bom então vamos lá pessoal por mais uma aula hoje sobre recuperação de arquivos no windows tá eu estou nossa gêmea recuperando arquivos excluídos como autores analisam a lixeira do windows e fazendo a remontagem de idade a gente já viu algo sobre isso sobre remontagem que dá atacar vive algum sofre só vai comentar aqui de aviso tá então a recuperação de arquivo não é uma tarefa importante na investigação digital porque o suspeito ou alguém ou algum mal ele pode ser infectar eu comprometer alguma coisa algum dispositivo algum arquivo na máquina e aí depois fazer a exclusão
desse tá então aí precisa saber é como investigador ali é como analista forense né resposta se desentender onde é que tem esse arquivo né onde é que eles foram parar como foi poder essa exclusão tá então para isso a gente vai ter mais algumas técnicas e ferramentas é uma delas a gente tá usando aqui no nosso curso e aí o ops e aí a gente abre o arquivo para um caso normal é escolhe a mídia que ocorre para utilizar previdência né a gente viu na aula anterior questões de serra a são diretório é uma pasta
específica nessa é um arquivo demais isso é um agente específico tá então a gente vai selecionar que o photorec cava lembrando que tá aqui ó no o modo de ingestão né todos os arquivos diretórios espaço não alocado está em belém já falou sobre leque space né em aulas anteriores já possuo espaço não alocado porque a gente poder recuperar aquilo ele não consegue ver tá diretório e aí selecionada que ele falou processo canal aqueles face tá e aí para os autópsia de bayern lá para o da automaticamente no espaço não alocado de faculdade fornecida né então
depois cheio de roda aquele modo de gestão e vai aparecer lá envio da tec o suor e deleta ele faz aqui tá até amanhã minha data de afonso né previdência tá mas 013 estamos errado o jet modos é que aparece aqui de levar no caso aqui só tinha 2 arquivos tá é só falta alegre jamais sonora na aula 3.5 na parte 2 lá na ferramenta eu pensou se gratuita pode ser usada sozinha né eu posso a gente já falou sobre isso não que posso baixar o photo regra tem no se tá eu posso colocar no
pen drive também usb e executar e aqui a gente mostrou como é que a gente pode usar ela como um módulo dentro do altos tá então ela recupera arquivos e diferentes tipos de dispositivos de mídia digital né como hdmi usb cartão sd a cd ruim para você a tinha usb nele algum momento eu apagou apagou tudo é o aí bebê mas na frente se ainda na aula de hoje e usb você apaga ele não vai para lixeira né então apagou e já era né paga permanentemente entrou indo já só que a gente viu né conta
paga nós temos de arquivos a o que apaga ali de fato é o direcionador para que ele né o meu time aqui cê já pouco funcionário que você manda um do livro então agora acertar quero falar sobre a fala sobre romance' né a hora que fulaninho beija-flor ninho então você massinha preta tensa nós vamos a mais ou menos o maior torneio bem fininha vai lá procurar paz né abre é capaz que sim fala forma você uma dentro de mim e falou sobre esse aos anterior já então eu tenho ao apontamento para aquele aí node né
que tá desse lado mexendo aquilo então aquele espaço lá dentro do meu meu setor então quando a gente olha ali o estamos aqui apaga aquele aquele direcionador né que é pontador para que ele aquele nome daquele bloco específico para ele tá dentro dos setores do nosso hd beleza então o arquivo provavelmente nela que vai estar lá entendeu então quando a gente rouba o cara mas como photorec ou outra né o for most obscuro school tiver conseguir o tempo lugar de conseguir recuperar essa isso não porque sobre feito naquela região tá ou parte dele né o
arquivo inteiro ou fragmentos do arquivo tá então a falar sobre lixeira do windows tá a lixeira do windows ele contém arquivos que foram excluídos pelo usuário é mas que ainda estão dentro do sistema né então para remover permanentemente que apresenta aperta né chip dela no momento né aí você consegue apagar aquele arquivo permanente meio do modo que não vai para lixeira tá só que a maioria dos usuários fico muito triste com essas obras são tá e aí na lixeira é quando você os olhos vai lá pagar a lixeira pode ter muita coisa importante tira logo
