O HD foi formatado. E agora?

Continuando nossa série “Socorro! Perdi Tudo”, vamos analisar este caso.

O que realmente a formatação do HD faz?

Desde quando iniciou os seus passos pelo mundo da informática, você foi advertido de que, uma vez formatado o disco rígido, todos os dados estavam irremediavelmente perdidos, não é verdade?

Será que é isto mesmo? O que o processo de formatação faz?

Quando o assunto é acesso a dados sempre tem duas coisas envolvidas – a parte lógica e a parte física.

O disco é um meio físico onde os dados são gravados magneticamente. Mas o acesso a esses dados depende do que chamamos de Sistema de Arquivos, que é a parte lógica.

A idéia que se tem de formatação é como se estivéssemos passando um apagador numa lousa. Ou uma borracha numa folha de caderno escrita a lápis. No final ta tudo apagado; já era.

Nada disso. A formatação afeta os seus arquivos do mesmo modo que uma “exclusão definitiva” praticada dentro do Windows, através da seqüência de comandos Shift+Del.

Os procedimentos e as chances de recuperação dos arquivos são os mesmos que foram descritos nas primeiras matérias desta série.

Dê uma olhada no Arquivo do Blog aí ao lado e boa sorte.

Não deixe de comentar, sugerir, criticar ou até mesmo elogiar. :-)

Não encontrou o que precisava? Mande uma mensagem e incluiremos o assunto nos próximos posts.

Até mais.

Celulares com rastreador por SMS

Finalmente um fabricante decidiu fazer algo pra tentar acabar com a festa do roubo de celulares.

Cada vez mais usados pelos bandidos, dentro e fora dos presídios, o celulares se tornaram um grande alvo de assaltantes. Pode parecer incrível, mas há casos em que o assaltante exigiu o celular da vítima sob a mira de uma arma, mas nem sequer reparou no cordão de ouro que ela usava.

O celular se tornou uma ferramenta valiosa para o crime, organizado ou não.

Enquanto parece que a polícia, a justiça, ou seja lá quem deva se preocupar com isto desistiu do controle dos celulares nos presídios, surge a iniciativa de um fabricante que pode desestimular o roubo destes aparelhos. Ou, pelo menos, facilitar a localização de um aparelho roubado.

A Samsung incorporou em alguns dos modelos da sua linha 2007 de celulares recursos de segurança para a localização do aparelho e o envio de mensagens de emergência por SMS.

Espero que isto se torne um padrão e passe a ser um recurso oferecido em todos os aparelhos...

Veja mais detalhes em matéria publicada originalmente por Airton Lopes, da INFO.

O Computador Reconhece o HD, Mas Não Inicializa

(continuação da série “Socorro! Perdi Tudo”)

Isto pode acontecer simplesmente porque algum arquivo do sistema operacional está corrompido. Neste caso uma reinstalação do sistema pode resolver tudo.
No entanto, devem-se tomar certas precauções. A primeira coisa que recomendo é que não tente corrigir o HD antes de tentar recuperar seus dados.

Como em outras situações já comentadas em artigos anteriores, neste caso também use outro HD para iniciar a máquina e coloque o HD defeituoso como slave.
Se você conseguir enxergar os dados nele, ótimo. É só copiar para o HD master e, se você for esperto, não vai dar mais bobeira e já vai fazer logo um backup em alguma outra mídia.

Depois, pode reinstalar ou até reformatar o HD defeituoso.

Porém, o que acontece muitas vezes é que ao tentar acessar o HD defeituoso, você recebe uma mensagem do tipo “o disco rígido não está formatado; deseja fazê-lo agora?”

Apesar de a situação parecer crítica, pode não ser tão ruim assim.

O que pode ter ocorrido é que o sistema de arquivos (FAT, EXT, NTFS, etc.) ou o MBR estão corrompidos.

O MBR – Master Boot Register ou Registro Mestre de Inicialização mapeia as partições do disco.

O sistema de arquivos mapeia tudo que tem no HD. Sem isto o sistema operacional não consegue acessar nada. É como se ele nem tivesse formatado.

Então tudo o que você tem a fazer é reconstruir o MBR e se necessário corrigir o sistema de arquivos.

A maneira mais fácil de se reconstruir a MBR é utilizando um utilitário do fabricante do HD. Todos eles disponibilizam um Disk Manager que possui várias ferramentas úteis para manutenção o seu disco rígido. Use este utilitário para reconstruir a MBR do seu disco. Na maioria dos casos o problema é corrigido e você volta a ter acesso aos dados.

