Gravação de arquivos e recuperação de dados

O processo de recuperação de dados inacessíveis, formatados, danificados ou corrompidos de um meio de armazenamento quando não é acessível por métodos normais é chamado Recuperação de dados. As informações normalmente são recuperadas da mídia de armazenamento; por exemplo, discos rígidos internos e externos (HDDs); unidades de estado sólido (SSDs); Pen drives; armazenamento magnético, como CDs e DVDs; Subsistemas RAID; e outros aparelhos eletrônicos. A recuperação pode ser necessária devido a danos físicos aos dispositivos de armazenamento ou danos legítimos ao sistema de arquivos, evitando que o sistema seja montado pelo sistema operacional (SO) de trabalho do host. Um objetivo definitivo é duplicar todos os registros fundamentais da mídia danificada para uma nova unidade. É possível fazer backup das informações rapidamente utilizando um Live CD ou DVD, inicializando legitimamente a partir da ROM, em vez de usar a unidade ou dispositivo corrompido para coletar informações do sistema.

Live CDs ou DVDs oferecem uma maneira de inicializar a unidade do sistema, bem como a unidade de mídia removível ou fixa, permitindo que você use o gerenciador de arquivos ou software para carregar o arquivo. Um servidor de disco pode corromper esses casos e armazenar arquivos de dados valiosos ou proprietários em compartimentos separados nos arquivos do sistema operacional.

Escultura de arquivo é um procedimento usado na investigação da cena do crime do PC para extrair informações de um disco rígido ou outros dispositivos de armazenamento sem a ajuda da tabela do sistema de arquivos que criou o arquivo original em primeiro lugar. File Carving é uma estratégia que assume o controle sobre os documentos em um espaço não alocado sem dados e é usada para recuperar informações para realizar um exame clínico computadorizado. Este processo foi inicialmente chamado de “design”, que é um termo geral para remover informações organizadas de informações brutas, à luz dos atributos particulares do padrão de organização das informações armazenadas.

Um método forense que recupera documentos depende da estrutura e do conteúdo dos arquivos sem os metadados do sistema de arquivos apropriados. A escultura de arquivos permite que você recupere arquivos de um espaço não alocado em qualquer unidade. A área da unidade indicada pela estrutura do sistema de arquivos (tabela de arquivos) que não contém nenhuma informação do sistema de arquivos é chamada de espaço não alocado.

Estruturas do sistema de arquivos ausentes ou danificadas podem afetar toda a unidade. Simplificando, muitos sistemas de arquivos não excluem dados quando eles são excluídos. Em vez disso, ele simplesmente elimina o conhecimento de onde vem. Escanear bytes brutos e colocá-los em ordem é o processo básico de escultura de arquivo. Este processo é realizado por examinando o cabeçalho (primeiros bytes) e rodapé (últimos bytes) de um arquivo.

A escultura de arquivos é uma excelente maneira de recuperar arquivos e fragmentos de arquivos quando o texto está danificado ou faltando. Muitas vezes, é usado por profissionais na solução de problemas para reexaminar as evidências. Um exemplo da proibição e da capacidade de evacuar a mídia ocorreu quando a informação foi removida dos campos de Osama Bin Laden durante o ataque da Marinha de Focas dos Estados Unidos. Os investigadores forenses usaram métodos de recuperação de arquivos para recuperar dados das unidades e sistemas usados ​​nos campos.

Visão geral dos sistemas de arquivos

UMA sistema de arquivos is um tipo de banco de dados usado para armazenar, atualizar e recuperar arquivos ou vários números de arquivos. É uma maneira pela qual os arquivos são arquivados logicamente e nomeados para arquivamento e recuperação. Existem diferentes tipos de sistemas de arquivos mencionados abaixo:

Sistema de arquivos do Windows: Microsoft Windows usa apenas dois tipos de FAT e NTFS.

• GORDO, que significa 'tabela de alocação de arquivos', é o tipo mais simples de sistema de arquivos contendo um setor de boot, uma tabela de alocação de arquivos e um espaço de armazenamento simples para armazenar arquivos e pastas. Recentemente, o FAT veio em FAT16, FAT12 e FAT32. FAT32 é compatível com dispositivos de armazenamento baseados em Windows. O Windows não pode criar um sistema de arquivos FAT32 com um arquivo maior que 32 GB.
• NTFS, abreviatura de “New Technology File System,” agora é um sistema de arquivos padrão para arquivos com mais de 32 GB. Criptografia e controle de acesso são algumas das principais propriedades deste sistema de arquivos.