vai virar esse importante tá bem bom então não ainda se espera um pouco usada é pouco ainda hoje x pena mas ainda tem em casa somente quando eu pessoal usa para sistemas legados aí quando sora os unem para morrer de parecendo mesma forma então não deixes pena não com sua mulher que viu fátima o arquivo excluído ele somos lá na página místico e aí dentro do diretório raiz do windows está instalado não aumenta você então contém um arquivo também né lá dentro do site tem um arquivo também chamado info2 que esse arquivo ele tem mais
saudade daquele arquivo tá então tô aqui viu que só apagar não o principal quanto esse metadados eles ficam no modo oculto né então pra ver teria que liberar aquela forma de visualizar a 15 partes ocultas do windows tá e ainda não xp está na parte aqui para um ou mais página defender a quantidade de usuários que tem ali então hoje vai querer uma pasta né para cada usuário que excluir alguma coisa aí colocou de lixeira né então a pasta é o nome da pasta vai ser o essa id de usuário né culpo essa ele é
o aí de segurança que serão específicos isso aqui ele tem digitar então se houver mais de um usuário né cada um vai ter sua própria caixa tá bem o arquivo info dois é dentro dessas partes contém o índice de todos os arquivos que foram excluídos anteriormente também estão até esse dois também contém metadados sobre cada daqui biscuit então tem um caminho original dele o tamanho do arquivo e data e hora que foi excluído tá o importante disso que pode ser para investigação tá é um dispositivo receber não vão para a lixeira né que a gente
falou né só apagar de permanentemente oi e aí do windows vista na indiana 7 8 10 a gente tem essa versão da costura na parte vou por causa do ensaio combina fica dentro do diretório lado unidades enorme de ser porque a onde fica instalado o windows não é poder pouco tá então dentro dessa dessa página do recebe clubinho vai aqui também as partes o nome é isso aí né o nome da faixa vai sair do usuário que foi excluído aí dentro dela eu transporte entrega que tem um exemplo tá no windows 7 se eu tenho
lá dentro do diretório ser ou e sai coaching tá bem oi e aí a quando arquivo excluíram é o windows ele move dois arquivos para a lixeira tá você mesmo quando estava xp então um contém os dados reais do arquivo né que é o nome daquele inicia com o com r tá o cifrão r certo e o outro que eu tenho os metadados do arquivo né semelhante alguém for dois lá só que aqui eu tenho o nome do arquivo de começa com dólar e também então nesse sentido agora nesse caso do windows vistas em diante
nas sete oito e dez a você elimina o arquivo info 2 também então tenho dois arquivos o arquivo que contém os dados real que foi excluído né o dólar e o arquivo que têm aumentado arquivo com o dólar aí ó oi tá toca passo da lixeira do windows não é uma observação aqui a lixeira do windows tem capacidade de armazenamento ilimitada tá não é limitada no windows xp ele por padrão que eu possa 10 por cento da cidade de corrigir né então se chegar capacidade máxima ele vai fazer feito um ciclo né eles clubes antigos
para liberar espaço nos novos excluídos aí entra ltda no excluir permanentemente ele entrar entrar os novos tá exclusivo excluídos então no vídeo de mais recente na dúvida para cá não é o quadrado 10 porcento dos primeiros 40gb da unidade na dando principal fortalecer e cinco porcento do espaço de armazenamento do restante que estejam acima de 40 gigabyte tudo bem então de 4gb para cima aí e se estiver acima de 40 gb né o lugar você também então a gente vai fazer uma uma prática aqui né é que vocês façam em casa é esse aqui ó
