EnCase Forensic — Recuperando Dados
| ||
O EnCase Forensic é uma das melhores ferramentas de Análise Forense, é uma das ferramentas utilizadas pela Policia para encontrar evidências de um possível ato criminoso. | ||
Site: www.encase.com | ||
Neste artigo vou mostrar um dos processos mais básicos do EnCase para recuperar uma imagem apagada. | ||
01 — Passo | ||
Apagar a imagem 100security.png da unidade E:. | ||
| ||
02 — Passo | ||
Abrir o EnCase e clicar em New. | ||
| ||
03 — Passo | ||
Defina um nome para o caso (Case 1) o nome do perito (Marcos Henrique) a pasta padrão C:\Program Files (X86)\EnCase4 e a pasta temporária C:\Temp, clique em Concluir. | ||
| ||
04 — Passo | ||
O Case 1 foi criado, clique em Add Device. | ||
| ||
05 — Passo | ||
Selecione Local Drivers e clique em Avançar. | ||
| ||
06 — Passo | ||
Selecione a unidade E: do dispositivo removível, clique em Avançar. | ||
| ||
07 — Passo | ||
Clique em Concluir. | ||
| ||
08 — Passo | ||
O ícone que esta na frente do nome do arquivo 100security.jpg simboliza que ele foi excluído da unidade removível. | ||
| ||
09 — Passo | ||
Para recuperá-lo clique com o botão direito sobre o nome do arquivo 100security.jpg em seguida Copy/UnErase… | ||
| ||
10 — Passo | ||
Clique em Avançar. | ||
| ||
11 — Passo | ||
Clique em Avançar. | ||
| ||
12 — Passo | ||
Informe o diretório onde o arquivo 100security.jpg deve ser restaurado, clique em Concluir. | ||
| ||
13 — Passo | ||
O arquivo foi recuperado, clique em OK. | ||
| ||
14 — Passo | ||
Arquivo recuperado em C:\Imagens. | ||
| ||
15 — Passo | ||
Clique sobre Timeline para visualizar arquivos excluídos nos anos de 2008, 2009, 2010, 2011, 2012. | ||
| ||
