Você está na página 1de 14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
Browse: Home / Recuperar arquivos deletados usando TestDisk

Artigos

Home

Pentest

Wargame

Cursos

Publicaes

Fotos

Contato

Sobre

Recuperar arquivos deletados usando TestDisk


Por: Marcos Henrique | 27233 Views | 38 Respostas
Like

23

Tweetar

Atravs do programa TestDisk possvel recuperar arquivos ou fotos de um dispositivo removvel, um recurso muito
utilizado em um processo de Anlise Forense a fim de recuperar algum tipo de evidncia.
Download:www.cgsecurity.org/wiki/TestDisk
01 Passo
Adicionar arquivos no dispositivo removvel, como exemplo adicionei arquivos .JPG, .ZIP, .DOCX, .MPP, .XLSX, vale ressaltar
que neste dispositivo j existiam arquivos e os mesmos j haviam sido removidos.

02 Passo
Delete todos os arquivos do dispositivo.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

1/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

03 Passo
Dispositivo vazio.

04 Passo
Acesse o Prompt de Comando e execute o programa testdisk_win.exe.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

2/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

05 Passo
Selecione a opo [ Create ] para criar o arquivos de log.

06 Passo
Selecione o dispositivo de deseja recuperar os dados neste exemplo o ( General USB Flash Disk ) em seguida >[ Proceed ].

07 Passo
Selecione o tipo de partio do dispositivo, em todos os testes que realizei utilizei o tipo > [ Intel ] e o processo de
recuperao foi realizado normalmente.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

3/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

08 Passo
Selecione [ Analyse ] para que a partio do dispositivo seja verificada a procura de arquivos removidos.

09 Passo
Ser exibido o tipo de formatao e dados dos setores do dispositivo, prossiga selecionando > [ Quick Search ].

10 Passo
Para usurios de Windows Vista ou superior responda Y.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

4/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

11 Passo
Pressione a tecla P para Listar os Arquivos que foram removidos.

12 Passo
Os arquivos que foram removidos deste dispositivos foram exibidos nesta tela, pressione a tecla a para selecionar todos os
arquivos que sero recuperados.

13 Passo
Observe que ao pressionar a tecla a o texto mudou de a to select all files para a to deselect all files.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

5/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

14 Passo
Selecione o diretrio que ir receber os arquivos recuperados, a seta do teclado para a direita -> entra no diretrio
selecionado, no exemplo entro no diretrio Recuperados.

15 Passo
Aps entrar no diretrio pressione a tecla <ENTER>.

16 Passo
A cpia dos arquivos realizada para o diretrio Recuperados, para sair do aplicativo basta pressionar as teclas CTRL + C (
duas vezes ) ou clicar no boto X do Prompt de Comando.

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

6/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

17 Passo
Acesse o diretrio Recuperados e confira os arquivos que foram recuperados.

Like

23

Tweetar

Categorias: Anlise Forense, Todos os Artigos | Palavras-chave: Anlise Forense, Forensics, Recuperao de Dados, USB

Autor

Marcos Henrique
Marcos Henrique Ps-Graduado em Segurana da Informao com vasta experincia, o desenvolvedor do site
MarcosHenrique.com, Aulasdeti.com.br, ClicandoFacil.com.br e 100security.com.br.

Artigos relacionados

GHIRO Digital Image

iPhone Analyzer

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

DFF Digital Forensics

Recuperando arquivos

7/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
Forensics

Framework

excludos com dd_rescue e


foremost

38 Comentrios
Jarlley Ribeiro 22 de julho de 2013 at 1:12 | Comentrio

Excelente artigo. S uma observao, s consegui fazer o procedimento em sistemas de arquivos FAT32. Em parties NTFS no
obtive sucesso!

Resposta
Marcos Henrique 25 de julho de 2013 at 11:43 | Comentrio

Jarlley, obrigado, No site oficial do TestDisk (www.cgsecurity.org) informa que possvel recuperar dados de parties
FAT, NTFS, exFAT e EXT2, depois faz mais alguns testes.

