9752
Commento: mancano alcune traduzioni poi è ok
|
12318
TestDisk e PhotoRec
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 3: | Linea 3: |
[[Indice(depth=1)]] [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] |
<<Indice(depth=1)>> <<Informazioni(rilasci="10.10 10.04"; forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020")>> |
Linea 8: | Linea 8: |
In questo documento verranno esposti diversi programmi con i quali agire sui singoli file dalle partizioni o dalle immagini recuperate. | In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate. |
Linea 12: | Linea 12: |
[http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. | [[http://foremost.sourceforge.net/|Foremost]] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. |
Linea 14: | Linea 14: |
Supponendo che i file persi siano su `/dev/sda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://foremost | foremost]]. |
Linea 16: | Linea 16: |
* Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero {{{ | Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb). * Creare le directory '''`/recovery/foremost`''' e quindi montare il disco esterno nella cartella '''`recovery`''': {{{ sudo mkdir -p /recovery/foremost |
Linea 18: | Linea 21: |
sudo mkdir /recovery/foremost | |
Linea 20: | Linea 22: |
* Avviare '''foremost''' digitando in una finestra di terminale il seguente comando {{{ | * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ |
Linea 23: | Linea 25: |
* Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ | * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso: {{{ |
Linea 26: | Linea 28: |
* I file recuperati saranno di proprietà dell'utente ''root''. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi {{{ | * I file recuperati saranno di proprietà dell'utente '''root'''. Per cambiare i [[AmministrazioneSistema/PermessiFile|permessi]] digitare in una finestra di terminale i seguenti comandi: {{{ |
Linea 28: | Linea 30: |
}}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili {{{ |
}}} dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo). * Usare l'opzione '''-w''' solo per si desidera ottenere un analisi dei file recuperabili: {{{ |
Linea 32: | Linea 34: |
* Per recuperare un tipo di file specifico usare l'opzione `-t` {{{ | * Per recuperare un tipo di file specifico usare l'opzione '''-t''': {{{ |
Linea 36: | Linea 38: |
Per una panoramica sui file supportati da '''Foremost''' fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man]. | Per una panoramica sui file supportati da '''Foremost''' fare riferimento alla [[#ur|pagina man]]. |
Linea 40: | Linea 42: |
'''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a '''Foremost''' e la ricerca potrebbe essere migliore. | '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [[http://it.wikipedia.org/wiki/Formato_di_file|negli header e nei footer]] presenti all'interno di un file immagine. È simile a '''Foremost''', la ricerca potrebbe essere migliore. |
Linea 42: | Linea 44: |
Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://scalpel | scalpel]]. |
Linea 44: | Linea 46: |
Digitare in una finestra di terminale il seguente comando {{{ | Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [[http://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Estrazione?action=AttachFile&do=view&target=scalpel.conf|di configurazione di esempio]] al fine di mostrare l'elenco dei formati che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando: {{{ |
Linea 46: | Linea 50: |
}}} dove `nome_immagine` è il file immagine e `nome_cartella` è la cartella di destinazione. | }}} dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione. |
Linea 50: | Linea 54: |
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". | [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
Linea 52: | Linea 56: |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. |
Linea 54: | Linea 58: |
Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando {{{ |
Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando: {{{ |
Linea 59: | Linea 61: |
}}} dove `nome_cartella` è la cartella di destinazione. | }}} dove «nome_cartella» è la cartella di destinazione. |
Linea 61: | Linea 63: |
= Photorec = | = TestDisk e PhotoRec = |
Linea 63: | Linea 65: |
'''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. | '''!TestDisk ''' è un programma con cui si possono recuperare i file cancellati accidentalmente, meglio se usato su una versione live di Ubuntu. Le directory e i file andranno salvati su una diversa partizione o disco esterno e ''non'' sarà possibile recuperare quelli elencati in rosso. |
Linea 65: | Linea 67: |
* Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale {{{ | 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://testdisk|testdisk]]. 0. Avviare '''!TestDisk ''' digitando nel [[AmministrazioneSistema/RigaDiComando|terminale]]:{{{ sudo testdisk }}} 0. Creare una cartella in cui salvare i file recuperati. 0. Selezionare '''Create a new log file'''. 0. Selezionare il disco interessato con le frecce '''↑''' e '''↓''' e selezionare '''Proceed'''. 0. Selezionare il tipo di partizione (generalmente ''Intel''). 0. Selezionare '''Analyze''' e poi '''Quick search''' e attendere che arrivi al 100%. Il tempo di attesa dipende dalla grandezza del disco. 0. Evidenziare la partizione interessata con le frecce '''↑''' e '''↓''' poi premere il tasto '''P'''. A questo punto verranno elencati, se possibile, le directory e i file trovati. * È possibile scorrere l'elenco con le frecce '''↑''' e '''↓''', entrare e uscire dalle directory con le frecce '''←''' e '''→'''. * Per selezionare più voci insieme usare il tasto ''':''' (''due punti''), per selezionarle tutte premere '''a'''. * Per copiare tutti i file selezionati premere '''C''' (''C maiuscola''), per il solo file evidenziato premere '''c''' (''c minuscola''). Trovare la cartella apposita creata all'inizio e premere di nuovo '''C'''. La cartella verrà impostata solo la prima volta, per continuare a salvare altri file basterà scorrere di nuovo l'elenco e premere '''C''' oppure '''c'''. == PhotoRec == '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file contenuto nel pacchetto [[apt://testdisk|testdisk]]. * Per avviare il programma e analizzare un file immagine digitare nel [[AmministrazioneSistema/RigaDiComando|terminale]]: {{{ |