Sistema de arquivos Linux: Linux é um sistema operacional de código aberto amplamente usado e foi desenvolvido para teste e desenvolvimento. Este SO foi projetado para usar diferentes conceitos de sistema de arquivos. No Linux, existem vários tipos de sistemas de arquivos.

• Ext2, Ext3, Ext4 - Este é o sistema de arquivos Linux local ou padrão. O sistema de arquivos raiz é geralmente limitado a toda a distribuição Linux. O sistema de arquivos Ext3 é uma excelente atualização do sistema de arquivos Ext2 usado anteriormente; ele usa a operação de gravação de arquivo transacional.  Ext4 é um arquivo de extensão que suporta informações Ext3 e atribuição de arquivo.
• ReiserFS - O problema do sistema de arquivos é resolvido salvando muitos arquivos pequenos de uma vez. Há uma boa risada do gerenciador de arquivos, e a permissão do arquivo compatível, o armazenamento do código do arquivo, o arquivo contém metadados no modo de não usar o sistema de arquivos grande devido ao seu tamanho.
•  XFS - O sistema de arquivos XFS funciona bem e é amplamente usado para arquivamento de arquivos. Este tipo de sistema de arquivo é popular em servidores IRIX.
• JFS - A IBM desenvolveu este sistema de arquivos e ele se tornou um sistema de arquivos usado em quase todas as distribuições Linux

sistema de arquivos macOS: O sistema operacional Apple Macintosh usa apenas o HFS + sistema de arquivos sem a extensão do sistema de arquivos HFS. MacOS, iPhones, iPads e todos os outros produtos da Apple usam o HFS + sistema de arquivo. Alguns produtos Apple Server usam o sistema de arquivos Hscan. Este renomado sistema de arquivos rastreia as informações relacionadas à visualização dos diretórios, localização das janelas, etc.

Técnicas de escultura de arquivo

Durante a investigação digital, é necessário analisar os diferentes tipos de mídia. As informações aplicáveis ​​podem ser encontradas em vários dispositivos de armazenamento e na memória do PC. Vários tipos de informações podem ser divididos, por exemplo, e-mail, relatórios eletrônicos, registros de estrutura e registros de mídia. A escultura de arquivo é uma técnica de recuperação em que apenas o conteúdo e a estrutura do arquivo são considerados, e não os metadados do arquivo usados ​​na organização dos dados no meio de armazenamento.

Abaixo estão algumas terminologias de escultura de arquivo a serem lembradas:

• Quadra - O menor tamanho de unidades de dados que podem ser gravadas no armazenamento
• Cabeçalho - O ponto de partida do arquivo.
• Rodapé - Os últimos bytes do arquivo.
• Fragmento - Um ou vários blocos pertencem a um único arquivo.
• Fragmento de base - Primeiro fragmento do contêiner de arquivo, o cabeçalho do arquivo.
• Ponto de fragmentação - O último bloco antes da fragmentação ocorrer. Vários fragmentos em qualquer arquivo resultam em vários pontos de fragmentação.

As técnicas supremas de escultura de arquivo universal corporativo são as seguintes:

• Técnica de cabeçalho-rodapé (ou cabeçalho - "tamanho máximo do arquivo") - A estratégia básica aqui é esculpir arquivos com base no título e na caligrafia ou no total de arquivos.

1. Arquivos de extensão JPG ou JPEG - “\ XFF \ xD8” e “\ xFF \ xD9.”
2. GIF - intitulado “\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” e rodapé “\ x00 \ x3B”.
3. PST: “! Título BDN ”sem rodapés.
4. Se o sistema de arquivos não tiver uma base, o número máximo de arquivos usados ​​no programa de carving.

• Entalhe baseado em estrutura de arquivo

1. O layout interno do arquivo é usado como uma técnica básica.
2. Cabeçalho, rodapé, strings de ID e informações de tamanho são elementos básicos.

