Recuperação de dados de uma unidade SSD

Question

Recuperação de dados de uma unidade SSD

#1 resposta do (9 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

5

Não estou nem perto de um hacker ou segurança. Eu sou apenas um pai de dois jovens que gosta de viajar. Eu não sei se está tudo bem perguntar aqui, mas o que vocês falam é bem mais do que eu, mas achei que você poderia ter uma idéia.

Alguns meses atrás, meu macbook air de 2010 estava realmente lento, então decidi fazer uma cópia de segurança do meu sistema usando o Time Machine e um Time Capsule e gravei meu drive SSD mac para fazer uma nova (re) instalação do Mac OS X. Eu não usei meu backup do Time Machine para começar de novo porque eu queria que tudo fosse novo e fresco. Mas o que eu não sabia naquela época é que o Time Machine continuaria a criar um backup do meu sistema com o mesmo nome. Então todos os meus filhos / fotos de viagens, vídeos, documentos do meu sistema anterior foram embora. Continuei usando meu macbook air por alguns meses antes de perceber que tudo estava acabando na minha cápsula do tempo. Agora, eu tenho um novo macbook pro, então peguei meu antigo disco SSD do meu antigo macbook air e comprei um caso Envoy para poder usá-lo como uma unidade externa para tentar recuperar meus arquivos. Eu não tenho idéia se houve um cofre de incêndio ativado nesta unidade nem eu sei sobre o TRIM. Tudo o que sei é que posso procurar meus arquivos de sistema antigos usando essa configuração. Quando eu uso qualquer software de recuperação de dados que eu possa encontrar na internet, tudo que eu encontro são os arquivos que foram "criados" depois que eu formei o meu sistema (e reiniciei), mas nada antes disso.

Existe uma maneira de um não-phd ou masterrussianhacker recuperar esses arquivos?

Muito obrigado!

Jonathan

ssd

por Jonathan Brunelle 11.09.2017 / 02:52

3 respostas

Tags ssd

Quais são as configurações padrão do mouse no Windows 10? Qual é a melhor maneira de instalar o nodejs mais recente com o npm no linux alpino

score 9 · Answer 1

Sua melhor chance de recuperação é por meio de um serviço profissional de recuperação de disco. Se os dados puderem ser recuperados, eles serão os únicos a fazê-lo. Naturalmente, esses serviços são muito caros (não se surpreenda com uma citação de quatro dígitos porque a tarefa é trabalhosa), mas se os arquivos valerem a pena para você e você tiver os recursos, considere isso.

Se você quiser brincar, a primeira coisa a fazer é comprar um hardware USB Write Blocker, talvez algo parecido com este, se funcionar com o seu SSD , para garantir que você não substitua acidentalmente ou intencionalmente qualquer um dos dados no seu SSD ao iniciar suas explorações.

Em seguida, confira o The Sleuth Kit (TSK) e Autópsia . O Sleuth Kit é um kit de ferramentas de análise forense gratuito que inclui ferramentas de análise de disco, incluindo a capacidade de recuperar arquivos excluídos. A autópsia é um front-end gráfico para o TSK e outras ferramentas e inclui módulos para executar tarefas como visualizar imagens.

O truque para usar a autópsia é entender a linguagem de seus passos. Tenha sempre em mente que a ferramenta é destinada ao uso por investigadores da lei, que procuram evidências de atividades criminosas, como pornografia infantil, drogas, listas de contatos, e-mails antigos, arquivos editados recentemente, ferramentas de hackers, etc. fale sua própria língua. Nada disso se aplica a você, é claro, mas ajuda a ver os passos através dos olhos deles.

Leia a documentação, mas a primeira coisa que você precisará é criar um caso. Isso é apenas um arquivo para rastrear todas as coisas que você faz. O caso precisará então de uma "fonte de dados" - tudo que você escolhe é "unidade local" e, em seguida, seu SSD com bloqueio de gravação.

Você então diz à Autópsia para "ingerir" a fonte de dados, que é onde ela executa várias ferramentas no disco para descobrir o que está nela. A maior parte do material da lei não se aplica a você, então quando você ingerir a fonte de dados, desative os módulos de entrada para coisas que obviamente não se aplicam, coisas como "hashes", "máquinas virtuais", "analisadores de e-mail" , etc.

