Recentemente lidei com alguns computadores infectados pelo ransomware, com arquivos de usuários criptografados. Meu trabalho era descriptografar esses arquivos (se possível) ou recuperar o máximo possível de arquivos utilizáveis. Isso incluiu também a exclusão de arquivos de imagens de partição NTFS.
Claro que eu já conhecia as ferramentas "first" e "ntfsundelete", e as usei antes para outras tarefas. No entanto, agora eu tenho um problema com eles.
O problema é que ambas as ferramentas tentam recuperar todos os arquivos possíveis, inclusive os que já foram sobrescritos (parcialmente de forma completa). Esse comportamento é provavelmente muito útil em um laboratório forense, onde até pequenas partes de imagens / filmes / documentos podem ser tratadas como evidências. No entanto, no meu caso de uso, meus clientes estão interessados em recuperar somente arquivos totalmente restaurados e não têm tempo de pegá-los de milhares de arquivos corrompidos.
(Eu também sei que o ntfsundelete tem o parâmetro -p, mas não funciona suficientemente em muitos casos.)
Então, minha pergunta é: qual é o método mais eficiente em termos de tempo para executar a recuperação automática de arquivos excluídos de partições NTFS, evitando a restauração de arquivos corrompidos / sobrescritos?
Tags ntfs data-recovery forensics