• Escultura baseada em conteúdo

A estrutura do conteúdo é gratuita (MBOX, HTML, XML)

• Características do material

1. Contar personagens
2. Texto / reconhecimento de linguagem
3. Lista de dados em preto e branco
4. Entropia de informação
5. Características estatísticas (Chi²)

Escultura de um arquivo (sem usar nenhuma ferramenta)

A seguir, veremos como esculpir um .arquivo jpeg sem usar uma ferramenta. Primeiro, precisamos conhecer a estrutura do .arquivo jpeg (cabeçalho e rodapé, etc.). Para fazer isso, vamos abrir um .imagem jpeg no Hex editor para examinar o que o cabeçalho e rodapé do .arquivo jpeg parece.

Aqui, encontramos o cabeçalho do arquivo ( FFD8FFE0). Agora, para encontrar o rodapé, examinaremos os últimos bytes do arquivo.

Aqui, temos o rodapé ou trailer do arquivo (FFD9).

Se você tiver um documento com uma imagem, você pode esculpir a imagem sabendo seu cabeçalho e rodapé.

Agora, temos um arquivo de texto com uma imagem nele. Vamos esculpir a imagem usando esta técnica.

A primeira coisa que precisamos fazer é abrir este documento do Word com o Hex editor clicando em Arquivo >> Abrir.

Aqui, podemos ver uma figura que mostra os dados do arquivo de palavras na forma hexadecimal. Como já sabemos, o .O arquivo jpeg tem um valor de cabeçalho de FFD8FFE0, então vamos procurar o cabeçalho do arquivo pressionando Ctrl + F ou Pesquisar >> Arquivo e inserir o valor de cabeçalho conhecido (selecionar o tipo de dados de valor hexadecimal é muito importante nesta etapa).

Encontraremos um valor de assinatura em Offset 14FD.

Em seguida, devemos pesquisar um rodapé ou trailer. Nós sabemos que o .O arquivo jpeg tem um valor de rodapé de FFD9, então vamos procurar o rodapé do arquivo pressionando Ctrl + F ou Pesquisar >> Arquivo e inserir o valor conhecido do rodapé (selecionar o tipo de dados do valor hexadecimal é muito importante.

Encontraremos um valor de rodapé em Offset 2ADB.

Atualmente, temos o cabeçalho e o rodapé de um documento jpeg e, como afirmamos recentemente, entre o cabeçalho e o rodapé estão as informações de um registro jpeg. Aqui, duplicamos todo o quadrado de informações com cabeçalho e rodapé e o armazenamos como outro arquivo.

Vamos para EDITAR >> Selecionar Bloco e insira os seguintes termos:

Compensação do cabeçalho do arquivo: 14FD

Compensação de rodapé de arquivo:  2ADB

Depois de inserir esses valores, todo o .o arquivo jpeg será marcado em azul. Para salvá-lo como um dfile, copie-o clicando com o botão direito e selecionando cópia de, ou pressionando Ctrl + C. A seguir, colaremos as informações em um novo arquivo. Uma caixa de diálogo aparecerá, e clicaremos OK. Agora, estamos prontos para salvar o arquivo clicando em Arquivo >> Salvar como ou pressionando Ctrl + S. Se você abrir este arquivo copiado, você verá a mesma imagem que estava no documento original. Esta é a técnica básica para criar arquivos de mídia.

Ferramentas de escultura de dados

As ferramentas de recuperação de dados desempenham um papel importante na maioria das investigações forenses, já que invasores inteligentes sempre tentam apagar as evidências de seus crimes. Listados abaixo estão algumas ferramentas importantes de recuperação de dados em Linux e janelas.

• Acima de tudo (ferramenta de escultura de arquivo)

Para recuperar arquivos perdidos devido a suas estruturas de dados internas, cabeçalhos e rodapés, acima de tudo, pode ser usado. Em primeiro lugar, geralmente recebe entrada em vários formatos de imagem, como AFF ou formatos brutos, que podem ser gerados usando uma variedade de ferramentas, como FTK Imager, DD, encase, etc.  Você pode navegar até a página de ajuda do primeiro para aprender e explorar seus poderosos comandos usando o seguinte comando:

