|
Dimensione: 8238
Commento:
|
Dimensione: 9482
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 3: | Linea 3: |
| [[Indice(depth=1)]] [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] |
|
| Linea 10: | Linea 12: |
| [http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. | [http://foremost.sourceforge.net/ Foremost] è un tool a riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. |
| Linea 34: | Linea 36: |
| Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man. | Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man]. |
| Linea 38: | Linea 40: |
| '''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti. | '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e la ricerca potrebbe essere migliore. |
| Linea 48: | Linea 50: |
| [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". | [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". |
| Linea 57: | Linea 59: |
| }}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''. | }}} Questo scriverà i dati recuperati all'interno della cartella `output` presente nella propria '''Home'''. |
| Linea 61: | Linea 63: |
| '''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. | '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. '''!PhotoRec''' è parte del pacchetto [apt://testdisk testdisk]. |
| Linea 63: | Linea 65: |
| Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ | Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ |
| Linea 79: | Linea 81: |
| I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`. | I file recuperati verranno salvati nella propria cartella '''Home''' nel formato `image*.jpg`. |
| Linea 83: | Linea 85: |
| Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. | '''NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. E' parte integrante del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni Windows è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. Di seguito una panoramica dei possibili utilizzi. * Cercare i file cancellati su `/dev/sda2` {{{ ntfsundelete /dev/sda2 }}} * Look for deleted documents on /dev/sda2 {{{ ntfsundelete /dev/sda2 -s -m '*.doc' }}} * Look for deleted files between 5000 and 6000000 bytes, with at least 90% of the data recoverable, on /dev/sda2 {{{ ntfsundelete /dev/sda2 -S 5k-6m -p 90 }}} * Look for deleted files altered in the last two days {{{ ntfsundelete /dev/sda2 -t 2d }}} * Undelete inodes 2, 5 and 100 to 131 of device /dev/sda2 {{{ ntfsundelete /dev/sda2 -u -i 2,5,100-131 }}} * Undelete inode number 3689, call the file 'work.doc' and put it in the user's home directory {{{ ntfsundelete /dev/sda2 -u -i 3689 -o work.doc -d ~ }}} * Save MFT Records 3689 to 3690 to a file 'debug' {{{ ntfsundelete /dev/sda2 -c 3689-3690 -o debug }}} |
| Linea 87: | Linea 115: |
| '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3. | '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3. |
| Linea 89: | Linea 117: |
| Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | Sono entrambi Open Source e disponibili su piattaforme UNIX. Con '''Autopsy''', essendo basato su ''html'', è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. |
| Linea 93: | Linea 121: |
| '''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. | Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. |
| Linea 95: | Linea 123: |
| Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{ | Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1` digitare in una finestra di terminale il seguente comando: {{{ |
| Linea 101: | Linea 129: |
| * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ | Di seguito verranno esposte le principali attività che è possibile svolgere con '''The Sleuth Kit'''. * ''dls'' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ |
| Linea 103: | Linea 133: |
| }}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output. | }}} Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output. |
| Linea 123: | Linea 153: |
| [[Anchor(ur)]] | |
| Linea 130: | Linea 161: |
| * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] | * [http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu] |
Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")
Introduzione
In questo documento verranno esposti diversi programmi con i quali estrarre singoli file dalle partizioni recuperate.
Foremost
[http://foremost.sourceforge.net/ Foremost] è un tool a riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.
Supponendo che i file persi siano su /dev/hda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).
Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero:
sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost
Avviare foremost digitando in una finestra di terminale il seguente comando:
sudo foremost -i /dev/hda -o /recovery/foremost
Per avviare foremost su un file immagine semplicemente sostituire il percorso
sudo foremost -i image -o /recovery/foremost
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi:
sudo chown -R youruser:youruser /recovery/foremost
dove youruser:youruser rappresentano rispettivamente l'utente e il gruppo di appartenenza.
Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:
sudo foremost -w -i /dev/hda -o /recovery/foremost
Per recuperare uno specifico tipo di file usare l'opzione -t:
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Per una panoramica dei file supportati da Foremost fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man].
Scalpel
Scalpel recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file .raw. È simile a Foremost e la ricerca potrebbe essere migliore.
Per impostazione predefinita, tutti i tipi di file presenti in /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare.
Digitare in una finestra di terminale il seguente comando
sudo scalpel file -o nome_cartella
dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione.
Magic Rescue
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso a molti tipi di file attraverso l'uso di "recipes".
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].
Note that most of the provided recipes need other software installed to work, so open the desired recipes in /usr/share/magicrescue/recipes/ using a text editor and read the comments contained.
Per recuperare dei file con estensione gzip e .png da una partizione chiamata /dev/sda1, digitare in una finestra di terminale il seguente comando:
mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1
Questo scriverà i dati recuperati all'interno della cartella output presente nella propria Home.
Photorec
PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file. PhotoRec è parte del pacchetto [apt://testdisk testdisk].
Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale:
sudo photorec imagefilename
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:
sudo photorec
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando:
sudo recoverjpeg /dev/hda1
sostituendo /dev/hda1 con il dispositivo sul quale si desidera indagare.
I file recuperati verranno salvati nella propria cartella Home nel formato image*.jpg.
Ntfsprogs
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. E' parte integrante del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni Windows è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.
Di seguito una panoramica dei possibili utilizzi.
Cercare i file cancellati su /dev/sda2
ntfsundelete /dev/sda2
Look for deleted documents on /dev/sda2
ntfsundelete /dev/sda2 -s -m '*.doc'
Look for deleted files between 5000 and 6000000 bytes, with at least 90% of the data recoverable, on /dev/sda2
ntfsundelete /dev/sda2 -S 5k-6m -p 90
Look for deleted files altered in the last two days
ntfsundelete /dev/sda2 -t 2d
Undelete inodes 2, 5 and 100 to 131 of device /dev/sda2
ntfsundelete /dev/sda2 -u -i 2,5,100-131
Undelete inode number 3689, call the file 'work.doc' and put it in the user's home directory
ntfsundelete /dev/sda2 -u -i 3689 -o work.doc -d ~
Save MFT Records 3689 to 3690 to a file 'debug'
ntfsundelete /dev/sda2 -c 3689-3690 -o debug
Sleuth Kit e Autopsy
Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3.
Sono entrambi Open Source e disponibili su piattaforme UNIX. Con Autopsy, essendo basato su html, è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.
Autopsy
Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1 digitare in una finestra di terminale il seguente comando:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Sleuthkit
Di seguito verranno esposte le principali attività che è possibile svolgere con The Sleuth Kit.
dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:
dls inputimage > outputimage
Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output.fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:
fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sdc1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando fls e icat. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
Ulteriori risorse
[http://linux.die.net/man/1/foremost Pagina man foremost]
[http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
[http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
[http://linux.die.net/man/1/photorec Pagina man photorec]
[http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]
[http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]