A autópsia começará então a processar o disco. Ele é executado em segundo plano e pode levar muito tempo; quanto maior o disco, mais tempo demora. Você pode ver os arquivos assim que começar a mostrá-los, mas assim que confirmar que está funcionando, é melhor voltar atrás e terminar.

Você provavelmente estará mais interessado em usar a ferramenta manual chamada Módulo Galeria de Imagens. Este é um visualizador rápido que lhe permitirá percorrer todas as imagens que encontrar. Ao encontrar os arquivos que você deseja salvar, você pode clicar com o botão direito do mouse sobre eles e exportá-los como arquivos locais.

Tenha em mente que a ferramenta destina-se a localizar arquivos que foram ocultados ou excluídos. Se você tiver imagens na unidade (talvez no histórico do navegador) que não estaria disposto a compartilhar com outros membros da sua família, realize a recuperação da unidade em particular!

Boa sorte!

score 1 · Answer 2

Embora eu deva responder segundo Johns para adiar esse trabalho delicado para especialistas em recuperação de dados, por favor fale com a Apple ! Talvez eles possam cavar fundo (er) em seu backup e recuperar seus arquivos originalmente copiados para você. Se puderem, isso certamente seria mais rápido e mais barato do que a rota de recuperação de dados, e os arquivos restaurados seriam reproduzidos com precisão (com recuperação de dados, você pode perder bits de dados aqui e ali, o que pode se traduzir em algo feio) bloqueios em algumas fotos para arquivos completamente ilegíveis).

Eu não sei como o Time Capsule funciona (nem mesmo um usuário de Mac), mas normalmente com backups você deve conseguir recuperar revisões mais antigas de arquivos - ou arquivos excluídos. O intervalo de tempo pode significar que eles liberaram alguns dados, não sei.

Você também pode procurar ajustar suas configurações de backup (na medida do possível) para que "nunca" exclua arquivos do seu backup, se eles forem excluídos do sistema local (afinal, esse é o objetivo de um backup, não? ).

score 0 · Answer 3

O que geralmente acontece é que o Time Machine inicia um novo backup, e seu outro backup não está sendo usado porque o Time Machine não acredita que o computador reinstalado é o mesmo que o computador "outro" que ele possui. para.

Você pode ver o outro backup facilmente, mantendo pressionada a opção enquanto clica no ícone do Time Machine na barra de menu. Selecione "Procurar outros discos de backup". Ele pode não oferecer discos, caso em que você precisa acessar a unidade do Time Capsule primeiro.

Se você não tiver um ícone da barra de menus para o Time Machine, poderá ativá-lo por meio do painel Time Machine das Preferências do Sistema.

Tenha em mente que as operações em um Time Capsule podem ser extremamente lentas. Você pode querer ativar a barra de status do Finder (através do menu View) para que você possa ver o spinner no canto inferior direito.

Para acessar a própria unidade Time Capsule, verifique a barra lateral do Finder. Ele deve aparecer como o nome do próprio Time Capsule em Compartilhado, o que geralmente levará a um volume chamado "Dados". Ele nem sempre seleciona quando você clica duas vezes, então olhe pela barra lateral se você não vir nenhuma ação depois de alguns minutos.

Depois de aberto, você verá os sparsebundles dos vários backups. Todo computador que faz backup no Time Capsule terá seu próprio arquivo, assim como os computadores que iniciaram um novo conjunto de backup após um apagamento. Eu não recomendo abrir um arquivo de backup do Time Capsule via Finder, porque é lento e copiar arquivos diretamente pode causar problemas para backups futuros.

Independentemente de você encontrar ou não outro conjunto de backup, outro problema que pode ocorrer é que sua pasta base atual pode não ter sido criada com os mesmos detalhes específicos da primeira vez e, portanto, o Time Machine pode não Perceba que deveria mostrar a você. Entre no Time Machine através do ícone da barra de menu Time Machine, navegue até o Macintosh HD e depois na pasta Users. Em seguida, dê uma olhada na linha do tempo no lado direito, passando o mouse sobre uma linha e mostrando a data desse backup. Se você encontrar um backup da era correta, poderá restaurar os itens.

Eu sei que há muitas informações a serem processadas, mas fique à vontade para fazer as perguntas que surgirem.