[email protected]: ~ $ foreost -h Recuperar arquivos de uma imagem de disco com base nos tipos de arquivo especificados pelo
usuário usando a opção -t.
jpg Suporte para os formatos JFIF e Exif, incluindo implementações
usado em câmeras digitais modernas.
gif
png
Suporte bmp para o formato bmp do Windows.
avi
O suporte exe para binários do Windows PE extrairá arquivos DLL e EXE
junto com seus tempos de compilação.
mpg Suporte para a maioria dos arquivos MPEG (deve começar com 0x000001BA)
wav
riff Isso irá extrair AVI e RIFF, uma vez que eles usam o mesmo arquivo para
tapete (RIFF). observe mais rápido do que executar cada um separadamente.
O wmv Note também pode extrair arquivos wma, pois eles têm um formato semelhante.
ole Isso irá pegar qualquer arquivo usando a estrutura de arquivos OLE. Esta
inclui PowerPoint, Word, Excel, Access e StarWriter
doc Observe que é mais eficiente executar OLE conforme você obtém mais resultados para
seu dinheiro. Se você deseja ignorar todos os outros arquivos ole, use
esta.
zip Note que irá extrair .arquivos jar também, porque eles usam um semelhante
formato. Documentos do Open Office são apenas arquivos XML compactados, então eles
são extraídos também. Isso inclui SXW, SXC, SXI e SX? para
arquivos OpenOffice indeterminados. Os arquivos do Office 2007 também são XML
baseado (PPTX, DOCX, XLSX)
rar
htm
detecção de código-fonte cpp C, observe que isso é primitivo e pode gerar
documentos diferentes do código C.
Suporte mp4 para arquivos MP4.
all Executa todos os métodos de extração predefinidos. [Padrão se não -t for
Especificadas]

• BinWalk

BinWalk é usado para gerenciar bibliotecas binárias e extrair dados importantes de imagens de firmware. Esta ferramenta é ótima para quem sabe usá-la. BinWalk é considerado uma das melhores ferramentas disponíveis para engenharia reversa e extração de imagens de firmware. BinWalk é fácil de usar e vem com enormes recursos. Você pode navegar até a página de ajuda do binwalk para aprender mais usando o seguinte comando:

[email protegido]: ~ $ binwalk --help Opções de verificação de assinatura:
-B, --signature Verifica os arquivos de destino em busca de assinaturas de arquivos comuns
-R, --raw = Verifica o (s) arquivo (s) de destino para a sequência especificada de bytes
-A, --opcodes Verifica o (s) arquivo (s) de destino em busca de assinaturas de opcode executáveis ​​comuns
-m, --magic = Especifique um arquivo mágico personalizado para usar
-b, --dumb Desativa palavras-chave de assinatura inteligente
-I, --invalid Mostra os resultados marcados como inválidos
-x, --exclude = Excluir resultados que correspondem
-y, --include = Mostrar apenas resultados que correspondam
Opções de extração:
-e, --extract Extrai automaticamente os tipos de arquivo conhecidos
-D, --dd = Extrair assinaturas, dar aos arquivos uma extensão de e executar
-M, --matryoshka Verifica recursivamente os arquivos extraídos
-d, --depth = Limitar profundidade de recursão matryoshka (padrão: 8 níveis de profundidade)
-C, --directory = Extrair arquivos / pastas para um diretório personalizado (padrão: diretório de trabalho atual)
-j, --size = Limitar o tamanho de cada arquivo extraído
-n, --count = Limita o número de arquivos extraídos
-r, --rm Excluir arquivos gravados após a extração
-z, --carve Grava dados de arquivos, mas não executa utilitários de extração
Opções de análise de entropia:
-E, --entropy Calcula a entropia do arquivo
-F, --fast Usa uma análise de entropia mais rápida, mas menos detalhada
-J, --save Salvar o gráfico como PNG
-Q, --nlegend Omitir a legenda do gráfico de entropia
-N, --nplot Não gera um gráfico de entropia
-H, --high = Define o limite de disparo de entropia de borda ascendente (padrão: 0.95)
-L, --low = Definir o limite de disparo de entropia da borda descendente (padrão: 0.85)
Opções de comparação binária:
-W, --hexdump Executa um hexdump / diff de um arquivo ou arquivos
-G, --green Mostra apenas linhas contendo bytes que são iguais entre todos os arquivos
-i, --red Mostra apenas linhas contendo bytes que são diferentes entre todos os arquivos
-U, --blue Mostra apenas linhas contendo bytes que são diferentes entre alguns arquivos
-w, --terse Difere todos os arquivos, mas exibe apenas um dump hexadecimal do primeiro arquivo
Opções de compressão bruta:
-X, --deflate Verifica para fluxos de compressão de deflate brutos
-Z, --lzma Verifica fluxos de compressão LZMA brutos
-P, --partial Executa uma varredura superficial, mas mais rápida
-S, --stop Stop após o primeiro resultado
Opções gerais:
-l, --length = Número de bytes para verificar
-o, --offset = Iniciar a varredura neste deslocamento de arquivo
-O, --base = Adicionar um endereço básico a todos os deslocamentos impressos
-K, --block = Definir tamanho do bloco de arquivo
-g, --swap = Reverte cada n bytes antes de escanear
-f, --log = Registrar os resultados no arquivo
-c, --csv Registra os resultados para o arquivo no formato CSV
-t, --term Formata a saída para caber na janela do terminal
-q, --quiet Suprime a saída para stdout
-v, --verbose Habilita saída detalhada
-h, --help Mostra a saída de ajuda
-a, --finclude = Verificar apenas arquivos cujos nomes correspondem a este regex
-p, --fexclude = Não verificar arquivos cujos nomes correspondam a este regex
-s, --status = Habilita o servidor de status na porta especificada