Para checar a integridade do sistema de arquivos, execute algum utilitário do tipo Scandisk, Chkdsk, fsck (Linux), etc.

Este artigo é parte de uma série em que estamos abordando situações que podem provocar a perda de dados. Caso você ainda não tenha lido os artigos anteriores, navegue pelo Arquivo do Blog aí ao lado e acesse.

lsass.exe ou lsass.exe?

Notou a diferença?

Não?

Se você está familiarizado com os arquivos do sistema operacional (Windows) este nome não deve lhe parecer estranho. Trata-se de um arquivo que roda um serviço do Windows relacionado com autenticação de usuários - Local Security Authority Service.

Só que na verdade, o que você está vendo aí em cima são dois nomes diferentes e é bom que você saiba a diferença, porque um é este arquivo legítimo do sistema operacional e o outro trata-se de um trojan.

A diferença é que um começa com L (minúsculo) e o outro com i (maiúsculo). Mas, dependendo da fonte no computador L minúsculo e i maiúsculo são exatamente iguais!
Este é um truque utilizado para que você não apague o arquivo confiando que é um arquivo legítimo do sistema operacional.

Um dos primeiros procedimentos que a gente costuma fazer ao perceber que algo está errado com nosso computador é verificar os processos que estão rodando. E lá na janela do Gerenciador de Tarefas essa diferença entre o L e o I é completamente imperceptível se está sendo utilizada a fonte padrão. Aí você é enganado.

Agora que você já sabe deste engodo, procure se certificar que o que está rodando é o arquivo original. Você pode fazer isto, indo para o prompt e usando o comando DIR no diretório System32 e ver o nome verdadeiro do arquivo. Outra coisa importante é ver o tamanho do arquivo. No Win XP SP2 e no 2003 Server ele tem 13 k, no W2k Pro 36 k e no Advanced Server 33 k em valores redondos. Se o tamanho dele for muito diferente disso, suspeite. Pode ser um impostor.

Mas, a troca do LSASS.EXE por um ISASS.EXE não a única artimanha usada por alguns trojans. Se seu sistema não estiver atualizado com o último Service Pack e os patches de correção, uma vulnerabilidade no lsass.exe pode ser explorada.
Na verdade esta vulnerabilidade não é nova; foi descoberta em 2004. Mas nos últimos dias ouvi vários usuários reclamando de extrema lentidão em seus computadores e, para minha surpresa, me deparei com este problema que julgava já estar erradicado. Por isso resolvi postar este artigo, mesmo tratando-se de algo já amplamente divulgado na web.

• Leia o Boletim de Segurança da Microsoft MS04-044

Outras vezes o vírus instala um arquivo como o mesmo nome, porém, em outro diretório e cria uma chave no registro apontando para este arquivo. Neste caso, além de remover o arquivo infectado, você tem que remover a chave LSA Shel (com um l só mesmo!) Export Version.

No entanto, caso não tenha experiência com este tipo de procedimento, sugiro que antes de meter a mão na massa procure as ferramentas de remoção desenvolvidas por vários fabricantes de anti-vírus. Elas vão te poupar muito tempo e esforço.

Aqui você vai encontrar várias delas:

http://www.symantec.com/enterprise/security_response/removaltools.jsp

Problemas com o log do Windows

"O log de segurança neste sistema está cheio. Somente administradores podem logar para resolver o problema."

Esta mensagem pode aparecer no momento em que você vai efetuar logon no Windows XP ou 2003 Server.
Neste caso somente um usuário do grupo Administradores conseguirá efetuar o logon com sucesso.

Esta situação acontece quando eventos não podem mais ser gravados no log de Segurança do computador.
O procedimento mais natural seria entrar no Visualizador de Eventos, em Ferramentas Administrativas no Painel de Controle, e limpar os eventos. Só que muitas vezes isto não resolve. Porque logo após limpar os eventos o log já está cheio novamente.

Isto pode ocorrer dependendo das políticas de controle de eventos configuradas localmente ou no Controlador de Domínio, quando a estação é parte de uma rede com domínio.

