8239
Commento: creata
|
11693
Aggiornamento wiki Gennaio 2021
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 1: | Linea 1: |
## page update by wilecoyote | |
Linea 3: | Linea 4: |
<<Indice(depth=2)>> <<BR>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>> |
|
Linea 4: | Linea 8: |
= Introduzione == | = Introduzione = |
Linea 6: | Linea 10: |
In questo documento verranno esposti diversi programmi con i quali estrarre singoli file dalle partizioni recuperate. | Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga d'usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione, in caso contrario potrebbe accadere una sovrascrittura delle medesime col rischio di corromperle o perderle. }}} |
Linea 10: | Linea 29: |
[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. | [[http://foremost.sourceforge.net/|Foremost]] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS. |
Linea 12: | Linea 31: |
Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://foremost|foremost]]. |
Linea 14: | Linea 33: |
* Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{ sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost |
Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/foremost`:{{{ sudo mkdir -p /recovery/foremost |
Linea 18: | Linea 38: |
* Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ sudo foremost -i /dev/hda -o /recovery/foremost |
0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery |
Linea 21: | Linea 41: |
* Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i image -o /recovery/foremost |
0. Avviare '''foremost''' digitando il comando:{{{ sudo foremost -i /dev/sda -o /recovery/foremost }}}{{{#!wiki note Per avviare ''foremost'' su un file immagine sostituire il disco `/dev/sda` col nome dell'immagine. |
Linea 24: | Linea 46: |
* I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost |
0. I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [[AmministrazioneSistema/PermessiFile|permessi]] digitare il seguente comando:{{{ sudo chown -R nomeutente:nomegruppo /recovery/foremost |
Linea 30: | Linea 49: |
* Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost |
* «nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo). 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb |
Linea 34: | Linea 54: |
Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man. | '''Foremost''' mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero. Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Linea 38: | Linea 60: |
'''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti. | '''Scalpel''' recupera i file immagine appoggiandosi alle definizioni contenute [[http://it.wikipedia.org/wiki/Formato_di_file|negli header e nei footer]] presenti all'interno del file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. |
Linea 40: | Linea 62: |
Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://scalpel | scalpel]]. |
Linea 42: | Linea 64: |
Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel file -o nome_cartella }}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione. |
Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file [[http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf|di configurazione di esempio]] al fine di mostrare la lista dei formati che è in grado di recuperare. Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/scalpel`:{{{ sudo mkdir -p /recovery/scalpel }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery }}} 0. Avviare '''scalpel''' digitando il comando:{{{ sudo scalpel nome_immagine -o /recovery }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Linea 48: | Linea 85: |
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". | [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
Linea 50: | Linea 87: |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. |
Linea 52: | Linea 89: |
Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. | Nell'esempio seguente s'ipotizza che i file da recuperare abbiano estensione `.gzip` e `.png` e siano allocati nella partizione `/dev/sda3`, e che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
Linea 54: | Linea 91: |
Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1 }}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''. = Photorec = '''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec imagefilename |
{{{#!wiki important Assicurarsi d'avere abbastanza spazio per poter salvare i file recuperati. |
Linea 67: | Linea 95: |
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ sudo photorec |
0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue |
Linea 70: | Linea 98: |
0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare '''magicrescue''' digitando il seguente comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3 }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
|
Linea 73: | Linea 112: |
'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. | '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. |
Linea 75: | Linea 114: |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{ sudo recoverjpeg /dev/hda1 }}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. |
[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. |
Linea 79: | Linea 116: |
I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`. | Negli esempi seguenti s'ipotizza che i file da recuperare siano nella partizione `/dev/sda4`, e che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
Linea 81: | Linea 118: |
= Ntfsprogs = | {{{#!wiki important Assicurarsi d'aver abbastanza spazio per poter salvare le immagini recuperate. }}} |
Linea 83: | Linea 122: |
Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. | 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare il programma digitando il seguente comando:{{{ sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = NtfsUndelete = '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. Nei seguenti esempi sostituire in `/dev/sdxy` la `x` coll'identificativo del disco da recuperare e la `y` col numero della partizione. 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{ ntfsundelete /dev/sdxy -t 2d }}} 0. Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} 0. Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. = TestDisk e PhotoRec = '''Test``Disk ''' e '''Photo``Rec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. Per installare e usare '''Test``Disk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. Per installare e usare '''Photo``Rec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. |
Linea 87: | Linea 175: |
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3. | Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]], esso supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2''', mentre il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] fornente l'interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. |
Linea 89: | Linea 177: |
Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | Per installare e ulteriori informazioni sulla suite '''The Sleuth``Kit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. |
Linea 91: | Linea 179: |
== Autopsy == '''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} == Sleuthkit == * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1 }}} In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. |
<<Anchor(ur)>> |
Linea 125: | Linea 182: |
* [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] |
* [[http://manpages.ubuntu.com/manpages/focal/en/man8/foremost.8.html|Pagina man foremost]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] |
Linea 134: | Linea 191: |
CategoryHomepage | CategoryAmministrazione |
Guida verificata con Ubuntu: 20.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga d'usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione, in caso contrario potrebbe accadere una sovrascrittura delle medesime col rischio di corromperle o perderle.
Foremost
Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS.
Installare il pacchetto foremost.
Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/foremost:
sudo mkdir -p /recovery/foremost
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare foremost digitando il comando:
sudo foremost -i /dev/sda -o /recovery/foremost
Per avviare foremost su un file immagine sostituire il disco /dev/sda col nome dell'immagine.
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare il seguente comando:
sudo chown -R nomeutente:nomegruppo /recovery/foremost
- «nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo).
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Foremost mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Scalpel
Scalpel recupera i file immagine appoggiandosi alle definizioni contenute negli header e nei footer presenti all'interno del file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.
Installare il pacchetto scalpel.
Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file di configurazione di esempio al fine di mostrare la lista dei formati che è in grado di recuperare.
Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/scalpel:
sudo mkdir -p /recovery/scalpel
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare scalpel digitando il comando:
sudo scalpel nome_immagine -o /recovery
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nell'esempio seguente s'ipotizza che i file da recuperare abbiano estensione .gzip e .png e siano allocati nella partizione /dev/sda3, e che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi d'avere abbastanza spazio per poter salvare i file recuperati.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione /dev/sda2 nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare magicrescue digitando il seguente comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti s'ipotizza che i file da recuperare siano nella partizione /dev/sda4, e che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi d'aver abbastanza spazio per poter salvare le immagini recuperate.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare il programma digitando il seguente comando:
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy la x coll'identificativo del disco da recuperare e la y col numero della partizione.
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sdxy, digitare il comando :
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
TestDisk e PhotoRec sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione LiveUSB o LiveDVD di Ubuntu Desktop Editition o derivata. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.
Per installare e usare TestDisk leggere questa pagina.
Per installare e usare PhotoRec leggere questa pagina.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense, esso supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2, mentre il programma Autopsy è il front-end fornente l'interfaccia grafica per la suite The SleuthKit.
Per installare e ulteriori informazioni sulla suite The SleuthKit consultare questa pagina.