Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AmministrazioneSistema/RecuperoDati/Estrazione"
Differenze tra le versioni 22 e 23
Versione 22 del 14/03/2011 12.49.16
Dimensione: 10561
Autore: localhost
Commento: converted to 1.6 markup
Versione 23 del 07/05/2011 09.50.41
Dimensione: 10551
Autore: MatteoLazzari
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 4: Linea 4:
<<Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")>> <<Informazioni(rilasci="10.10 10.04"; forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020")>>

Questa guida è stata verificata solo con versioni obsolete di Ubuntu, potrebbe non essere più valida. Vuoi contribuire ad aggiornarla? Clicca qui!

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate.

Foremost

Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.

Installare il pacchetto foremost.

Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).

  • Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero: 

    sudo mount /dev/sdb1 /recovery
sudo mkdir /recovery/foremost

  • Avviare foremost digitando in una finestra di terminale il seguente comando: 

    sudo foremost -i /dev/sda -o /recovery/foremost

  • Per avviare foremost su un file immagine semplicemente sostituire il percorso: 

    sudo foremost -i nome_immagine -o /recovery/foremost

  • I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: 

    sudo chown -R youruser:youruser /recovery/foremost
    dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza.

  • Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili: 

    sudo foremost -w -i /dev/hda -o /recovery/foremost

  • Per recuperare un tipo di file specifico usare l'opzione -t: 

    sudo foremost -t jpg -i /dev/hda -o /recovery/foremost

Per una panoramica sui file supportati da Foremost fare riferimento alla pagina man.

Scalpel

Scalpel recupera i file appoggiandosi alle definizioni contenute negli header e nei footer presenti all'interno di un file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.

Installare il pacchetto scalpel.

Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file di configurazione di esempio al fine di mostrare l'elenco dei formati che è in grado di recuperare.

Digitare in una finestra di terminale il seguente comando: 

sudo scalpel nome_immagine -o nome_cartella

dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione.

Magic Rescue

Magic Rescue è un programma che utilizza i magic number per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.

Installare il pacchetto magicrescue.

Nel caso si vogliano recuperare dei file con estensione .gzip e .png da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando: 

mkdir ~/output
sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1

dove «nome_cartella» è la cartella di destinazione.

Photorec

PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file.

Per utilizzare il programma, installare il pacchetto testdisk.

  • Per avviare il programma e analizzare un file immagine digitare il seguente comando in una finestra di terminale: 

    sudo photorec nome_immagine

  • Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: 

    sudo photorec

recoverjpeg

recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.

Installare il pacchetto recoverjpeg.

  • Avviare il programma digitando in una finestra di terminale il seguente comando: 

    sudo recoverjpeg /dev/hda1
    dove «/dev/hda1» è il dispositivo sul quale si desidera indagare.

  • I file recuperati verranno salvati nella propria cartella Home nel formato image*.jpg.

Ntfsprogs

NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfsprogs. Un altro programma capace di operare sulle partizioni NTFS è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.

  • Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2

  • Per cercare i file in formato .doc cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -s -m '*.doc'

  • Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -S 5k-6m -p 90

  • Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -t 2d

  • Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -u -i 2,5,100-131

  • Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella Home, digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~

  • Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale: 

    ntfsundelete /dev/sda2 -c 3689-3690 -o debug
    dove «debug» è il file di destinazione.

Sleuth Kit e Autopsy

Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3.

Sono entrambi disponibili su piattaforme UNIX. Autopsy, inoltre, essendo basato su html, può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.

Autopsy

Può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.

Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in una finestra di terminale il seguente comando: 

sudo autopsy -d /media/disk/autopsy 192.168.0.1

Sleuthkit

Di seguito verranno esposte le principali attività che è possibile svolgere con The Sleuth Kit.

  • dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: 

    dls inputimage > outputimage
    Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output.

  • fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: 

    fls loopfile -r -f fat -i raw

  • il cui output sarà simile al seguente: 

    r/r 3: test (Volume Label Entry)
r/r * 5: sample.docx
r/r * 7: sample.pptx
r/r * 9: sample.xlsx

  • icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: 

    icat -r -f fat -i raw loopfile 5 > sample.docx

  • sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando: 

    sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1

In questa pagina viene mostrato uno script che estrae i file da un immagine usando fls e icat. Questo script invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.

Ulteriori risorse

CategoryAmministrazione