Resposta
Jerfferson 25 de julho de 2013 at 7:57 | Comentrio

e se eu estiver em plataforma linux (meu caso ubunto 12..)

Resposta
Marcos Henrique 25 de julho de 2013 at 11:37 | Comentrio

Jerfferson, voc tambm pode utilizar o TestDisk no Linux, basta instalar-lo atravs do comando # apt-get install testdisk
e, seguida executar o programa instalado # testdisk e o processo de recuperao dos dados o mesmo.

Resposta
Marcos 18 de outubro de 2013 at 16:31 | Comentrio

Boa tarde Marcos meu char, bom cara estou usando o test disk, e gostaria de saber se normal a demora
pois est desde ontem rodando e em vez de baixar o tempo estimado s aumenta ja est em mais de mil horas. ser q estou
fazendo corretamente
bom se puder me ajudar fico muito agradecido pois de todas as explicaes achei a sua melhor Parabns.

Resposta
Marcos Henrique 18 de outubro de 2013 at 22:10 | Comentrio

Marcos,
O tempo depende muito do tamanho da unidade de disco que voc esta tentando recuperar os dados, mas o processo de
recuperao exatamente como esta neste artigo.., dependendo da informao que deseja recuperar vale a pena esperar um
pouco

Resposta
Ana: recuperar arquivos deletados 16 de novembro de 2013 at 13:38 | Comentrio

S no ficou claro e bom avisar que no deve ser instalado o programa de recuperao de arquivos deletados na mesma
unidade onde se vai pesquisar pois durante a instalao desses programas gratuitos, arquivos deletados importantes sero
apagados devido ao processo de sobrescrita nos cluster.

Resposta
Klber 5 de dezembro de 2013 at 20:12 | Comentrio

Caso o vc tenha formatado o HD e reinstalado o windows ele no reconhece nenhum arquivo apagado. J era pra mim

Resposta
Marcos Henrique 5 de dezembro de 2013 at 21:20 | Comentrio

Klber, neste caso voc teria que usar uma ferramenta como o EnCase ou alguma ferramenta forense como FTK,
realmente o TestDisk no vai te atender neste caso.

Resposta
Rafael Neto 11 de setembro de 2014 at 13:15 | Comentrio

O que aconteceu comigo foi o seguinte, por descuido instalei um software de boot no meu pendrive, ai as partio
original de 8Gb com todos os meu arquivos foi reduzida a 100Mbs e a outra parte ficou oculta, eu fiz a besteira de
formatar e o pendrive voltou a capacidade normal, mas sem meus arquivos. Tentei recuperar, mas no obtive
sucesso em recuperar um arquivo, ele compactado e cifrado com senha, talvez esse seja o problema, os outros

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

8/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
arquivos eu recuperei normalmente

Resposta
Lucas M 4 de maro de 2014 at 16:33 | Comentrio

Por favor me ajude. Tenho um HD com duas parties, uma chamada Sistema com o Windows 8 e programas, j a outra
chamada Arquivos com meus arquivos, imagens, msicas, vdeos, documentos etc. Hoje fui colocar meu pendrive e sem querer
acabei formatando a partio Arquivos ao invs do pendrive. Com o TestDisk posso recuperar a partio exatamente como era
antes, ou s os arquivos individualmente?
obs: a partio Arquivos est agora vazia, logicamente pois eu a formatei acidentalmente, mas o que quero dizer, e que eu no
coloquei nenhum arquivo l exatamente para no sobrescrever.

Resposta
Marcos Henrique 4 de maro de 2014 at 21:05 | Comentrio

Lucas, antes de mais nada sempre faa backup de seus arquivos crticos, mas acidentes acontecem.. bom o TestDisk
pode ser muito til mas ferramentas simples como Recuva pode ser mais prtica, se os arquivos possuem contedo
confidencial e crticos que podem lhe causar prejuzos financeiros recomendo a levar o HD em um laboratrio de
recuperao especializado. abraos..

