Preciso de ajuda na recuperação de dados após rm - rf ~/

Boas,
Então, embora eu seja um génio da informática (para os meus pais. Foi magia quando conectei a impressora ao wifi), a verdade é que sou uma totó que não percebe nada de Linux, e apaguei recentemente uns 700gb de dados executando o famoso rm rf*/.
Sei que não sou um caso único, e já pesquisei como proceder numa tentativa de recuperação de dados, mas continuo com dúvidas e agradecia uma ajuda "step-by-step", como seu fosse muito burra. Se calhar o processo é bem simples, e se calhar até sou capaz experimentando sozinha, mas sendo eu ignorante e principiante nisto, e estando com tanto receio de fazer ainda mais m***a, agredecia imenso não estar sozinha durante o processo.
Info técnica: Disco SSD (não sei em que formato), com uma pequena partição para Windows (que parece intocada, segundo o "disk utility").
Distro: Ubuntu Studio versão 20.04 Focal Fossa

O processo que foi recomendado noutro fórum:

1. shutdown the system ASAP. Don't let it overwrite "empty" blocks.
-Problema: Não me apercebi imediatamente do que estava a acontecer e continuei executando um software de gravação de som, enquanto a limpeza estava em curso. Depois disso, ainda reiniciei o PC duas vezes. Da última vez, pareceu-me "congelado". O certo é já ter havido algum overwrite.

2. Use another PC to download Kali linux or similar. It has a bunch of recovery tools.
-Ok. Feito

3. Copy it onto a USB drive.
- Feito

3.1. Boot into it, and open the encrypted drive.
-ok, dúvida:
Estou no Kali Installer Menu, como proceder? "Encrypted drive"?
Devo instalar o Kali? "Graphical Install?" "Graphical expert install? Graphical rescue mode? Só" rescue mode"?

4. mount it **read-only**.

A parte seguinte, a parte de usar o terminal, assusta-me, já que foi assim que acabei nesta situação.

5. Run other tools like foremost on the `/dev/mapper/cryptroot` device or whatever the unlocked device is.
6. If you can't recover the data you need, then try `extundelete` on a read-write drive. I have had good luck with that.

*You should get an external thumb drive or hard drive to write the recovered files to, since you want your drive mounted as read-only.

Alguma opinião? Discordam de algum passo? Alguma recomendação? Alternativa? (Em relação a backups, já espero que me digam para fazer sempre. Acho que tenho cópia da maioria dos dados, o problema é que perdi dados muito importantes destes últimos 2 meses que, infelizmente, me esqueci de copiar. Aprendi a lição e vou passar a fazer backups com mais regularidade)
 
Info técnica: Disco SSD (não sei em que formato), com uma pequena partição para Windows (que parece intocada, segundo o "disk utility").
Se foi mesmo um rm -rf ~/, então a partição do Windows está intocada, porque apenas terás apagado os ficheiros da partição com o Linux.

1. shutdown the system ASAP. Don't let it overwrite "empty" blocks.
-Problema: Não me apercebi imediatamente do que estava a acontecer e continuei executando um software de gravação de som, enquanto a limpeza estava em curso. Depois disso, ainda reiniciei o PC duas vezes. Da última vez, pareceu-me "congelado". O certo é já ter havido algum overwrite.
Cada minuto com o computador ligado é um minuto de oportunidade para substituir dados. Serem substituídos dados eliminados depende de quão cheio o disco costuma estar, e da forma como o sistema de ficheiros aloca espaço.

Na realidade, nestas situações nem é um "shut down" que se pretende. É desligar à força, desligando da tomada, tirando a bateria, ou idealmente usando o SysRq-O. Ou seja, minimizar a oportunidade de o processo de shut down substituir ainda mais informação.

3.1. Boot into it, and open the encrypted drive.
-ok, dúvida:
Estou no Kali Installer Menu, como proceder? "Encrypted drive"?
Devo instalar o Kali? "Graphical Install?" "Graphical expert install? Graphical rescue mode? Só" rescue mode"?
Que versão do Kali escolheste? A ideal nesta situação será a Live Boot, uma vez que queres correr o Kali a partir da pen, e não queres tocar no disco (ou seja, instalar está fora de questão).
Dentro das opções da live pen, queres escolher o "forensic mode", para evitar montar automaticamente o disco que queres recuperar (situação que pode originar escritas, uma vez que os mounts costumam ser read-write em vez de read-only).