Recuperando dados de discos formatados

As ferramentas de recuperação de dados devem ser selecionadas com cuidado para recuperar informações de discos formatados, unidades flash USB e cartões de memória. Ferramentas projetadas para completar várias atividades podem produzir resultados inesperados. Abaixo, veremos algumas das diferenças entre as várias ferramentas de recuperação de dados para correção de dados em unidades formatadas.

Desformatar

O primeiro erro fatal que muitos usuários de computador cometem ao formatar acidentalmente suas unidades é encontrar, instalar e usar ferramentas “não formatadas”. Existem muitas dessas ferramentas no mercado; alguns são comerciais e outros são produtos gratuitos. O objetivo dessas ferramentas é reconstruir ou recriar o disco pré-formatado, restaurando o sistema de arquivos.

Embora possa parecer uma abordagem viável para os inexperientes, pode acabar sendo um erro maior do que perder os arquivos em primeiro lugar. A formatação do disco limpa o sistema de arquivos original, substituindo-o pelo menos em parte, geralmente no início. Quando você tenta restaurar seu sistema de arquivos antigo, o melhor que você pode obter é um disco que pode ser lido com alguns de seus arquivos. Tudo não pode ser recuperado exatamente como estava, e os arquivos mais preciosos podem estar comprometidos, com apenas amostras aleatórias dos arquivos originais no disco. Quando você pensa em “formatar” uma unidade do sistema, esqueça; pelo menos alguns arquivos do sistema serão perdidos. Mesmo se você puder inicializar o sistema operacional, você nunca obterá um sistema estável.

Recuperar

O segundo erro que muitos usuários de computador cometerão é usar ferramentas de recuperação. Embora essas ferramentas existam e tendam a fazer seu trabalho de boa fé, elas não foram projetadas para lidar com discos com um sistema de arquivos excluído. Mesmo com algumas das melhores ferramentas de recuperação, como RS File Recovery, você pode excluir vários arquivos, mas isso é tudo.

Recuperação de partição

Para recuperar arquivos, você deve procurar uma ferramenta de recuperação de partição como RS Partition Recovery. Projetada para lidar com discos distribuídos, formatados e danificados, esta ferramenta pode fazer a varredura de toda a superfície de um disco ou partição para recuperar tudo o que puder encontrar. Mesmo que o sistema de arquivos esteja vazio ou excluído, esta ferramenta pode recuperar vários tipos de arquivos, como documentos, imagens e vídeos, por meio de sua função de assinatura. No entanto, embora as ferramentas de recuperação segmentada sejam de primeira linha para recuperação de dados, geralmente são bastante caras. Se você deseja apenas recuperar um disco formatado, pode ser útil pesquisar e salvar.

Recuperação FAT e NTFS

Você pode economizar até 40% no custo da recuperação da Partição RS, escolhendo uma ferramenta que recupera apenas discos formatados em FAT ou NTFS. Lembre-se de que você precisará comprar uma ferramenta que seja adequada para o sistema de arquivos original e não a escrita acima. Se a unidade original for NTFS, obtenha o NTFS Recovery RS. Se for FAT ou FAT32, obtenha o FAT Recovery RS. Dessa forma, você obterá as mesmas ferramentas de qualidade, mas ficará limitado à formatação FAT ou NTFS. Esta é a escolha perfeita para um trabalho único.