Resposta
Ademir 5 de maro de 2014 at 12:40 | Comentrio

Ola bom dia. Se eu no me engano, eu j formatei uma HD e aps instalar Windows, eu consegui reverter a partio e trazer tudo
com o teste-disk, s que no estou conseguindo encontrar o procedimento. Caso Voc tenha o passo-a-passo gostaria de
executar esta tarefa novamente. Preciso recuperar 130gb de um HD formatado. Obrigado
Ademir

Resposta
edson 11 de abril de 2014 at 0:09 | Comentrio

gostei deste programa gratuito

Resposta

edson 11 de abril de 2014 at 0:12 | Comentrio

gostei deste programa ja perdi alguns arquivos e nao sabia que dava para recuperare gratuit pode baixar

Resposta
Marcos Henrique 11 de abril de 2014 at 1:10 | Comentrio

Edson, o TestDisk gratuito e graas a seu comentrio adicionei o site oficial de download no artigo.

Resposta

Artur 12 de abril de 2014 at 3:32 | Comentrio

Formatei meu hd de 300 G escravo por engano com cd do big linux que ficou instalado no hd. Nele tinha todos os meus arquivo
fotos , msicas e documentos. Como posso recuperar os mesmo por favor.
Artur 69 8472-9644

Resposta
Marcos Henrique 4 de julho de 2014 at 14:14 | Comentrio

Artur, de uma olhada neste artigo que criei postei sobre dd_rescue e foremost.

Resposta

Felipe 4 de julho de 2014 at 13:43 | Comentrio

o procedimento para hd formatado o mesmo?

Resposta
Marcos Henrique 4 de julho de 2014 at 14:15 | Comentrio

Felipe, possivel sim, porm h diversos formas de fazer isso, se tiver interesse de uma olahda no curso que montei
abortando estas possibilidades: ( http://www.aulasdeti.com.br/curso/recuperacao-de-dados ).

Resposta

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

9/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
JOAO BATISTA 19 de julho de 2014 at 19:40 | Comentrio

MARCOS,
Baixei o testdisk 7.0 e usei o photorec.
Meu problema com minha filmadora sony DCR-SR88, que de uma hora pra outra, apareceu com erro e:31:00.
Passei esse programa e depois de varias tentativas, parece que consegui recuperar meus arquivos, entretanto salvou
C:\users\Josue\AppData\Local\Temp\Rar$EX04.353\testdisk-7.0-WIP\photorec_win.exe
S que agora no consigo achar esse arquivo.
Vc pode me ajudar????
Agradeo seu retorno,
Grande abrao
JOO BATISTA

Resposta
Marcos Henrique 23 de julho de 2014 at 19:17 | Comentrio

Joo, tente executar os passos do artigo passo a passo para que voc consiga obter sucesso, peplo caminho que voc
postou na pergunta o diretrio pode estar oculto e pode lhe atrapalhar. espero ter ajudado.

Resposta
kaue 5 de setembro de 2014 at 4:15 | Comentrio

Bom dia Marcos,


tinha um HD particionado , mas ao tentar fazer um dual boot com Ubuntu selecionei a opcao para desmontar o hd e acabei
perdendo a particao onde estava meus arquivos.
Qual melhor programa para recuperar os Arquivos? sera que se eu passa o testdisk na particao NTFS resolve?

Resposta
Marcos Henrique 6 de setembro de 2014 at 9:14 | Comentrio

Kaue, da forma que voc escreveu e pelo que entendi voc no formatou a partio apenas retirou ela da tabela de
particionamento se este for seu caso basta remontar a partio que os arquivos esto l, j visto que no foi formatado,
mas se vc formatou o TestDisk ou a ferramenta dd_rescue pode lhe auxiliar nesta recuperao se no obter o resultado
esperado o mais indicado encaminhar para um laboratrio especializado.