que não tem windows né você pode fazer na sua máquina principal tá não tem problema o pode fazer numa máquina virtual né quem não tem um windows instalado aí essa máquina virtual era antiga né foi descontinuada a microsoft disponibilizará vá máquinas com windows 7 windows 8 windows 10 de forma gratuita para você vale das suas aplicações para internet explorer tá a esse ainda tem essa mais algo no passado aí então janeiro desse ano a microsoft continuou isso ele liberou agora né por meio desse esse página que tá aí eu vou deixar na descrição para o
meio desse link aí ele a somente o windows 10 agora tem um ele é 11 lá internet explorer 11 e o ad e a válidas aplicações então é uma máquina virtual tá o windows já eles saladinha então você vai lá e que a gente consegue fazer esses pênis né cortei no virtualbox consigo fazer essa essa prática tá então aquele os arquivos lá png aqui pensa em um arquivo box x1 como excluir e aqui vou para o próprio de comando tá pra gente analisar então tem o primeiro aqui ó cê de né tô dentro dele é
o se usa você de barba ainda aqui você teve um site o binho tá manda o dias menos barrar esse é semelhante ao minimizar o lsn usá-la no linux que é para verificar arquivos ocultos tá então ba ele mostra aqui o único a único é seguinte a esse aqui ó vai sair de identifica esse ir aí e é e usar tá dentro do do windows tá bem oi e aí fui lacrei outro usuário para a gente validar e testar o usuário e aí apareceu aqui é o outro é sair de certo sendo que aí como
é que eu vou saber né qual essa ide corresponde a determinado usuário tá então existe aqui né e na lisa né então cada nome da parte correspondência dos olhos de freio arquivo então cada subpasta criado na primeira vez que o usuário excluir um arquivo tá então não somente porque eu criei ali usuário que ele vai aparecer né mas eu criei e excluir alguma coisa então quando eles falou alguma coisa ele vai para lixeira tá então para saber o nome da conta de usuário que postou isso de baixa né vai ser específicas eu disse que eu
mando aqui ó o wm mc wm e usar cause get name vírgula essa elisa não vai pegar o nome da conta e o essa ele ó e aqui eu comparo é com o dia e menos ar desde executor lá e aqui eu vejo que o final é mil né que já tá aqui tá eu ia aí usa e o meu e quatro usuário teste beleza então isso aqui eu entrei na para usar o teste né pneu usuário até hoje com a conta do ilson vamos administrador em loguei como usar o teste crew os arquivos e
os escolhida mesmo assim ele aparece lá para eu ir aí usa tá bem então entra aqui ó no teu número aí que eu vim tá aqui em cima né eu sair por mim não mandei um cd com essa ide né o final mil do usuário e aí usa eu disse - ah para listar os diretórios arquivos ocultos ele vai mostrar aqui ó e o dólar aí né somos arquivos do que metadados do doxy do png e o dólar r do nome aqui aqui são arquivos ou de fato o arquivo tá até pelo tamanho a gente
veio aqui né então eu tenho 1544 baixo para cada metadado e aqui a um 1914 mais e 12 12 acabasse aproximadamente né do png tá bem então é isso aqui são os arquivos da lixeira e aí eu abro a lixeira consigo ver aqui né 11 cabaites né 1.8 fica abaixo da média certo oi e aí uma ferramenta que ajuda a gente a recuperar isso né é a ferramenta aí passe tá dani sofrência primo tá aqui o link para baixar em cima também então vai lá daí logo aí passa e aí por fazer análise dos metadados
desculpa né não vai recuperar praia tranquila para fazer análise de metadados dos arquivos tá então ele até que eles que são é uma ferramenta fazer o pai passo do windows né do dólar aí de arquivos eu dois sai cobrindo windows vista e posterior tá então eles são de dois modos de operação para poder adora e arquivo é um modo de história permite que você aponte um e passe para o diretório vários arquivos e é dólar aí tá do índice e eu arquivo modo daqui ele passa o arquivo individual certo e aí ele vai o modo
ele passa todos os dentes fainé do rosto específico diretório e a saída ele mostra uma forma lá tabular né mano na tabela e e foram passear do diretório que estava inicial aí se tiver algum erro mano lá no algum erro tá então é bem sim né dá dois cliques vamos mostrar aqui ele mostra você escolhe qual é o diretório tão daqui vídeo aula aí e a saída certo e aqui pessoal aqui pra gente fazer o dólar a gente tem que exportar né porque como a gente viu aqui de realmente ó ele não mostra né o
