onde o acesso ao hardware é requerido, como para casos de dano físico.

Quatro fases da recuperação de dados[editar | editar código-fonte]

Normalmente, existem quatro fases quando se trata de uma recuperação de dados realizada com sucesso, apesar de que pode variar dependendo do tipo de corrupção de dados e da recuperação exigida.[15]

Fase 1: reparo do disco rígido
Reparar o disco rígido de forma que ele funcione de alguma forma, ou pelo menos em um estado adequado para leitura de seus dados. Por exemplo, se as cabeças estiverem com defeito elas devem ser substituídas; se a PCB estiver com falha, então ela precisa ser consertada ou substituída; se o motor do eixo (spindle) estiver danificado os pratos e as cabeças devem ser movidas para uma nova unidade.
Fase 2: gerar imagem da unidade em uma nova unidade ou em um arquivo de imagem de disco
Quando um disco rígido falha, a importância de obter-se os dados extraindo-os do disco é prioridade. Quanto mais tempo uma unidade for utilizada, maior será a probabilidade de ocorrência de perda de dados. Criar uma imagem da unidade garantirá que haverá uma cópia secundária dos dados em outro dispositivo, no qual estará mais seguro para realização de procedimentos de teste e recuperação sem prejudicar a fonte.
Fase 3: recuperação lógica de arquivos, partições, MBR e MFT
Após a unidade ter sido clonada para uma nova unidade, é adequado tentar recuperar os dados perdidos. Se a unidade estiver falhado logicamente, há um número de razões par isto. Usando o clone pode ser possível reparar a tabela de partição, o MBR e o MFT com o objetivo de ler a estrutura de dados do sistema de arquivos e recuperar os dados armazenados.
Fase 4: reparo de arquivos danificados que foram recuperados
Danos em dados podem ser causando quando, por exemplo, um arquivo é escrito em um setor na unidade que tinha sido danificado. Esta é a causa mais comum em uma unidade com falha, significando que os dados precisam ser reconstruídos para se tornarem legíveis. Documentos corrompidos podem ser recuperados por vários métodos de software ou por reconstrução manual do documento usando um editor hexadecimal.

Ver também[editar | editar código-fonte]

Referências

  1. Vasconcelos, Pedro. DIY data recovery could mean "bye-bye" The Ontrack Data Recovery Blog Kroll Ontrack UK. Visitado em 23 May 2013.
  2. Hard Drive Circuit Board Replacement Guide or How To Swap HDD PCB. Visitado em May 27, 2015.
  3. Firmware Adaptation Service - ROM Swap. Visitado em May 27, 2015.
  4. Ariel Berkman (February 14, 2013). Hiding Data in Hard Drive's Service Areas (PDF). Visitado em January 23, 2015.
  5. Swapping PCB's on Data Recovery Report
  6. Professional RAW to NTFS Converter SoftwarePredefinição:Snd M3 RAW Drive Recovery 5.0. Visitado em 2015-03-15.
  7. Zeno, Keneth (27 de setembro de 2011). How Does Data Recovery Work? Data Recovery Box. Visitado em 29 February 2012.
  8. Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann, Department of Computer Science, University of Auckland
  9. Data Remanence in Semiconductor Devices, Peter Gutmann, IBM T.J. Watson Research Center
  10. Feenberg, Daniel (14 May 2004). Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. National Bureau of Economic Research. Visitado em 21 May 2008.
  11. Disk WipingPredefinição:Snd One Pass is Enough (17 de março de 2009).
  12. Disk WipingPredefinição:Snd One Pass is EnoughPredefinição:Snd Part 2 (this time with screenshots) (18 de março de 2009).
  13. Wright, Dr. Craig (15 de janeiro de 2009). Overwriting Hard Drive Data.
  14. Barton, Andre (17 December 2012). Data Recovery Over the Internet. Visitado em 29 de abril de 2015.
  15. Stanley Morgan (28 de dezembro de 2012). [Infographic Four Phases Of Data Recovery]. Visitado em 23 de março de 2015.

Leitura adicional[editar | editar código-fonte]

  • Tanenbaum, A. & Woodhull, A. S. (1997). Operating Systems: Design And Implementation, 2nd ed. New York: Prentice Hall.
  • Data recovery no DMOZ