Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AmministrazioneSistema/RecuperoDati/Estrazione"
Differenze tra le versioni 12 e 13
Versione 12 del 13/12/2010 16.18.40
Dimensione: 10181
Commento: sembra terminata
Versione 13 del 14/12/2010 16.10.08
Dimensione: 10524
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 12: Linea 12:
[http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.  [http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://foremost foremost].
Linea 16: Linea 18:
 * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero {{{  * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{
Linea 20: Linea 22:
 * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando {{{  * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{
Linea 23: Linea 25:
 * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{  * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso: {{{
Linea 26: Linea 28:
 * I file recuperati saranno di proprietà dell'utente ''root''. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi {{{  * I file recuperati saranno di proprietà dell'utente ''root''. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi: {{{
Linea 29: Linea 31:
 * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili {{{  * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{
Linea 32: Linea 34:
 * Per recuperare un tipo di file specifico usare l'opzione `-t` {{{  * Per recuperare un tipo di file specifico usare l'opzione `-t`: {{{
Linea 40: Linea 42:
'''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a '''Foremost''' e la ricerca potrebbe essere migliore. '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore.
Linea 42: Linea 44:
Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://scalpel scalpel].
Linea 44: Linea 46:
Digitare in una finestra di terminale il seguente comando {{{ Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf di configurazione di esempio] al fine di mostrare l'elenco dei formati che è in grado di recuperare.

Digitare in una finestra di terminale il seguente comando: {{{
Linea 54: Linea 58:
Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando {{{ Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{
Linea 61: Linea 65:
'''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file.
Linea 63: Linea 67:
 * Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale {{{ Per utilizzare il programma, [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto [apt://testdisk testdisk].

* Per avviare il programma e analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{
Linea 66: Linea 72:
 * Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù {{{  * Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{
Linea 76: Linea 82:
 * Avviare il programma digitando in una finestra di terminale il seguente comando {{{  * Avviare il programma digitando in una finestra di terminale il seguente comando: {{{
Linea 78: Linea 84:
}}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. }}} dove `/dev/hda1` è il dispositivo sul quale si desidera indagare.
Linea 83: Linea 89:
'''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte integrante del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni Windows è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni NTFS è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''.
Linea 85: Linea 91:
 * Per cercare i file cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{  * Per cercare i file cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale: {{{
Linea 88: Linea 94:

* Per cercare i file in formato `.doc` cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{
 * Per cercare i file in formato `.doc` cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale: {{{
Linea 92: Linea 97:

* Per cercare i file cancellati sul dispositivo `/dev/sda2`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale {{{
 * Per cercare i file cancellati sul dispositivo `/dev/sda2`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale: {{{
Linea 96: Linea 100:
 * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale {{{  * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale: {{{
Linea 99: Linea 103:
 * Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sda2`, digitare il seguente comando in una finestra di terminale {{{  * Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sda2`, digitare il seguente comando in una finestra di terminale: {{{
Linea 102: Linea 106:
 * Per cercare  il file 'work.doc' cancellato sull'`inode` 3689 del dispositivo `dev/sda2` e copiarlo nella propria cartella '''Home''', digitare il seguente comando in una finestra di terminale {{{
ntfsundelete /dev/sda2 -u -i 3689 -o work.doc -d ~
 * Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo `dev/sda2` e copiarlo nella propria cartella '''Home''', digitare il seguente comando in una finestra di terminale {{{
ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~
Linea 105: Linea 109:
 * Per salvare tutti i [http://it.wikipedia.org/wiki/Master_File_Table metadati] contenuti sul ''Master File Table'' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale {{{  * Per salvare tutti i [http://it.wikipedia.org/wiki/Master_File_Table metadati] contenuti sul ''Master File Table'' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale: {{{
Linea 111: Linea 115:
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3. '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3.
Linea 119: Linea 123:
Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando {{{ Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando: {{{
Linea 133: Linea 137:
}}}
 * il cui output sarà simile al seguente: {{{

Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")

Introduzione

In questo documento verranno esposti diversi programmi con i quali agire sui singoli file dalle partizioni o dalle immagini recuperate.