Uma das soluções neste caso é configurar para que o log seja sobrescrito quando for necessário. Para isto deve-se seguir o seguinte procedimento:

1. Abra o Visualizador de Eventos
   Iniciar --> Painel de Controle --> Ferramentas Administrativas --> Visualizador de Eventos.
2. Clique com o botão direito do mouse sobre Segurança e em seguida clique em Propriedades.
3. Na área Tamanho do Log, marque a opção Sobreescrever eventos quando necessário, sob a opção Quando atingir o tamanho máximo do log.
4. Clique OK e feche o Visualizador de Eventos.

Talvez você não se importe com esta mensagem e prefira deixar tudo como está, uma vez que você usa sempre o computador com uma conta com direitos administrativos.
Mas é bom lembrar que se você precisar efetuar um logon remoto via Terminal Service, esta situação pode impedir o seu logon mesmo sendo um Administrador do Sistema.
Pense nisso.

O Computador Não Reconhece Mais o HD

(Continuação da série Socorro! Perdi tudo.)

Mais um dia de trabalho! Você liga seu computador e... nada.
Tudo o que você vê na tela é uma mensagem sinistra do tipo “system not found”.

Se você é daqueles que sabe “fuçar” no computador, vai logo ao setup e descobre que o HD não foi detectado pelo BIOS.
Bem, aí vale aquelas providências de praxe. Checar o cabo de força, o cabo flat, reiniciar. O defeito persiste.

Mais algumas tentativas no BIOS executando os comandos para auto-detectar o HD e, quem sabe, até a configuração manual digitando os valores de número de cilindros, cabeças e setores (CHS). Mesmo assim é inútil. O computador não reconhece o disco rígido.

Aí começa a pintar o desespero. Ai, meu Deus! Perdi tudo.
Porque, é claro, você não é diferente da maior parte dos mortais e não tem um backup decente do conteúdo do seu HD. O que fazer agora?

Bem, vamos analisar o que pode ter acontecido com o seu disco rígido?

O disco rígido ou HD como é conhecido por causa do inglês hard disk, tem uma estrutura mecânica e outra lógica. Tanto uma quanto a outra pode ser danificada de forma a causar esta situação em que o sistema básico do computador (BIOS) não consegue mais configurá-lo e torná-lo acessível.

1. O mecanismo.

O desgaste natural do mecanismo que aciona o leitor pode fazer com ele fique imobilizado ou não se posicione corretamente.

Este mecanismo também pode ser danificado em virtude de algum choque. Isto pode ocorrer, por exemplo, durante o transporte ou manuseio do gabinete, se o disco não foi devidamente fixado.
Danos deste tipo realmente tornam o disco inutilizável. Mas, não quer dizer que todos os dados que estavam gravados nele se perderam. Na verdade, eles estão gravados na mídia, só que o mecanismo de leitura não funciona. O único jeito é abrir e reparar o mecanismo. Só que isto não é trabalho para amador e nem pode ser feito em qualquer ambiente. Um disco rígido só pode ser aberto em sala especialmente preparada para isto e o reparo requer conhecimento técnico adequado.

Então, se é extremamente necessário reaver os dados gravados num disco com este tipo de defeito, deve-se procurar uma empresa especializada. Contudo, fique atento! Todo o cuidado é pouco ao manuseá-lo. Qualquer choque um pouco mais forte pode arranhar a superfície magnética dos discos e aí sim, a integridade dos dados pode ficar definitivamente comprometida.

2. A placa lógica.

Outro tipo de dano que pode ocorrer num disco rígido é na sua placa lógica. Geralmente problemas elétricos são os maiores causadores de dano na placa lógica de discos rígidos. Especialmente em redes sem aterramento adequado e sem estabilizador. Uma descarga elétrica ou a oscilação forte de tensão pode queimar algum componente desta placa. E aí o HD não liga.

Neste caso, a solução é simples, desde que se consiga uma placa lógica igual. Se você tem dois HDs defeituosos da mesma marca e modelo – um com um problema mecânico e outro com a placa lógica defeituosa – então, você tem um HD perfeito! Passa a placa lógica do que está com problema mecânico para o outro. Pronto! Você salvou um HD.

Assim como no caso anterior, os dados contidos neste HD devem estar intactos. Após trocar a placa, é só ligar e pronto. De novo, o alerta: cuidado ao manusear.

No entanto, é necessária uma observação aqui. Isto pode não funcionar em alguns modelos de discos, cujos parâmetros de configuração não ficam totalmente armazenados na ROM da placa lógica.