Resposta
kaue 6 de setembro de 2014 at 23:46 | Comentrio

Boa noite,
Ao desmontar a partio o HD ficou com apenas uma partio ocupando o espao interno inteiro, para poder recuperar os
arquivos eu no dispunha de um pendrive bootavel, ento instalei o linux num espao minimo da partio.
Segui seu tutorial e consegui recuperar a partio desmontada, infelizmente algumas fotos perderam a qualidade, mas os demais
arquivos foram recuperados com sucesso. Obtive sucesso na recuperao de 90% dos arquivos, incrvel.
Obrigado pela contribuio que tem feito as pessoas atravs da internet, isso inspira muita gente a contribuir com o conhecimento
social independente da rea.
Vlw

Resposta
Joo Marcos 14 de setembro de 2014 at 4:19 | Comentrio

Marcos: Meu hd de 2 TB,formatei esse hd vrias vezes, instalei nele windows, etc., etc., por ltimo a partio tinha o tamanho
total do hd, partio logica no sistema NTFS, com +- 1 TB de filmes diversos, usando o testdisk ele encontrou arquivos mais
antigos e em tipos que nunca usei (FAT16, FAT32) mas em NTFS no encontrou nenhum, usando outros programas que se dizem
free, mas que na verdade no so, pois eles so free para procurar os arquivos, mas na hora de recuperar no so, s permitem
recuperar 1 GB, tentei recuperar usando o recuva, ele encontra os aquivos de video, mas eles so recuperados com proteo DRM,
que no posso reproduzir, no posso converter, no posso fazer nada com eles.
Voce pode me ajudar com alguma orientao, pois no tenho condies financeiras para comprar esses programas pagos para
recuperar meus arquivos de videos.

Resposta
Marcos Henrique 14 de setembro de 2014 at 13:21 | Comentrio

Joo Marcos, no sei se voc j realizou estes testes, mas tenta utilizar ferramentas Linux voc pode obter um resultado
melhor, acesse: 100security.com.br/tag/recuperacao-de-dados/ e explore as opes.

Resposta
Wendell lyandro 19 de setembro de 2014 at 21:40 | Comentrio

Marcos, instalei o ubuntu e apagou meu windows e as outras minhas parties, consequentemente meus arquivos. O testedisk ir
recuperar meus arquivos? desde j agradeo

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

10/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
Resposta
Marcos Henrique 20 de setembro de 2014 at 11:28 | Comentrio

Wendell, provavelmente voc no ter um resultado como o esperado mas pode ser que consiga alguma
informao mas em casos como este eu utilizo o dd_rescue mais eficiente.

Resposta
Fabiano Spada 28 de setembro de 2014 at 13:08 | Comentrio

Marcos, bom dia.


Temos um NAS Seagate Black Armor, com 2 Hds de 2TB cada em Raid 0. Deu problema e estamos tentando recuperar os
arquivos (+- 500GB).
Segundo a Seagate, esse equipamento usa linux em seu sistema operacional.
Ligamos um dos Hds em um micro com Linux, porem ele s visualiza 2 parties(3 e 4) e dua esto ocultas(1 e 2) ou escondidas no
sei ao certo.
Sei que elas (as duas parties 1 e 2 ) existem, pois fiz um teste ao tentar instalar o Windows ele mostra essa imagem
(actmob.com/particoes.jpg).
Como essas duas parties so as maiores, acredito que meus arquivos estejam nelas.
Agora eu pergunto, consigo recuperar os arquivos , nessas parties ocultas?
desde j agradeo.

