8239
Commento: creata
|
11721
revisione stilistica
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 1: | Linea 1: |
## page update by wilecoyote | |
Linea 3: | Linea 4: |
= Introduzione == In questo documento verranno esposti diversi programmi con i quali estrarre singoli file dalle partizioni recuperate. |
<<Indice(depth=2)>> <<BR>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>> = Introduzione = Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. }}} |
Linea 10: | Linea 29: |
[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{ sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost }}} * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ sudo foremost -i /dev/hda -o /recovery/foremost }}} * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i image -o /recovery/foremost }}} * I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost }}} * Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost }}} Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man. |
[[http://foremost.sourceforge.net/|Foremost]] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://foremost|foremost]]. Negli esempi seguenti si ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/foremost`:{{{ sudo mkdir -p /recovery/foremost }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery }}} 0. Avviare '''foremost''' digitando il comando:{{{ sudo foremost -i /dev/sda -o /recovery/foremost }}}{{{#!wiki note Per avviare ''foremost'' su un file immagine sostituire il disco `/dev/sda` col nome dell'immagine. }}} 0. I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [[AmministrazioneSistema/PermessiFile|permessi]] digitare il seguente comando:{{{ sudo chown -R nomeutente:nomegruppo /recovery/foremost }}} «nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo). 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb }}} '''Foremost''' mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero. Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Linea 38: | Linea 60: |
'''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti. Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel file -o nome_cartella }}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione. |
'''Scalpel''' recupera i file immagine appoggiandosi alle definizioni contenute [[http://it.wikipedia.org/wiki/Formato_di_file|negli header e nei footer]] presenti all'interno del file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://scalpel | scalpel]]. Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file [[http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf|di configurazione di esempio]] al fine di mostrare la lista dei formati che è in grado di recuperare. Negli esempi seguenti si ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/scalpel`:{{{ sudo mkdir -p /recovery/scalpel }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery }}} 0. Avviare '''scalpel''' digitando il comando:{{{ sudo scalpel nome_immagine -o /recovery }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Linea 48: | Linea 85: |
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1 }}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''. = Photorec = '''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec imagefilename }}} Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ sudo photorec }}} |
[[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png` * siano allocati nella partizione `/dev/sda3` * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare '''magicrescue''' digitando il seguente comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3 }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Linea 73: | Linea 115: |
'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{ sudo recoverjpeg /dev/hda1 }}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`. = Ntfsprogs = Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. |
'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione `/dev/sda4` * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare il programma digitando il seguente comando:{{{ sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = NtfsUndelete = '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. Nei seguenti esempi sostituire in `/dev/sdxy`: * `x` coll'identificativo del disco da recuperare * `y` col numero della partizione 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{ ntfsundelete /dev/sdxy -t 2d }}} 0. Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. = TestDisk e PhotoRec = '''Test``Disk ''' e '''Photo``Rec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. Per installare e usare '''Test``Disk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. Per installare e usare '''Photo``Rec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. |
Linea 87: | Linea 182: |
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3. Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. == Autopsy == '''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} == Sleuthkit == * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1 }}} In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. |
Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''. Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. Per informazioni sull'installazione e sull'utilizzo della suite '''The Sleuth``Kit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. <<Anchor(ur)>> |
Linea 125: | Linea 191: |
* [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] |
* [[http://manpages.ubuntu.com/manpages/focal/en/man8/foremost.8.html|Pagina man foremost]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] |
Linea 134: | Linea 200: |
CategoryHomepage | CategoryAmministrazione |
Guida verificata con Ubuntu: 20.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS.
Installare il pacchetto foremost.
Negli esempi seguenti si ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/foremost:
sudo mkdir -p /recovery/foremost
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare foremost digitando il comando:
sudo foremost -i /dev/sda -o /recovery/foremost
Per avviare foremost su un file immagine sostituire il disco /dev/sda col nome dell'immagine.
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare il seguente comando:
sudo chown -R nomeutente:nomegruppo /recovery/foremost
«nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo).Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Foremost mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Scalpel
Scalpel recupera i file immagine appoggiandosi alle definizioni contenute negli header e nei footer presenti all'interno del file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.
Installare il pacchetto scalpel.
Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file di configurazione di esempio al fine di mostrare la lista dei formati che è in grado di recuperare.
Negli esempi seguenti si ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/scalpel:
sudo mkdir -p /recovery/scalpel
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare scalpel digitando il comando:
sudo scalpel nome_immagine -o /recovery
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png
siano allocati nella partizione /dev/sda3
verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione /dev/sda2 nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare magicrescue digitando il seguente comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione /dev/sda4
che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare il programma digitando il seguente comando:
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy:
x coll'identificativo del disco da recuperare
y col numero della partizione
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sdxy, digitare il comando :
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
TestDisk e PhotoRec sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione LiveUSB o LiveDVD di Ubuntu Desktop Editition o derivata. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.
Per installare e usare TestDisk leggere questa pagina.
Per installare e usare PhotoRec leggere questa pagina.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2.
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.