Agora, se o HD danificado não contém dados realmente críticos ou se o proprietário tem backup, então, aconselho a transformá-lo em peso de papel (muito útil) e comprar outro. Vai dar muito menos trabalho e provavelmente vai ficar mais barato, especialmente no primeiro caso.

Garimpando dados

(Continuação da série Socorro! Perdi tudo.)

No último artigo falamos sobre exclusão acidental de arquivos e o que pode ser feito para tentar recuperá-los.
Mas o meu objetivo não é simplesmente dar uma fórmula mágica pra você recuperar os seus dados. Até porque não existe fórmula mágica.
Gostaria de abordar outros aspectos relacionados com segurança de dados.

Pretendo inclusive em outro artigo discutir exatamente o oposto do que tratamos até aqui, que é como evitar que arquivos excluídos sejam recuperados.

Antes, porém, acho relevante a pergunta: como esses programas conseguem recuperar arquivos “permanentemente” excluídos?
Quando falamos sobre exclusão definitiva, dissemos que o arquivo é realmente apagado do sistema. Quando você não consegue localizá-lo na lixeira, nem em nenhuma pasta ou unidade lógica em seu computador, é porque ele foi apagado do sistema. Mas isto não quer dizer que ele foi apagado do disco.

O sistema operacional lê uma base de dados que mapeia todo o disco, que é dividido em trilhas e setores e cria uma série de referências que indicam onde os dados de um determinado arquivo estão gravados no disco. Assim ele consegue recuperar e disponibilizar as informações gravadas no disco de forma organizada, para que você possa manipular.

Quando você manda excluir o arquivo, ele apaga todas essas referências e não pode mais localizar e recuperar os dados. É como se eles não existissem mais. No entanto, eles continuam lá, fisicamente gravados no disco. Só que os blocos onde os dados estão gravados, não estão mais definidos como “ocupados”, eles estão marcados “livres”, isto é, podem ser usados para gravar outros arquivos. Se isto acontecer, aqueles dados podem ser sobrescritos no todo ou em parte.

E é aí que entra o programa de recuperação de dados. É por isso também que não existe como garantir 100% de recuperação em nenhum caso. Tudo depende do nível de atividade que houve no disco após o evento de exclusão.

O programa de recuperação vai ler diretamente nos setores do disco, não através do sistema operacional. Ao se deparar com um bloco marcado como “livre”, mas que na verdade contém dados, então, o programa captura esses dados e os copia para setores que constituem um diretório reconhecido pelo sistema operacional.

Como um arquivo frequentemente é gravado em diversos blocos, ele fica fragmentado no disco.

Muitas vezes, após um processo de recuperação verificamos que alguns arquivos não estão completos, outros estão divididos em vários arquivos e outros contêm muito “lixo”.

É comum também que alguns simplesmente não sejam recuperados ou seu conteúdo fique indecifrável.

Isto ocorre porque, devido a atividade de gravação no disco, alguns setores onde estavam partes desses arquivos foram sobrescritos. E também porque os links que faziam a conexão entre os diversos setores para garantir a unidade do arquivo foram quebrados.

Podemos dizer que este é um processo de “garimpagem”. Às vezes somos recompensados e encontramos a gema preciosa; outras vezes só lama e pedregulho.

Socorro! Perdi tudo.

Você já ouviu alguém dizendo isto a respeito de seus arquivos no computador?

Ou pior, você já disse isto?!

Com certeza não é uma experiência agradável, mas infelizmente acontece com mais freqüência do que deveria. Na verdade, é algo que não deveria acontecer nunca se todos seguissem uma das regras mais básicas da informática – faça backup de tudo. Sempre.
Por que será que muitas pessoas, e eu me arriscaria até a dizer que são a maioria, não seguem esta regrinha básica?

Tem uma atitude na forma como as pessoas usam o computador que não é muito lógica, apesar de estarem lidando com uma máquina que só entende a lógica.

É comum ver pessoas que estão diariamente armazenando informações que são extremamente importantes, pelo menos pra elas, sem contundo ter uma cópia de segurança em lugar nenhum. Os dados estão ali no seu HD e só.

E quando falamos em informações importantes, não estamos nos referindo apenas a dados críticos de uma companhia multinacional ou de um governo, por exemplo. Aquele arquivo contendo todas as receitas culinárias que uma dona de casa foi guardando por anos, é algo muito importante pra ela. Imagine que ela gastou dias digitando tudo que estava em milhares de papéis, já amassados, amarelados, alguns quase ilegíveis, e finalmente, concluiu seu maravilhoso projeto – “agora sim, ta tudo digitado, guardadinho no meu computador. Posso queimar esta papelada toda”.