Resposta
Marcos Henrique 29 de setembro de 2014 at 23:34 | Comentrio

Fabiano, como as parties no foram excludas ainda possvel remont-las e tornar-las acessveis, voc pode colocar
este HD como slave e obter o acesso atrves de um live-cd (por exemplo) antes de utilizar qualquer ferramenta de
recuperao de dados.
Acessando o link (100security.com.br/tag/recuperacao-de-dados) voc encontra algumas ferramentas de recuperao
caso no consiga evoluir com o processo de montagem das parties, se mesmo assim no evoluir minha recomendao
levar em uma empresa especialidade em recuperao de dados.

Resposta
Guinther Erich 31 de outubro de 2014 at 22:08 | Comentrio

Marcos,
Tenho um notebook que tinha o windows 8, ao formatar para instalar o windows 7 fiz o procedimento do shift+f10 clean S
que esqueci de fazer o backup e quando tentei recuperar os dados com outros programas no os encontro, sinto ser pelo motivo
de ser diferena no formato, era GPT e virou MBR, tem real significncia essa mudana? E se sim, o TestDisk consegue encontrar
mesmo assim?
Obrigado.

Resposta
Carlos 2 de janeiro de 2015 at 15:04 | Comentrio

Ol Marcos, tudo bem?


Eu usava Windows 8 em um hd sata de 320GB, porm comecei a usar outro hd tambm com Windows 8 de 250GB como
principal, e acessava meus arquivos (fotos/videos/msicas e etc.) a partir deste normalmente, aconteceu que minha pasta de
usurio ficou inacessvel, antes pasta de arquivos, tornou-se apenas arquivos, e no consigo mas entrar na mesma, ah, seu
tamanho por algum motivo virou 0 bytes. Tenho interesse apenas em recuperar meus arquivos e fotos e principalmente meu acervo
msicas, h alguma forma desse programa me ajudar?
Abraos!

Resposta
Paulo Rosa 27 de maro de 2015 at 0:12 | Comentrio

Sem querer ao configurar o disco para receber o linux Mint acabei por criar parties no meu disco externo j fiz uso do test disk
mas s encontro parties do linux nele, tenho de fazer uma pesquisa mais profundamente da? Tenho de ter outro disco com a
mesma capacidade para guardar os ficheiros encontrados? Preciso de ajuda por favor. Obrigado

Resposta
Cludio 8 de abril de 2015 at 22:50 | Comentrio

Claudio, boa noite.


Tenho um HD 750 GB, estava instalado o windows 7 no c: e mais 3 parties de dados. Instalei o ubuntu pela aquela primeira
opo e ele no deu a opo de partio e o HD foi formatado todo. Eu consigo voltar os arquivos das parties de dados pelo
TestDisk.

Resposta
ED 18 de abril de 2015 at 2:21 | Comentrio

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

11/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|
Eu deletei a partio de um HD sem querer, utilizando um programa, agora o HD esta sem partio e eu fico com receio de criar e
perder parte de alguns arquivos, pois s tinha arquivos no HD no tinha sistema e o mesmo estava cheio, ento eu fiz o
procedimento de recuperao de partio com o testdisk, mas no deu certo, apareceu uma partio em RAW, e no consegui ler
os arquivos (obvio). Ento tenho que recuperar esse disco urgente, ele no tem defeito e nem foi formatado apenas exclui a
partio, os arquivos continua l. Podem me dar uma dica? o que eu fao agora?

Resposta
Eduardo Henrique 22 de abril de 2015 at 20:09 | Comentrio

Formatei todas as parties de meu HD de 1TB, inclusive a do sistema(proeza acidental).


