Pelo Linux é possível recuperar um arquivo apagado de uma partição NTFS. A ferramenta ntfsundelete, do pacote ntfsprogs, é que faz esta proeza.
No entanto não faz milagre. Quando um arquivo é apagado, seu registro MFT (Tabela Mestra de Arquivos) fica marcado como sem uso e o espaço livre do disco é atualizado. Se o computador não for desligado imediatamente, o espaço livre onde estava este arquivo poderá ser sobrescrito e, pior, o registro MFT poderá ser reutilizado por outro arquivo, ficando impossível saber onde estava o arquivo.
O ntfsundelete possui três modos de operação, o modo de varredura, de recuperação e de cópia. O modo de varredura é o padrão, onde apenas lê o volume NTFS e procura por arquivos apagados. O segundo modo recupera os dados de um arquivo especificado pelo seu inode ou por uma expressão regular e o salva em um outro lugar. E o modo de cópia é para salvar uma porção da MFT em um arquivo, sem muita utilidade prática.
A partição não deve estar montada quando for utilizar o ntfsundelete. Esta ferramenta somente lê o volume NTFS, nunca o modifica. Sendo assim, o arquivo recuperado deverá ser salvo em um outro volume montado no sistema.
Por exemplo, o comando abaixo lista todos os arquivos apagados, ordenados pelo número do inode:
# ntfsundelete /dev/sda1
Este outro exemplo lista somente os arquivos com extensão doc:
# ntfsundelete /dev/sda1 -s -m '*.doc'
E o comando abaixo recupera um arquivo apagado no inode especificado em NNNN:
# ntfsundelete -u -iNNNN /dev/sda1
Se for trabalhar em um arquivo imagem de uma partição ou disco, associado à um dispositivo de loop, especifique o dispositivo de loop em sua linha de comando:
# ntfsundelete /dev/loop0
O acesso direto aos dispositivos de armazenamento normalmente está restrito ao administrador do sistema, então um usuário comum não conseguirá utilizar o ntfsundelete. Consulte a página manual do ntfsundelete para mais informações.
No entanto não faz milagre. Quando um arquivo é apagado, seu registro MFT (Tabela Mestra de Arquivos) fica marcado como sem uso e o espaço livre do disco é atualizado. Se o computador não for desligado imediatamente, o espaço livre onde estava este arquivo poderá ser sobrescrito e, pior, o registro MFT poderá ser reutilizado por outro arquivo, ficando impossível saber onde estava o arquivo.
O ntfsundelete possui três modos de operação, o modo de varredura, de recuperação e de cópia. O modo de varredura é o padrão, onde apenas lê o volume NTFS e procura por arquivos apagados. O segundo modo recupera os dados de um arquivo especificado pelo seu inode ou por uma expressão regular e o salva em um outro lugar. E o modo de cópia é para salvar uma porção da MFT em um arquivo, sem muita utilidade prática.
A partição não deve estar montada quando for utilizar o ntfsundelete. Esta ferramenta somente lê o volume NTFS, nunca o modifica. Sendo assim, o arquivo recuperado deverá ser salvo em um outro volume montado no sistema.
Por exemplo, o comando abaixo lista todos os arquivos apagados, ordenados pelo número do inode:
# ntfsundelete /dev/sda1
Este outro exemplo lista somente os arquivos com extensão doc:
# ntfsundelete /dev/sda1 -s -m '*.doc'
E o comando abaixo recupera um arquivo apagado no inode especificado em NNNN:
# ntfsundelete -u -iNNNN /dev/sda1
Se for trabalhar em um arquivo imagem de uma partição ou disco, associado à um dispositivo de loop, especifique o dispositivo de loop em sua linha de comando:
# ntfsundelete /dev/loop0
O acesso direto aos dispositivos de armazenamento normalmente está restrito ao administrador do sistema, então um usuário comum não conseguirá utilizar o ntfsundelete. Consulte a página manual do ntfsundelete para mais informações.
Postagens
muito vago esse tutorial... poderia explicar por exemplo como faço pra salvar tudo q o ntfsundelete listar... independente de extensão ou inode...
ResponderExcluirMuito Obrigado por este artigo, resolveu 100% meu problema de maneira simples!
ResponderExcluir