Recuperação de dados usando o Photorec

O Photorec é um programa gratuito (e de código aberto) de recuperação de dados. Embora esteja longe de ser perfeito, ele faz um bom trabalho em recuperar arquivos do office, imagens, arquivos zip e outros formatos de arquivos comuns. Ele é o melhor entre os programas gratuitos e supera vários dos programas comerciais.

Uma das principais vantagens é que ele oferece suporte a partições formatadas nos mais diversos sistemas de arquivos, incluindo partições FAT e NTFS do Windows, cartões de memória, partições EXT2, EXT3 e ReiserFS do Linux e muitos outros.

O Photorec é mantido pelos mesmos desenvolvedores do Testdisk. Originalmente a idéia era recuperar fotos acidentalmente deletadas em câmeras e cartões de memória (daí o nome). Como praticamente todo mundo usa câmeras digitais hoje em dia, ele atende a uma demanda crescente, que é recuperar fotos e vídeos deletados acidentalmente na memória de uma forma rápida. Daí em diante, suporte a outros formatos de arquivos e sistemas de arquivos foram adicionados, transformando-o em uma ferramenta de recuperação de dados de uso geral.

O Link de download é o mesmo do Testdisk: http://www.cgsecurity.org/wiki/TestDisk_Download

Existem tanto versões Windows quanto Linux e o uso de ambas é muito similar. Ao rodar sob o Linux, o programa pode ser chamado diretamente através do terminal, enquanto ao rodar sob o Windows, os executáveis abrem uma janela do DOS. Em ambos os casos, você pode executar o programa diretamente, depois de descompactar o arquivo. Não é necessário instalar.

No caso da versão Windows, você só precisa descompactar o arquivo. zip e clicar sobre o "photorec_win.exe":

Ao baixar a versão Linux, você obtém um arquivo .tar.bz2, que precisa ser descompactado usando o comando "tar -jxvf", como em:


Acesse agora a pasta "testdisk-x.x/linux" (onde o x-x é a versão baixada) e logue-se como root, usando o comando "su -":


Rode agora o comando "./photorec_static -d", seguido de uma pasta do HD, onde os arquivos recuperados serão armazenados e o dispositivo referente à partição, pendrive, câmera ou cartão onde estão os arquivos deletados, como em:


Dispositivos USB de armazenamento são reconhecidos no Linux como "/dev/sda" e o "1" indica a partição dentro do cartão ou pendrive (quase sempre dispositivos de memória flash são particionados usando uma única partição). Em máquinas com HD SATA, o HD assume a posição de "/dev/sda" e o dispositivo USB assume a próxima posição disponível: "/dev/sdb". Se você tiver dis HDs SATA, então o dispositivo USB passa a ser o "/dev/sdc" e assim por diante. Se você tiver o Gparted instalado, pode usá-lo para ver como cada dispositivo foi reconhecido pelo sistema.

Ao abrir o Photorec, ele começa confirmando o dispositivo onde será feita a recuperação. Como ele não altera os dados dentro da partição, apenas verifica os dados gravados procurando por arquivos deletados, não existe um grande perigo ao mandar ele procurar arquivos no lugar errado (na sua partição de trabalho por exemplo), mas é sempre bom conferir se você indicou o dispositivo correto antes de continuar, até para evitar perder tempo. Use a opção "Proceed" para continuar:

No caso da versão Windows (onde você abre o programa sem especificar parâmetros), ele mostra um menu de seleção, contendo todas as partições disponíveis no sistema. Ele detecta as partições usando a nomenclatura do Linux (/dev/sda, /dev/sdb, etc.) mas você pode localizar a partição referente ao cartão ou câmera rapidamente baseado no tamanho:

O Photorec é multiplataforma, por isso ele pergunta sob qual plataforma está sendo executado na opção seguinte. A menos que você esteja usando um Mac, uma workstation Sun ou um Xbox, responda sempre "[Intel] Intel/PC partition" (a opção default). Esta opção indica que você está usando um micro PC. O "intel" no caso indica a plataforma (Intel i386), não tem nada a ver com o fabricante do processador usado:

Antes de continuar, ele confirma a partição onde será feita a recuperação. Esta opção só tem serventia caso o cartão ou pendrive esteja dividido em mais de uma partição. Na maioria dos casos você só precisa confirmar a partição pré-selecionada:

A opção seguinte (a última) se refere ao sistema de arquivos em que a partição alvo está formatada. Se por acaso você estiver tentando recuperar fotos apagadas em uma partição Linux, formatada em EXT2, ou EXT3, você escolheria a opção "[ EXT2/EXT3 ]", mas em todos os outros casos, incluindo recuperação em cartões, pendrives, partições Windows e mesmo em partições Linux formatadas em outros sistemas de arquivos, você usa sempre a opção [ Other]:

No caso da versão Windows, ele pergunta também onde deve salvar os arquivos recuperados, já que você você não especifica a pasta ao abrir o programa. A grande limitação é que, por rodar através do Cygwin, ele enxerga a pasta onde está o executável do programa como diretório raiz, impedindo que você salve os arquivos recuperados fora dela. Mesmo que você indique o "c" como diretório destino, ele salvará na pasta "c" dentro do diretório. A melhor forma de burlar esta limitação é copiar a pasta com o programa para dentro do diretório que quer utilizar e executá-lo a partir de lá. Depois de indicar a pasta, pressione "Y" para continuar:

Nunca é demais lembrar que você sempre deve salvar os arquivos em uma unidade ou partição separada. Pode ser do pendrive para o HD, do HD para um HD externo, não importa, desde que sejam duas unidades separadas. Jamais tente recuperar arquivos de uma partição salvando-os nela mesma.

Agora vem a parte automática, onde ele vai ler cada setor da partição, em busca de fotos e vídeos deletados. Ele ignora a tabela de alocação e vai diretamente "na fonte", lendo os bits armazenados diretamente e procurando por blocos que pareçam ser arquivos.

Ao terminar o teste, é só sair do programa e verificar os arquivos recuperados, que serão armazenados dentro da pasta indicada no comando inicial. :)

Se você executá-lo como root (no Linux), vai precisar ajustar as permissões de acesso à parta onde foram salvos os arquivos recuperados no final do processo, usando o comando "chown -R", seguido do usuário de sistema que você utiliza e a pasta onde os arquivos foram salvos, como em:


A partir daí você pode acessar os arquivos normalmente através do gerenciado de arquivos, sem precisar mais do terminal aberto como root.

O maior problema é que o Photorec recupera apenas os arquivos propriamente ditos, sem conseguir recuperar a estrutura de pastas ou os nomes, fazendo com que no final você acabe com uma salada de arquivos.

Se você precisa apenas recuperar alguns documentos específicos, isto não chega a ser um grande problema, pois você pode encontrá-los rapidamente pela extensão e tamanho do arquivo. Mas, se você precisa recuperar uma série de pastas, com um grande volume de arquivos pequenos, ele já não é a melhor opção.

Uma dica é que você pode selecionar manualmente os tipos de arquivos que ele deve procurar. Desmarcando as extensões que não interessam, você reduz o número de arquivos recuperados (e assim reduz o trabalho necessário para encontrar os que realmente precisa). Para isso, use a opção "[ File Opt ]" na tela de escolha da partição (a última antes de começar a busca):

É recomendável que você desmarque a opção "txt", pois o Photorec tende a encontrar um grande número de arquivos de log e fragmentos de arquivos parcialmente deletados, que acabam gerando, muitas vezes, alguns milhares de pequenos arquivos .txt no final do processo.