Linea 68: | Linea 90: |
* Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù {{{ | * Per recuperare i file direttamente dal dispositivo di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ |
Linea 76: | Linea 98: |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg]. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. |
Linea 78: | Linea 100: |
* Avviare il programma digitando in una finestra di terminale il seguente comando {{{ | * Avviare il programma digitando in una finestra di terminale il seguente comando: {{{ |
Linea 80: | Linea 102: |
}}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. | }}} dove «/dev/hda1» è il dispositivo sul quale si desidera indagare. |
Linea 85: | Linea 107: |
'''NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte integrante del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni Windows è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. | '''Ntfs``Undelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfsprogs | ntfsprogs]]. Un altro programma capace di operare sulle partizioni NTFS è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. |
Linea 87: | Linea 109: |
* Per cercare i file cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{ | * Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ |
Linea 90: | Linea 112: |
* Per cercare i file in formato `.doc` cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{ |
* Per cercare i file in formato `.doc` cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale: {{{ |
Linea 94: | Linea 115: |
* Per cercare i file cancellati sul dispositivo `/dev/sda2`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale {{{ |
* Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale: {{{ |
Linea 98: | Linea 118: |
* Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale {{{ | * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale: {{{ |
Linea 101: | Linea 121: |
* Undelete inodes 2, 5 and 100 to 131 of device /dev/sda2 {{{ | * Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale: {{{ |
Linea 104: | Linea 124: |
* Undelete inode number 3689, call the file 'work.doc' and put it in the user's home directory {{{ ntfsundelete /dev/sda2 -u -i 3689 -o work.doc -d ~ |
* Per cercare il file 'nome_documento.doc' cancellato sull'`inode` 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella '''Home''', digitare il seguente comando in una finestra di terminale: {{{ ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~ |
Linea 107: | Linea 127: |
* Save MFT Records 3689 to 3690 to a file 'debug' {{{ | * Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale: {{{ |
Linea 109: | Linea 129: |
}}} | }}} dove «debug» è il file di destinazione. |
Linea 113: | Linea 133: |
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3. | '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3. |
Linea 119: | Linea 139: |
Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. | Può essere avviato da un [[Installazione/Grafica#live|live CD]]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. |
Linea 121: | Linea 141: |
Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando {{{ | Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando: {{{ |
Linea 135: | Linea 155: |
}}} * il cui output sarà simile al seguente: {{{ |
|
Linea 145: | Linea 167: |
* `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sda1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ | * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ |
Linea 149: | Linea 171: |
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. | In [[http://forums.gentoo.org/viewtopic-t-365703.html|questa pagina]] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [[http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/|Questo script]] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. |
Linea 151: | Linea 173: |
[[Anchor(ur)]] | <<Anchor(ur)>> |
Linea 154: | Linea 176: |
* [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] |
* [[http://linux.die.net/man/1/foremost|Pagina man foremost]] * [[http://www.linuxcertif.com/man/1/scalpel/|Pagina man Scalpel]] * [[http://www.itu.dk/people/jobr/magicrescue/manpage.html|Pagina man Macig Rescue]] * [[http://linux.die.net/man/1/photorec|Pagina man photorec]] * [[http://tfm.cz/man/1/recoverjpeg|Pagina man recoverjpeg]] * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] |
Linea 163: | Linea 185: |
CategoryHomepage | CategoryAmministrazione |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
In questo documento verranno esposti i programmi con i quali è possibile agire sui singoli file dalle partizioni o dalle immagini recuperate.
Foremost
Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.
Installare il pacchetto foremost.
Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).
Creare le directory /recovery/foremost e quindi montare il disco esterno nella cartella recovery:
sudo mkdir -p /recovery/foremost sudo mount /dev/sdb1 /recovery
Avviare foremost digitando in una finestra di terminale il seguente comando:
sudo foremost -i /dev/sda -o /recovery/foremost
Per avviare foremost su un file immagine semplicemente sostituire il percorso:
sudo foremost -i nome_immagine -o /recovery/foremost
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi:
sudo chown -R youruser:youruser /recovery/foremost
dove «youruser:youruser» rappresentano rispettivamente l'utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo).Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:
sudo foremost -w -i /dev/hda -o /recovery/foremost
Per recuperare un tipo di file specifico usare l'opzione -t:
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Per una panoramica sui file supportati da Foremost fare riferimento alla pagina man.
Scalpel
Scalpel recupera i file appoggiandosi alle definizioni contenute negli header e nei footer presenti all'interno di un file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.
Installare il pacchetto scalpel.
Per impostazione predefinita, tutti i tipi di file presenti nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file di configurazione di esempio al fine di mostrare l'elenco dei formati che è in grado di recuperare.
Digitare in una finestra di terminale il seguente comando:
sudo scalpel nome_immagine -o nome_cartella
dove «nome_immagine» è il file immagine e «nome_cartella» è la cartella di destinazione.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nel caso si vogliano recuperare dei file con estensione .gzip e .png da una partizione chiamata «/dev/sda1», digitare in una finestra di terminale il seguente comando:
mkdir ~/output sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1
dove «nome_cartella» è la cartella di destinazione.
TestDisk e PhotoRec
TestDisk è un programma con cui si possono recuperare i file cancellati accidentalmente, meglio se usato su una versione live di Ubuntu. Le directory e i file andranno salvati su una diversa partizione o disco esterno e non sarà possibile recuperare quelli elencati in rosso.
Installare il pacchetto testdisk.
Avviare TestDisk digitando nel terminale:
sudo testdisk
- Creare una cartella in cui salvare i file recuperati.
Selezionare Create a new log file.
Selezionare il disco interessato con le frecce ↑ e ↓ e selezionare Proceed.
Selezionare il tipo di partizione (generalmente Intel).
Selezionare Analyze e poi Quick search e attendere che arrivi al 100%. Il tempo di attesa dipende dalla grandezza del disco.
Evidenziare la partizione interessata con le frecce ↑ e ↓ poi premere il tasto P.
A questo punto verranno elencati, se possibile, le directory e i file trovati.
È possibile scorrere l'elenco con le frecce ↑ e ↓, entrare e uscire dalle directory con le frecce ← e →.
Per selezionare più voci insieme usare il tasto : (due punti), per selezionarle tutte premere a.
Per copiare tutti i file selezionati premere C (C maiuscola), per il solo file evidenziato premere c (c minuscola). Trovare la cartella apposita creata all'inizio e premere di nuovo C. La cartella verrà impostata solo la prima volta, per continuare a salvare altri file basterà scorrere di nuovo l'elenco e premere C oppure c.
PhotoRec
PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file contenuto nel pacchetto testdisk.
Per avviare il programma e analizzare un file immagine digitare nel terminale:
sudo photorec nome_immagine
Per recuperare i file direttamente dal dispositivo di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:
sudo photorec
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.
Installare il pacchetto recoverjpeg.
Avviare il programma digitando in una finestra di terminale il seguente comando:
sudo recoverjpeg /dev/hda1
dove «/dev/hda1» è il dispositivo sul quale si desidera indagare.I file recuperati verranno salvati nella propria cartella Home nel formato image*.jpg.
Ntfsprogs
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfsprogs. Un altro programma capace di operare sulle partizioni NTFS è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.
Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2
Per cercare i file in formato .doc cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -u -i 2,5,100-131
Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella Home, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale:
ntfsundelete /dev/sda2 -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
Sleuth Kit e Autopsy
Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare svariati filesystem come ad esempio NTFS, FAT, UFS1/2, Ext2/3.
Sono entrambi disponibili su piattaforme UNIX. Autopsy, inoltre, essendo basato su html, può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.
Autopsy
Può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in una finestra di terminale il seguente comando:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Sleuthkit
Di seguito verranno esposte le principali attività che è possibile svolgere con The Sleuth Kit.
dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:
dls inputimage > outputimage
Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output.fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:
fls loopfile -r -f fat -i raw
il cui output sarà simile al seguente:
r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1
In questa pagina viene mostrato uno script che estrae i file da un immagine usando fls e icat. Questo script invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.