|
Dimensione: 12340
Commento: EOL 10.10 → CategoryDaRevisionare
|
← Versione 30 del 28/01/2024 17.42.13 ⇥
Dimensione: 8181
Commento: correzione formati
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ## page update by wilecoyote | |
| Linea 3: | Linea 4: |
| <<Indice(depth=1)>> <<Informazioni(rilasci="10.10 10.04"; forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020")>> |
<<Indice(depth=2)>> <<BR>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>> |
| Linea 8: | Linea 10: |
| In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate. | Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. }}} |
| Linea 12: | Linea 29: |
| [[http://foremost.sourceforge.net/|Foremost]] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://foremost | foremost]]. Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb). * Creare le directory '''`/recovery/foremost`''' e quindi montare il disco esterno nella cartella '''`recovery`''': {{{ sudo mkdir -p /recovery/foremost sudo mount /dev/sdb1 /recovery }}} * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ sudo foremost -i /dev/sda -o /recovery/foremost }}} * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso: {{{ sudo foremost -i nome_immagine -o /recovery/foremost }}} * I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [[AmministrazioneSistema/PermessiFile|permessi]] digitare in una finestra di terminale i seguenti comandi: {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo). * Usare l'opzione '''-w''' solo per si desidera ottenere un analisi dei file recuperabili: {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost }}} * Per recuperare un tipo di file specifico usare l'opzione '''-t''': {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost }}} Per una panoramica sui file supportati da '''Foremost''' fare riferimento alla [[#ur|pagina man]]. = Scalpel = '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [[http://it.wikipedia.org/wiki/Formato_di_file|negli header e nei footer]] presenti all'interno di un file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://scalpel | scalpel]]. Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [[http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf|di configurazione di esempio]] al fine di mostrare l'elenco dei formati che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando: {{{ sudo scalpel nome_immagine -o nome_cartella }}} dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione. |
Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata. |
| Linea 54: | Linea 33: |
| [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. | [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
| Linea 58: | Linea 37: |
| Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando: {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1 }}} dove «nome_cartella» è la cartella di destinazione. |
Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png` * siano allocati nella partizione `/dev/sda3` * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare '''magicrescue''' digitando il seguente comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3 }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = recoverjpeg = '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione `/dev/sda4` * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare il programma digitando il seguente comando:{{{ sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = NtfsUndelete = '''!NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. Nei seguenti esempi sostituire in `/dev/sdxy`: * `x` coll'identificativo del disco da recuperare * `y` col numero della partizione 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{ ntfsundelete /dev/sdxy -t 2d }}} 0. Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. |
| Linea 65: | Linea 122: |
| '''!TestDisk ''' è un programma con cui si possono recuperare i file cancellati accidentalmente, meglio se usato su una versione live di Ubuntu. Le directory e i file andranno salvati su una diversa partizione o disco esterno e ''non'' sarà possibile recuperare quelli elencati in rosso. | '''!TestDisk ''' e '''!PhotoRec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. |
| Linea 67: | Linea 124: |
| 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://testdisk|testdisk]]. 0. Avviare '''!TestDisk ''' digitando nel [[AmministrazioneSistema/RigaDiComando|terminale]]:{{{ sudo testdisk }}} 0. Creare una cartella in cui salvare i file recuperati. 0. Selezionare '''Create a new log file'''. 0. Selezionare il disco interessato con le frecce '''↑''' e '''↓''' e selezionare '''Proceed'''. 0. Selezionare il tipo di partizione (generalmente ''Intel''). 0. Selezionare '''Analyze''' e poi '''Quick search''' e attendere che arrivi al 100%. Il tempo di attesa dipende dalla grandezza del disco. 0. Evidenziare la partizione interessata con le frecce '''↑''' e '''↓''' poi premere il tasto '''P'''. |
Per installare e usare '''!TestDisk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. |
| Linea 78: | Linea 126: |