4. mount it **read-only**.

A parte seguinte, a parte de usar o terminal, assusta-me, já que foi assim que acabei nesta situação.
Esse medo é saudável. No terminal, apenas deves correr comandos que sabes exactamente o que fazem, e deves ganhar algumas estratégias para ter cuidado com comandos perigosos (sendo um deles o rm).
Quando eu vou fazer algum rm ou um dd, normalmente escrevo "echo" antes do comando, e faço algumas validações (como correr o "lsblk") para triple-checkar que estou mesmo a fazer aquilo que quero. Não interessa a experiência, toda a gente comete erros, e alguns são irreversíveis.

5. Run other tools like foremost on the `/dev/mapper/cryptroot` device or whatever the unlocked device is.
6. If you can't recover the data you need, then try `extundelete` on a read-write drive. I have had good luck with that.
extundelete não funciona se o teu sistema de ficheiros for ext4. Referes o Ubuntu 20.04; que eu saiba, este usa ext4.

Existe uma ferramenta chamada testdisk que, se funcionar, seria o ideal para ti. No entanto, tratando-se de ext4, não deves ter sorte, mas nada como tentar na mesma, porque a alternativa é muito pior.

Ferramentas como o foremost ou o photorec têm algum sucesso a encontrar ficheiros com formatos conhecidos (normalmente imagens, ZIPs, Word, etc). Convém saberes usar estas ferramentas para as orientares para aquilo que pretendes recuperar, porque elas também originam quantidades monstruosas de lixo (como ficheiros cuja estrutura parece ser uma imagem, mas não é).
Convém estares de aviso: os nomes dos ficheiros provavelmente foram perdidos. Ou seja, vais ter ficheiros com nomes como f01826418.jpg, f12938527.zip, etc.

Se queres tentar recuperar tudo aquilo que foi apagado, (1) não vais conseguir, porque muita coisa não vai ser identificável, e (2) prepara-te para passar dias a navegar o mar de falsos resultados que te vão surgir. Por exemplo, se usas o browser nesse sistema, tanto o Firefox como o Chrome colocam as caches em ~/.cache, portanto vais encontrar milhares de imagens que são simplesmente cache dos browsers.

Também interessa saber se a tua homedir está numa partição própria, ou se está na partição root. É que se fizeste rm -rf ~/, apagaste a homedir, e se esta está na partição root, então a recuperação vai incluir ficheiros de sistema que não chegaram a ser apagados.

*You should get an external thumb drive or hard drive to write the recovered files to, since you want your drive mounted as read-only.
Yup.

Alguma opinião? Discordam de algum passo? Alguma recomendação? Alternativa?
Se o objectivo é recuperares o que puderes, vais aprender muito pelo caminho, mas as chances de recuperares o que te interessa são baixas.
Se existem mesmo ficheiros que precisas de recuperar, pode valer a pena contactares empresas especializadas. São mesmo muito caras.

Todas estas ferramentas são de linha de comandos, portanto convém estares mesmo um pouco mais confortável com Linux antes de as usares. Não deve ficar pior do que está, mas o sucesso depende de escolheres boas configurações.

Não vou bater no ceguinho, quanto aos backups, mas recomendo muito esta leitura: http://www.taobackup.com/
o problema é que perdi dados muito importantes destes últimos 2 meses que, infelizmente, me esqueci de copiar.
Se esses dados tiverem formatos específicos (ZIP? Word? LaTeX?), podes orientar as ferramentas disponíveis para recuperar exactamente esse tipo de informação. No caso de ficheiros de texto, já tive sucesso a fazer grep de excertos que eu sabia de cor (no meu caso, usava o sistema de ficheiros XFS, e quando a luz foi abaixo perdi o history da shell; correr o grep sobre o disco com comandos exactos que eu sabia que tinha corrido levou a que conseguisse encontrar uma versão do histfile no disco).
 
Última edição:
Back
Topo