Foremost

[http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://foremost foremost].

Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).

  • Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero:

    sudo mount /dev/sdb1 /recovery
    sudo mkdir /recovery/foremost
  • Avviare foremost digitando in una finestra di terminale il seguente comando:

    sudo foremost -i /dev/sda -o /recovery/foremost
  • Per avviare foremost su un file immagine semplicemente sostituire il percorso:

    sudo foremost -i nome_immagine -o /recovery/foremost
  • I file recuperati saranno di proprietà dell'utente root. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi:

    sudo chown -R youruser:youruser /recovery/foremost

    dove youruser:youruser rappresentano rispettivamente l'utente e il gruppo di appartenenza.

  • Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:

    sudo foremost -w -i /dev/hda -o /recovery/foremost
  • Per recuperare un tipo di file specifico usare l'opzione -t:

    sudo foremost -t jpg -i /dev/hda -o /recovery/foremost

Per una panoramica sui file supportati da Foremost fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man].

Scalpel

Scalpel recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://scalpel scalpel].

Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf di configurazione di esempio] al fine di mostrare l'elenco dei formati che è in grado di recuperare.

Digitare in una finestra di terminale il seguente comando:

sudo scalpel nome_immagine -o nome_cartella

dove nome_immagine è il file immagine e nome_cartella è la cartella di destinazione.

Magic Rescue

[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].

Nel caso si vogliano recuperare dei file con estensione .gzip e .png da una partizione chiamata /dev/sda1, digitare in una finestra di terminale il seguente comando:

mkdir ~/output
sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1

dove nome_cartella è la cartella di destinazione.

Photorec

PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file.

Per utilizzare il programma, [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto [apt://testdisk testdisk].

  • Per avviare il programma e analizzare un file immagine digitare il seguente comando in una finestra di terminale:

    sudo photorec nome_immagine
  • Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:

    sudo photorec

recoverjpeg

recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg].

  • Avviare il programma digitando in una finestra di terminale il seguente comando:

    sudo recoverjpeg /dev/hda1

    dove /dev/hda1 è il dispositivo sul quale si desidera indagare.

  • I file recuperati verranno salvati nella propria cartella Home nel formato image*.jpg.

Ntfsprogs

NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni NTFS è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.

  • Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2
  • Per cercare i file in formato .doc cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -s -m '*.doc'
  • Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -S 5k-6m -p 90
  • Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -t 2d
  • Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -u -i 2,5,100-131
  • Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo dev/sda2 e copiarlo nella propria cartella Home, digitare il seguente comando in una finestra di terminale

    ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~
  • Per salvare tutti i [http://it.wikipedia.org/wiki/Master_File_Table metadati] contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -c 3689-3690 -o debug

    dove debug è il file di destinazione.

Sleuth Kit e Autopsy

Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3.

Sono entrambi disponibili su piattaforme UNIX. Autopsy, inoltre, essendo basato su html, può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.

Autopsy

Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.

Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in una finestra di terminale il seguente comando:

sudo autopsy -d /media/disk/autopsy 192.168.0.1

Sleuthkit

Di seguito verranno esposte le principali attività che è possibile svolgere con The Sleuth Kit.

  • dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:

    dls inputimage > outputimage
    Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output.
  • fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:

    fls loopfile -r -f fat -i raw
  • il cui output sarà simile al seguente:

    r/r 3: test (Volume Label Entry)
    r/r * 5: sample.docx
    r/r * 7: sample.pptx
    r/r * 9: sample.xlsx
  • icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:

    icat -r -f fat -i raw loopfile 5 > sample.docx
  • sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:

    sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1

In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando fls e icat. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.

Anchor(ur)

Ulteriori risorse


CategoryHomepage