| A questo punto verranno elencati, se possibile, le directory e i file trovati. * È possibile scorrere l'elenco con le frecce '''↑''' e '''↓''', entrare e uscire dalle directory con le frecce '''←''' e '''→'''. * Per selezionare più voci insieme usare il tasto ''':''' (''due punti''), per selezionarle tutte premere '''a'''. * Per copiare tutti i file selezionati premere '''C''' (''C maiuscola''), per il solo file evidenziato premere '''c''' (''c minuscola''). Trovare la cartella apposita creata all'inizio e premere di nuovo '''C'''. La cartella verrà impostata solo la prima volta, per continuare a salvare altri file basterà scorrere di nuovo l'elenco e premere '''C''' oppure '''c'''. == PhotoRec == '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file contenuto nel pacchetto [[apt://testdisk|testdisk]]. * Per avviare il programma e analizzare un file immagine digitare nel [[AmministrazioneSistema/RigaDiComando|terminale]]: {{{ sudo photorec nome_immagine }}} * Per recuperare i file direttamente dal dispositivo di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ sudo photorec }}} = recoverjpeg = '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. * Avviare il programma digitando in una finestra di terminale il seguente comando: {{{ sudo recoverjpeg /dev/hda1 }}} dove «/dev/hda1» è il dispositivo sul quale si desidera indagare. * I file recuperati verranno salvati nella propria cartella '''Home''' nel formato `image*.jpg`. = Ntfsprogs = '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfsprogs | ntfsprogs]]. Un altro programma capace di operare sulle partizioni NTFS è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. * Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 }}} * Per cercare i file in formato `.doc` cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -s -m '*.doc' }}} * Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -S 5k-6m -p 90 }}} * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -t 2d }}} * Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -u -i 2,5,100-131 }}} * Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella '''Home''', digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~ }}} * Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. |
Per installare e usare '''!PhotoRec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. |
| Linea 133: | Linea 130: |
| '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3. | Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''. |
| Linea 135: | Linea 132: |
| Sono entrambi disponibili su piattaforme UNIX. '''Autopsy''', inoltre, essendo basato su ''html'', può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. |
| Linea 137: | Linea 134: |
| == Autopsy == Può essere avviato da un [[Installazione/Grafica#live|live CD]]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando: {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} == Sleuthkit == Di seguito verranno esposte le principali attività che è possibile svolgere con '''The Sleuth Kit'''. * ''dls'' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw }}} * il cui output sarà simile al seguente: {{{ r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1 }}} In [[http://forums.gentoo.org/viewtopic-t-365703.html|questa pagina]] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [[http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/|Questo script]] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. |
Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. |
| Linea 176: | Linea 139: |
| * [[http://linux.die.net/man/1/foremost|Pagina man foremost]] * [[http://www.linuxcertif.com/man/1/scalpel/|Pagina man Scalpel]] * [[http://www.itu.dk/people/jobr/magicrescue/manpage.html|Pagina man Macig Rescue]] * [[http://linux.die.net/man/1/photorec|Pagina man photorec]] * [[http://tfm.cz/man/1/recoverjpeg|Pagina man recoverjpeg]] |
* [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] |
| Linea 185: | Linea 147: |
| CategoryAmministrazione CategoryDaRevisionare | CategoryAmministrazione |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Consultare la guida dedicata.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png
siano allocati nella partizione /dev/sda3
verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione /dev/sda2 nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare magicrescue digitando il seguente comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione /dev/sda4
che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare il programma digitando il seguente comando:
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy:
x coll'identificativo del disco da recuperare
y col numero della partizione
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sdxy, digitare il comando :
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
TestDisk e PhotoRec sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione LiveUSB o LiveDVD di Ubuntu Desktop Editition o derivata. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.
Per installare e usare TestDisk leggere questa pagina.
Per installare e usare PhotoRec leggere questa pagina.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2.
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.