dólar aí aqui tá não mostra o arquivo de índices né então a gente tem que exportar esses dados não é coisa do outro mundo tá bem simples aqui que a gente vai extrair isso tá então eu tô aqui dentro do serviço aí combina dentro do sd do usuário eu ia aí usa tá final mil é ver aqui é o cop está tudo que tiver dólar aí manda para by e usa aí usa desktop recovery tá criança esse diretório essa parte de madrid corra para exportar né e vai lá é uma fazer uma cópia e vai
lá e copia os dois arquivos tá oi e aí vou lá dentro do meu e passa né ele é um conduzido aqui embaixo e deixe compacto tem um x é dá dois cliques executa aqui ó é você escolhe né o diretório e estão armazenados tá então eu pego tudo no diretório aqui e qual o arquivo de saída tá então ele vai baixar no csv ou nesse tsv aqui que eu vou tabular e aí você manda lá clica não passa e ele vai lá 2 fai os pássaros beleza e aí você abre aqui abrindo bloco de
notas tá deve madalena no excel algum forma de visualizador melhor então mostra que eu falo o dia que foi deletado né hoje esse aqui ó sempre prestar atenção na pessoal nessa questão do terceiro né qual é o fuso horário específico ali quando foi deletado aqueles aqui mano então 2017 e sou de 49 anos que deus do tc aí o diretório completo né onde é que tava armazenado então estavam desktop tá o tamanho dele na embaixo e qual é a versão né quem botou windows vista 7 8 8.1 tá tranquilo então precisa gente tiver no windows
xp né como é que faz desculpa presta aí eu vou lá no rifiuti dois usa e sofre tá disponível aqui e faz a extração semelhante que a gente fez agora como cop não linha de comando tá tudo bem e aqui remontagem de dados né é o datacad né como é conhecido então é um tipo avançar de recuperação idade como está falando início né então é usado e e é usado em investigações para extrair um arquivo específico na do espaço não alocado sem ajuda nenhuma estrutura sistema de arquivo alocado como é que tá falando tá então
aqui não tenham forma é vou na verdade utilizada informações e cabeçada na desse arquivo específico cabeçalho e rodapé pretendia mostrar anteriormente para entender como é que esse arquivo tá ele tá estruturado e poder recuperar ele sabe onde é que ele inicia é o início dele e o finn tá então o usuário dá um empregado de luz aí né ponto hall tá e aí dificilmente recuperar com o nome né então se você ia usar o foto hackford moça aí algum outro solta ele não recupera com o nome difícil vai ter que para colônia por quê porque
o nome quem deve chama de arquivo né tá então para o hd ele ensina e não tem um nome específico ele tem muito espaço dentro do agradeço tá e aí cmft nessa nossa tabela lá tá bem né bom então é a remontagem da data acaba ele pode ser a única maneira de recuperar arquivos aí fragmentos de arquivos de evidências importante quando sistema de arquivos foi corrompido já não existe mais no disco rígido tá então é também necessária para extrair um arquivo de um trato com o dinheiro que a população faz o carro misturado então mestrado
você quer recuperar alguma coisa fazendo atacar muito também então falei não deixa eu ver aqui não tem nada se recuperar arquivo real e ver ver a questão de ser mal ou o tipo do arquivo ali na frente viu o médico que não mesmo então aí já viu só o que vai fazer da tua cara já me foi morto né outro reggae teste diz que se tiver algum problema no distrito consegue fazer a tentar melhorar o bicho ali né que tá fazer com a reconfiguração do que o modo que ele se conseguir comprar os arquivos não
mais risco scalpel tá então tem várias outras ferramentas aqui na referência né tem o rádio da sam tem achamento do forense na tenho cada link aqui ele tem ferramentas específicos para que você pode a atacar vem tá tudo bem é obrigado a todos aí até a próxima
