|
Dimensione: 11693
Commento: Aggiornamento wiki Gennaio 2021
|
Dimensione: 8203
Commento: +DaRevisionare
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 24: | Linea 24: |
| Qualsiasi sia il programma che si scelga d'usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione, in caso contrario potrebbe accadere una sovrascrittura delle medesime col rischio di corromperle o perderle. | Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. |
| Linea 29: | Linea 29: |
| [[http://foremost.sourceforge.net/|Foremost]] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://foremost|foremost]]. Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/foremost`:{{{ sudo mkdir -p /recovery/foremost }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery }}} 0. Avviare '''foremost''' digitando il comando:{{{ sudo foremost -i /dev/sda -o /recovery/foremost }}}{{{#!wiki note Per avviare ''foremost'' su un file immagine sostituire il disco `/dev/sda` col nome dell'immagine. }}} 0. I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [[AmministrazioneSistema/PermessiFile|permessi]] digitare il seguente comando:{{{ sudo chown -R nomeutente:nomegruppo /recovery/foremost }}} * «nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo). 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb }}} '''Foremost''' mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero. Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = Scalpel = '''Scalpel''' recupera i file immagine appoggiandosi alle definizioni contenute [[http://it.wikipedia.org/wiki/Formato_di_file|negli header e nei footer]] presenti all'interno del file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://scalpel | scalpel]]. Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file [[http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf|di configurazione di esempio]] al fine di mostrare la lista dei formati che è in grado di recuperare. Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco `/dev/sda`, che verranno salvati su un altro disco `/dev/sdb`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] sul disco `/dev/sda` la cartella `/recovery/scalpel`:{{{ sudo mkdir -p /recovery/scalpel }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sdb /recovery }}} 0. Avviare '''scalpel''' digitando il comando:{{{ sudo scalpel nome_immagine -o /recovery }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdb }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata. |
| Linea 85: | Linea 33: |
| [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. | [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
| Linea 89: | Linea 37: |
| Nell'esempio seguente s'ipotizza che i file da recuperare abbiano estensione `.gzip` e `.png` e siano allocati nella partizione `/dev/sda3`, e che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. | Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png` * siano allocati nella partizione `/dev/sda3` * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
| Linea 92: | Linea 43: |
| Assicurarsi d'avere abbastanza spazio per poter salvare i file recuperati. | Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. |
| Linea 116: | Linea 67: |
| Negli esempi seguenti s'ipotizza che i file da recuperare siano nella partizione `/dev/sda4`, e che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. | Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione `/dev/sda4` * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
| Linea 119: | Linea 72: |
| Assicurarsi d'aver abbastanza spazio per poter salvare le immagini recuperate. | Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. |
| Linea 139: | Linea 92: |
| '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. | '''!NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. |
| Linea 141: | Linea 94: |
| Nei seguenti esempi sostituire in `/dev/sdxy` la `x` coll'identificativo del disco da recuperare e la `y` col numero della partizione. | Nei seguenti esempi sostituire in `/dev/sdxy`: * `x` coll'identificativo del disco da recuperare * `y` col numero della partizione |
| Linea 158: | Linea 113: |
| 0. Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ | 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ |
| Linea 167: | Linea 122: |
| '''Test``Disk ''' e '''Photo``Rec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. | '''!TestDisk ''' e '''!PhotoRec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. |
| Linea 169: | Linea 124: |
| Per installare e usare '''Test``Disk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. | Per installare e usare '''!TestDisk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. |
| Linea 171: | Linea 126: |
| Per installare e usare '''Photo``Rec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. | Per installare e usare '''!PhotoRec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. |
| Linea 175: | Linea 130: |
| Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]], esso supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2''', mentre il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] fornente l'interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. | Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''. |
| Linea 177: | Linea 132: |
| Per installare e ulteriori informazioni sulla suite '''The Sleuth``Kit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. | Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. |
| Linea 182: | Linea 139: |
| * [[http://manpages.ubuntu.com/manpages/focal/en/man8/foremost.8.html|Pagina man foremost]] | |
| Linea 191: | Linea 147: |
| CategoryAmministrazione | CategoryAmministrazione CategoryDaRevisionare |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Consultare la guida dedicata.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png
siano allocati nella partizione /dev/sda3
verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione /dev/sda2 nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare magicrescue digitando il seguente comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione /dev/sda4
che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare il programma digitando il seguente comando:
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy:
x coll'identificativo del disco da recuperare
y col numero della partizione
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sdxy, digitare il comando :
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
TestDisk e PhotoRec sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione LiveUSB o LiveDVD di Ubuntu Desktop Editition o derivata. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.
Per installare e usare TestDisk leggere questa pagina.
Per installare e usare PhotoRec leggere questa pagina.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2.
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.
