8457
Commento:
|
10498
sistemati un pò di errori con i collegamenti
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 8: | Linea 8: |
In questo documento verranno esposti diversi programmi con i quali estrarre singoli file dalle partizioni recuperate. | In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate. |
Linea 12: | Linea 12: |
[http://foremost.sourceforge.net/ Foremost] è un tool a riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. | [http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. |
Linea 14: | Linea 14: |
Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). | [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://foremost foremost]. Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb). |
Linea 21: | Linea 23: |
sudo foremost -i /dev/hda -o /recovery/foremost | sudo foremost -i /dev/sda -o /recovery/foremost |
Linea 23: | Linea 25: |
* Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i image -o /recovery/foremost |
* Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso: {{{ sudo foremost -i nome_immagine -o /recovery/foremost |
Linea 26: | Linea 28: |
* I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{ | * I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi: {{{ |
Linea 28: | Linea 30: |
}}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{ |
}}} dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione '''-w''' solo per si desidera ottenere un analisi dei file recuperabili: {{{ |
Linea 32: | Linea 34: |
* Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{ | * Per recuperare un tipo di file specifico usare l'opzione '''-t''': {{{ |
Linea 36: | Linea 38: |
Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man]. | Per una panoramica sui file supportati da '''Foremost''' fare riferimento alla [#ur pagina man]. |
Linea 40: | Linea 42: |
'''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e la ricerca potrebbe essere migliore. | '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. |
Linea 42: | Linea 44: |
Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. | [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://scalpel scalpel]. |
Linea 44: | Linea 46: |
Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel file -o nome_cartella }}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione. |
Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf di configurazione di esempio] al fine di mostrare l'elenco dei formati che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando: {{{ sudo scalpel nome_immagine -o nome_cartella }}} dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione. |
Linea 50: | Linea 54: |
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". | [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
Linea 54: | Linea 58: |
Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{ |
Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando: {{{ |
Linea 58: | Linea 60: |
sudo magicrescue -r gzip -r png -d ~/output /dev/sda1 }}} Questo scriverà i dati recuperati all'interno della cartella `output` presente nella propria '''Home'''. |
sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1 }}} dove «nome_cartella» è la cartella di destinazione. |
Linea 63: | Linea 65: |
'''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. '''!PhotoRec''' è parte del pacchetto [apt://testdisk testdisk]. | '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. |
Linea 65: | Linea 67: |
Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec imagefilename |
Per utilizzare il programma, [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto [apt://testdisk testdisk]. * Per avviare il programma e analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec nome_immagine |
Linea 68: | Linea 72: |
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ |
* Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ |
Linea 77: | Linea 80: |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{ | [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg]. * Avviare il programma digitando in una finestra di terminale il seguente comando: {{{ |
Linea 79: | Linea 84: |
}}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. I file recuperati verranno salvati nella propria cartella '''Home''' nel formato `image*.jpg`. |
}}} dove «/dev/hda1» è il dispositivo sul quale si desidera indagare. * I file recuperati verranno salvati nella propria cartella '''Home''' nel formato `image*.jpg`. |
Linea 85: | Linea 89: |
Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. (oppure tradurre??) | '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni NTFS è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. * Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 }}} * Per cercare i file in formato `.doc` cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -s -m '*.doc' }}} * Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -S 5k-6m -p 90 }}} * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -t 2d }}} * Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -u -i 2,5,100-131 }}} * Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella '''Home''', digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~ }}} * Per salvare tutti i [http://it.wikipedia.org/wiki/Master_File_Table metadati] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. |
Linea 89: | Linea 115: |
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3. | '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3. |
Linea 91: | Linea 117: |
Sono entrambi Open Source e disponibili su piattaforme UNIX. Con '''Autopsy''', essendo basato su ''html'', è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | Sono entrambi disponibili su piattaforme UNIX. '''Autopsy''', inoltre, essendo basato su ''html'', può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. |
Linea 95: | Linea 121: |
Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. | Può essere avviato da un [:Installazione/Grafica#live:live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. |
Linea 97: | Linea 123: |
Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1` digitare in una finestra di terminale il seguente comando: {{{ | Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando: {{{ |
Linea 111: | Linea 137: |
}}} * il cui output sarà simile al seguente: {{{ |
|
Linea 121: | Linea 149: |
* `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1 |
* `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1 |
Linea 135: | Linea 163: |
* [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] | * [http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu] |
Linea 139: | Linea 167: |
CategoryHomepage | CategoryAmministrazione |
Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")
Introduzione
In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate.
Foremost
[http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://foremost foremost].
Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).
Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero:
sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost
Avviare foremost digitando in una finestra di terminale il seguente comando:
sudo foremost -i /dev/sda -o /recovery/foremost
Per avviare foremost su un file immagine semplicemente sostituire il percorso:
sudo foremost -i nome_immagine -o /recovery/foremost
I file recuperati saranno di proprietà dell'utente root. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi:
sudo chown -R youruser:youruser /recovery/foremost
dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza.Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:
sudo foremost -w -i /dev/hda -o /recovery/foremost
Per recuperare un tipo di file specifico usare l'opzione -t:
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Per una panoramica sui file supportati da Foremost fare riferimento alla [#ur pagina man].
Scalpel
Scalpel recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://scalpel scalpel].
Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf di configurazione di esempio] al fine di mostrare l'elenco dei formati che è in grado di recuperare.
Digitare in una finestra di terminale il seguente comando:
sudo scalpel nome_immagine -o nome_cartella
dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione.
Magic Rescue
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].
Nel caso si vogliano recuperare dei file con estensione .gzip e .png da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando:
mkdir ~/output sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1
dove «nome_cartella» è la cartella di destinazione.
Photorec
PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file.
Per utilizzare il programma, [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto [apt://testdisk testdisk].
Per avviare il programma e analizzare un file immagine digitare il seguente comando in una finestra di terminale:
sudo photorec nome_immagine
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:
sudo photorec
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg].
Avviare il programma digitando in una finestra di terminale il seguente comando:
sudo recoverjpeg /dev/hda1
dove «/dev/hda1» è il dispositivo sul quale si desidera indagare.I file recuperati verranno salvati nella propria cartella Home nel formato image*.jpg.
Ntfsprogs
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni NTFS è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.
Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2
Per cercare i file in formato .doc cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -u -i 2,5,100-131
Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella Home, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i [http://it.wikipedia.org/wiki/Master_File_Table metadati] contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
Sleuth Kit e Autopsy
Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3.
Sono entrambi disponibili su piattaforme UNIX. Autopsy, inoltre, essendo basato su html, può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.
Autopsy
Può essere avviato da un [:Installazione/Grafica#live:live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in una finestra di terminale il seguente comando:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Sleuthkit
Di seguito verranno esposte le principali attività che è possibile svolgere con The Sleuth Kit.
dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:
dls inputimage > outputimage
Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output.fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:
fls loopfile -r -f fat -i raw
il cui output sarà simile al seguente:
r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando fls e icat. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
Ulteriori risorse
[http://linux.die.net/man/1/foremost Pagina man foremost]
[http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
[http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
[http://linux.die.net/man/1/photorec Pagina man photorec]
[http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]
[http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]