Fiz um pen-drive de 4GB bootavel com o sistema Linux Caine(o qual possui a ferramenta TestDisk) para no sobrescrever os
dados no HD reinstalando algum S.O. no mesmo.
A ideia era fazer uso de um HD externo para transferir os dados do HD danificado para o HD externo usando um sistema no pendrive, porm, sempre que pelo TestDisk, que est no sistema do pen-drive, eu seleciono para salvar os arquivos perdidos dentro do
HD externo, o programa no consegue concluir a tarefa, diferente de quando seleciono o disco(pen-drive) onde o programa se
encontra, o qual no tem espao o suficiente para recuperar tudo o que desejo
Tive a ideia ento de instalar o Caine numa partio desse HD externo para que no haja a mesma barreira quando tentar recuperar,
porm, tenho arquivos importantes neste HD externo e no estou conseguindo diminuir o espao, no S.O. que tenho ao alcance,
para criar uma partio de boot no mesmo.
Preciso particionar um HD j particionado sem perder os dados para ter sucesso nessas tarefas Algum tem alguma dica de tpico
para ler que me ajude a selecionar o HD externo pelo TestDisk do pen-drive ou que me ajude a criar uma partio no HD externo(j
particionado) sem contar com as ferramentas do 7(a qual tambm no estou obtendo sucesso ao usar pois as mesmas param de
responder)?

Resposta
Filipe Gama 24 de julho de 2015 at 18:38 | Comentrio

Amigo,
eu fui usar o testdisk e por pura falta de ateno, acabei fazendo alguma coisa errada no meu HD principal, aparentemente
mudando seu tipo de partio para algo relacionado ao Linux. Aps reiniciar minha maquina era com se eu no tivesse mais SO,
ficava na tela preta e mandava eu dar boot.
Blz, peguei um outro hd que eu tinha, coloquei como master na minha maquina, e o hd que eu danifiquei por engano eu coloquei
como slave na mesma maquina. No Meu computador esse hd danificado no reconhecido, mas quando eu rodo novamente pelo
testdisk ele o reconhece e reconhece como se estivesse de fato cheio de arquivos, no formatado.
preciso muito de ajuda, pois tenho dados importantes nesse hd.

Resposta

Deixe um comentrio
Nome *
E-mail *
Website

CAPTCHA
Code

Enviar
Protected with

IP Blacklist Cloud

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

12/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

COMENTRIOS

ARTIGOS RECENTES
Lynis Ferramenta
de Auditoria e
Hardening

Marcos Henrique on
Revelation - Revelar
senhas em Asteriscos

Revelation Revelar
senhas em Asteriscos
40968 VIEWS / POSTED 18
DE AGOSTO DE 2013

19 DE JULHO DE 2015 /
MARCOS HENRIQUE

Paulo, obrigado mas esta ferramenta

MAIS ACESSADOS

Paulo on Revelation Revelar senhas em


Asteriscos

Recuperar arquivos
deletados usando
TestDisk

WEEVELY Web Shell


Backdoor
5 DE JULHO DE 2015 /
MARCOS HENRIQUE

Ol, o link para download

Filipe Gama on
Recuperar arquivos
deletados usando

27233 VIEWS / POSTED 20


DE JULHO DE 2013

PenTestBox
Ferramenta de
PenTest (Windows)

Google Histrico de
Navegao
22679 VIEWS / POSTED 20
DE ABRIL DE 2013

5 DE JULHO DE 2015 /
MARCOS HENRIQUE

TestDisk
Amigo, eu fui usar o

Equipamentos Espio

WATOBO
Ferramenta de
PenTest

Eduardo Henrique on
Recuperar arquivos
deletados usando

19505 VIEWS / POSTED 20


DE ABRIL DE 2013

5 DE JULHO DE 2015 /
MARCOS HENRIQUE

TestDisk

Uso de Proxy
Annimo

Formatei todas as parties de

XSSCRAPY
Varredura Completa
de XSS

ED on Recuperar
arquivos deletados
usando TestDisk
Eu deletei a partio de

16367 VIEWS / POSTED 27


DE JULHO DE 2013

5 DE JULHO DE 2015 /
MARCOS HENRIQUE

100Security2013

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

13/14

30/07/2015

RecuperararquivosdeletadosusandoTestDisk|

http://www.100security.com.br/recuperararquivosdeletadosusandotestdisk/

14/14