Ótimo. Só que antes de queimar a papelada deveria, pelo menos, ter “queimado” um cd.

E aí, não muito tempo depois de queimar aquela papelada toda, dá uma pane em seu computador e seu hd, como dizem por aí, “foi pro saco”.

É triste. Muito triste. Frustrante, pra não dizer desesperador.
Socorro! Perdi tudo. E agora, tem jeito de recuperar???

Bem, se você não tem o tal do backup, pode ser que sim, pode ser que não.
Pra responder a pergunta, temos que analisar primeiro o que causou a perda.
São muitas as situações que podem causar a perda de dados. Em alguns casos, a recuperação é relativamente fácil. Em outros, extremamente difícil e trabalhosa. E, em alguns, é impossível.

Vamos mostrar o que pode ser feito, mas gostaria de ir um pouco mais fundo no assunto. Tenho visto pessoas que perderam dados importantes, conseguiram recuperar e mais tarde vieram a perder novamente outros dados igualmente importantes, que jamais puderam ser recuperados. E isto simplesmente porque continuaram trabalhando do mesmo jeito. Por isso não deixe de ler os próximos posts.

Então vamos às situações de perda de dados, desde a mais elementar, mas que pode parecer um bicho de sete cabeças para o usuário inexperiente, até as mais complexas:

1. O arquivo foi apagado acidentalmente.
2. O computador não reconhece mais o disco rígido.
3. O computador reconhece o disco rígido, mas não incializa.
4. O disco foi formatado.
5. O disco foi reparticionado e reformatado.
6. O disco foi apagado com uma formatação de baixo nível - Zero Fill.

Vamos começar pela situação número 1.
Desculpem, se parece óbvio demais para alguns, mas não quero desprezar aqueles que porventura estão lendo este artigo e que não entendem bulhufas de computador. Todos nós já fomos novatos!
A primeira coisa a fazer é procurar na lixeira. Se você usa um ambiente gráfico, seja em Windows, Macintosh ou qualquer distribuição Linux, você tem uma lixeira para onde vão os arquivos “deletados” de forma simples. Se o arquivo que você procura estiver lá, você ganhou o dia! Basta selecioná-lo e usar a opção de Restaurar, ou simplesmente copiar e colar de volta na pasta de origem.

Mas, e se o arquivo não estiver na lixeira? Bem, aí a coisa começa a complicar. Significa que o arquivo foi realmente excluído pelo sistema operacional.

Nesse caso temos que partir então para o uso de programas específicos para recuperação de dados.
Uma coisa que devemos dizer acerca desses programas é que nenhum deles pode garantir 100% de sucesso em todas as situações.

Bom, agora preste atenção nestas dicas para aumentar as chances de recuperação de arquivos deletados.

a) Se o arquivo deletado estava na mesma partição do sistema operacional, pare tudo o que estiver fazendo no computador e desligue-o. Arranje outro hd, instale-o como master e configure o hd original como slave.

Instale o programa de recuperação no hd master e, então, execute-o.

Leia antes atentamente as instruções que variam dependendo do programa a ser utilizado.

b) Se o seu hd estiver particionado e o arquivo deletado estava em uma pasta na outra partição, diferente da partição do sistema operacional, você pode instalar o programa de recuperação na partição onde está o sistema operacional e executá-lo. Mas, antes disto, certifique-se de que na partição onde o arquivo deletado estava não está definido nenhum arquivo de troca (swap). Se estiver, é melhor fazer o mesmo procedimento indicado anteriormente (a).

c) Nunca direcione o programa para salvar os arquivos recuperados na mesma partição de onde estão sendo recuperados. Crie uma pasta para isto em outra partição.

Agora vai uma listinha com alguns programas que podem ser usados:

GetDataBack

R-Studio

UnErase

FastRecover

Easy Recovery

Certamente você vai encontrá-los em seu site de download preferido.

Espero que esteja lendo isto só pra se informar. Mas, caso contrário, boa sorte!

Agora, tão importante quanto tentar recuperar arquivos é entender como o sistema operacional trata os dados e como esses programas conseguem recuperar.
Vamos falar disto no próximo post e ainda estudar outro caso de perda de dados que é o nosso tópico número 2 - o computador não reconhece mais o disco rígido.