|
Dimensione: 8489
Commento: +versioni supportate; +revisione_pagina
|
Dimensione: 8481
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 33: | Linea 33: |
| [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. | [[https://github.com/jbj/magicrescue|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
Guida verificata con Ubuntu: 22.04 24.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Consultare la guida dedicata.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png;
la partizione contenente i dati da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare magicrescue digitando il comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione contenente i file da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare il programma digitando il comando:
sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS.
Installare il pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando:
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e da 100 a 131 del dispositivo /dev/sdxy, digitare il comando:
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sulla Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
È possibile recuperare file cancellati accidentalmente utilizzando due programmi:
Si consiglia il loro utilizzo da una versione LiveUSB o LiveDVD di Ubuntu o derivata.
I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio:
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.