Gravando arquivos (usando uma ferramenta)

PhotoRec é um software incrível usado para esculpir arquivos, especialmente jpeg ou arquivos de imagem (é por isso que se chama Photo Recovery). O PhotoRec ignora a estrutura do documento e busca as informações básicas, então funcionará independentemente de a estrutura de registro da sua mídia ter sido seriamente danificada ou reformatada. Photorec é facilmente acessível em sistemas operacionais Windows.

Como exemplo, vamos recuperar arquivos de imagem de uma unidade flash de 8 GB usando esta ferramenta.

Primeiro, execute o PhotoRec.Exe arquivo e inicie o aplicativo. Veremos uma tela como esta:

Aqui, temos todas as partições mostrando. Vamos selecionar / K como nosso alvo desejado a partir do qual recuperar dados.

Podemos ver qual sistema de arquivos esta partição está usando aqui, e há quatro opções na parte inferior.

Procurar - Isto irá procurar a partição que contém os arquivos para recuperação.
Opções - Usado para pequenas alterações nas opções.
Arquivo Opt - Usado para modificar os tipos de arquivos a serem recuperados.
Desistir - Sai do processo.

Vamos selecionar Arquivo Opt (Opções de arquivo):

Isso nos dará opções para selecionar os arquivos que queremos recuperar da partição desejada. Pressionando S irá desmarcar todas as opções. Vamos selecionar Imagens JPG, já que só queremos recuperar arquivos de imagem da unidade. Em seguida, vamos pressionar B.

Para selecionar o Sistema de arquivo, volte para as opções principais e selecione Outro. Quanto às opções de recuperação, temos duas opções:

• recuperar do partição inteira
• recuperação de apenas espaço não alocado (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, etc.). Usando esta opção, apenas os arquivos que foram excluídos serão recuperados.

Agora, tudo o que precisamos fazer é definir o local onde os arquivos excluídos serão recuperados. Depois disso, o processo de recuperação começará e terminará após algum tempo.  Em seguida, procuraremos os arquivos recuperados no local definido. Os arquivos de imagem recuperados estarão lá.

Conclusão

Escultura de arquivo é um termo de computador forense bem conhecido para descrever a identificação de tipos de arquivo e removê-los de clusters não subordinados usando assinaturas de arquivo. Uma assinatura de arquivo, também conhecida como número mágico, é um valor numérico ou de texto permanente usado para identificar o formato do arquivo. Extração de arquivos ou dados é um termo usado no campo da informática forense. Um computadorizado investigação forense é uma aquisição, verificação, análise e documentação de evidências contidas em um sistema de computador, uma rede de computadores ou outras formas de mídia digital. Extrair dados significativos de dados brutos é chamado escultura.

Esculpir arquivo é a identificação e recuperação de arquivos com base na análise de formato. Em computação forense, esculpir é uma maneira útil de encontrar arquivos ocultos ou excluídos na mídia digital. Os FFiles podem ser ocultados em áreas como clusters perdidos, clusters não alocados e reprodução de discos ou mídia digital. Para usar este método de extração, um arquivo deve ter uma assinatura padrão, chamada de cabeçalho do arquivo, no início do arquivo. Para obter o cabeçalho do arquivo, a ferramenta de recuperação continuará a consultar até chegar ao rodapé do arquivo no final do arquivo. Os dados entre o cabeçalho e o rodapé são extraídos e analisados ​​para garantir a integridade. Vários métodos de escultura são usados ​​em seus algoritmos, dependendo do tipo de arquivo.

Os sistemas operacionais modernos não excluem totalmente os arquivos excluídos sem a permissão do usuário. Os arquivos excluídos podem ser recuperados por meio de várias ferramentas e táticas forenses, se os arquivos excluídos não forem adicionados a outro arquivo. Arquivos danificados podem ser recuperados se os dados não estiverem danificados além do reconhecimento.

Há muita diferença entre recuperação de arquivo e escultura de arquivo. A recuperação de arquivos usa informações do sistema de arquivos; ao utilizar essas informações, vários arquivos podem ser recuperados. Se a informação estiver incorreta, não funcionará. Com o advento da escultura de arquivos, os policiais, os profissionais de tecnologia e os profissionais forenses encontraram outra ferramenta que pode ser usada para recuperar dados excluídos. Embora nem sempre seja perfeito e refinado, ferramentas como Acima de tudo, bisturi, e Photorec tornaram a recriação de arquivos mais fácil do que nunca.