|
Dimensione: 8203
Commento: +DaRevisionare
|
Dimensione: 8489
Commento: +versioni supportate; +revisione_pagina
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 6: | Linea 6: |
| <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>> | <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="24.04 22.04 20.04 18.04 16.04 14.04")>> |
| Linea 35: | Linea 35: |
| [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png` * siano allocati nella partizione `/dev/sda3` * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
{{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. }}} |
| Linea 46: | Linea 43: |
| [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png`; * la partizione contenente i dati da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. == Utilizzo == |
|
| Linea 47: | Linea 53: |
| sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare '''magicrescue''' digitando il seguente comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3 }}} |
sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare '''magicrescue''' digitando il comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy }}} |
| Linea 56: | Linea 62: |
| sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
sudo umount /dev/sdxy }}} |
| Linea 65: | Linea 69: |
| [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione `/dev/sda4` * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. |
|
| Linea 75: | Linea 73: |
| 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare il programma digitando il seguente comando:{{{ sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 |
{{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
| Linea 88: | Linea 77: |
| Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione contenente i file da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. {{{#!wiki note Sostituire in `/dev/sdxy`.<<BR>>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. }}} == Utilizzo == 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare il programma digitando il comando:{{{ sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdxy }}} |
| Linea 92: | Linea 103: |
| '''!NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. | '''NtfsUndelete''' può recuperare i file cancellati dalle partizioni [[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]. |
| Linea 94: | Linea 105: |
| Nei seguenti esempi sostituire in `/dev/sdxy`: * `x` coll'identificativo del disco da recuperare * `y` col numero della partizione |
[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://ntfs-3g|ntfs-3g]]. {{{#!wiki note Nei seguenti esempi sostituire in `/dev/sdxy`.<<BR>>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. }}} == Utilizzo == |
| Linea 99: | Linea 114: |
| ntfsundelete /dev/sdxy }}} 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{ ntfsundelete /dev/sdxy -t 2d }}} 0. Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. |
ntfsundelete /dev/sdxy }}} * Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} * Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} * Per cercare i file cancellati negli ultimi due giorni, digitare il comando:{{{ ntfsundelete /dev/sdxy -t 2d }}} * Per cercare i file cancellati sugli `inode` 2, 5 e da 100 a 131 del dispositivo `/dev/sdxy`, digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} * Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} * Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sulla '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. |
| Linea 120: | Linea 135: |
| = TestDisk e PhotoRec = | = TestDisk e PhotoRec = |
| Linea 122: | Linea 137: |
| '''!TestDisk ''' e '''!PhotoRec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. | È possibile recuperare file cancellati accidentalmente utilizzando due programmi: * '''[[Hardware/DispositiviPartizioni/TestDisk|TestDisk]]'''. * '''[[Hardware/DispositiviPartizioni/PhotoRec|PhotoRec]]'''. |
| Linea 124: | Linea 141: |
| Per installare e usare '''!TestDisk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. Per installare e usare '''!PhotoRec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. |
Si consiglia il loro utilizzo da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu]]''' o [[https://www.ubuntu-it.org/derivate|derivata]].<<BR>>I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno. |
| Linea 130: | Linea 145: |
| Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''. | Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio: * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]'''. * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Fat|FAT]]'''. * '''exFAT'''. * '''HFS+'''. * '''Ext2/3/[[Hardware/DispositiviPartizioni/MontarePartizioni/Ext4|4]]'''. * '''UFS1/2'''. * '''YAFFS2'''. |
| Linea 132: | Linea 154: |
| Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. | Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''The !SleuthKit'''. |
| Linea 134: | Linea 156: |
| Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. | Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. |
| Linea 139: | Linea 161: |
| * [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]] |
* [[https://manpages.ubuntu.com/manpages/noble/en/man1/scalpel.1.html|Pagina man scalpel]] * [[https://manpages.ubuntu.com/manpages/noble/en/man1/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/noble/en/man1/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/noble/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] |
| Linea 147: | Linea 168: |
| CategoryAmministrazione CategoryDaRevisionare | CategoryAmministrazione |
Guida verificata con Ubuntu: 22.04 24.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Consultare la guida dedicata.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png;
la partizione contenente i dati da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare magicrescue digitando il comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione contenente i file da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare il programma digitando il comando:
sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS.
Installare il pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando:
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e da 100 a 131 del dispositivo /dev/sdxy, digitare il comando:
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sulla Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
È possibile recuperare file cancellati accidentalmente utilizzando due programmi:
Si consiglia il loro utilizzo da una versione LiveUSB o LiveDVD di Ubuntu o derivata.
I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio:
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.
