|
Dimensione: 9752
Commento: mancano alcune traduzioni poi è ok
|
Dimensione: 8481
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ## page update by wilecoyote | |
| Linea 3: | Linea 4: |
| [[Indice(depth=1)]] [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] |
<<Indice(depth=2)>> <<BR>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="24.04 22.04 20.04 18.04 16.04 14.04")>> |
| Linea 8: | Linea 10: |
| In questo documento verranno esposti diversi programmi con i quali agire sui singoli file dalle partizioni o dalle immagini recuperate. | Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. }}} |
| Linea 12: | Linea 29: |
| [http://foremost.sourceforge.net/ Foremost] è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. Supponendo che i file persi siano su `/dev/sda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero {{{ sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost }}} * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando {{{ sudo foremost -i /dev/sda -o /recovery/foremost }}} * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i nome_immagine -o /recovery/foremost }}} * I file recuperati saranno di proprietà dell'utente ''root''. Per cambiare i [:AmministrazioneSistema/PermessiFile:permessi] digitare in una finestra di terminale i seguenti comandi {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost }}} * Per recuperare un tipo di file specifico usare l'opzione `-t` {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost }}} Per una panoramica sui file supportati da '''Foremost''' fare riferimento alla [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove11#ur pagina man]. = Scalpel = '''Scalpel''' recupera i file appoggiandosi alle definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine. È simile a '''Foremost''' e la ricerca potrebbe essere migliore. Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel nome_immagine -o nome_cartella }}} dove `nome_immagine` è il file immagine e `nome_cartella` è la cartella di destinazione. |
Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata. |
| Linea 50: | Linea 33: |
| [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". | [[https://github.com/jbj/magicrescue|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. |
| Linea 52: | Linea 35: |
| [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. | {{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. }}} |
| Linea 54: | Linea 39: |
| Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. | {{{#!wiki important Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. }}} |
| Linea 56: | Linea 43: |
| Nel caso si vogliano recuperare dei file con estensione `.gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d nome_cartella /dev/sda1 }}} dove `nome_cartella` è la cartella di destinazione. |
[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. |
| Linea 61: | Linea 45: |
| = Photorec = | Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png`; * la partizione contenente i dati da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. |
| Linea 63: | Linea 50: |
| '''!PhotoRec''' è un programma di recupero dati che supporta circa 80 tipi diversi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. | == Utilizzo == |
| Linea 65: | Linea 52: |
| * Per avviare il programma e per analizzare un file immagine digitare il seguente comando in una finestra di terminale {{{ sudo photorec nome_immagine }}} * Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù {{{ sudo photorec }}} |
0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare '''magicrescue''' digitando il comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdxy }}} |
| Linea 74: | Linea 67: |
| '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. | '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. |
| Linea 76: | Linea 69: |
| [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg]. * Avviare il programma digitando in una finestra di terminale il seguente comando {{{ sudo recoverjpeg /dev/hda1 }}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. * I file recuperati verranno salvati nella propria cartella '''Home''' nel formato `image*.jpg`. = Ntfsprogs = '''NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte integrante del pacchetto [apt://ntfsprogs ntfsprogs]. Un altro programma capace di operare sulle partizioni Windows è '''ntfs-3g'''. Entrambi sono installati in via predefinita su '''Ubuntu'''. * Per cercare i file cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{ ntfsundelete /dev/sda2 |
{{{#!wiki important Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. |
| Linea 91: | Linea 73: |
| * Per cercare i file in formato `.doc` cancellati sul dispositivo `/dev/sda2` digitare il seguente comando in una finestra di terminale {{{ ntfsundelete /dev/sda2 -s -m '*.doc' |
{{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. |
| Linea 95: | Linea 77: |
| * Per cercare i file cancellati sul dispositivo `/dev/sda2`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale {{{ ntfsundelete /dev/sda2 -S 5k-6m -p 90 |
[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione contenente i file da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. {{{#!wiki note Sostituire in `/dev/sdxy`.<<BR>>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. }}} == Utilizzo == 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare il programma digitando il comando:{{{ sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdxy }}} = NtfsUndelete = '''NtfsUndelete''' può recuperare i file cancellati dalle partizioni [[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://ntfs-3g|ntfs-3g]]. {{{#!wiki note Nei seguenti esempi sostituire in `/dev/sdxy`.<<BR>>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. |
| Linea 98: | Linea 110: |
| * Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale {{{ ntfsundelete /dev/sda2 -t 2d }}} * Undelete inodes 2, 5 and 100 to 131 of device /dev/sda2 {{{ ntfsundelete /dev/sda2 -u -i 2,5,100-131 }}} * Undelete inode number 3689, call the file 'work.doc' and put it in the user's home directory {{{ ntfsundelete /dev/sda2 -u -i 3689 -o work.doc -d ~ }}} * Save MFT Records 3689 to 3690 to a file 'debug' {{{ ntfsundelete /dev/sda2 -c 3689-3690 -o debug }}} |
== Utilizzo == 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} * Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} * Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} * Per cercare i file cancellati negli ultimi due giorni, digitare il comando:{{{ ntfsundelete /dev/sdxy -t 2d }}} * Per cercare i file cancellati sugli `inode` 2, 5 e da 100 a 131 del dispositivo `/dev/sdxy`, digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} * Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} * Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sulla '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. = TestDisk e PhotoRec = È possibile recuperare file cancellati accidentalmente utilizzando due programmi: * '''[[Hardware/DispositiviPartizioni/TestDisk|TestDisk]]'''. * '''[[Hardware/DispositiviPartizioni/PhotoRec|PhotoRec]]'''. Si consiglia il loro utilizzo da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu]]''' o [[https://www.ubuntu-it.org/derivate|derivata]].<<BR>>I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno. |
| Linea 113: | Linea 145: |
| '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e filesystem come NTFS, FAT, UFS1/2, Ext2/3. | Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio: * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]'''. * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Fat|FAT]]'''. * '''exFAT'''. * '''HFS+'''. * '''Ext2/3/[[Hardware/DispositiviPartizioni/MontarePartizioni/Ext4|4]]'''. * '''UFS1/2'''. * '''YAFFS2'''. |
| Linea 115: | Linea 154: |
| Sono entrambi disponibili su piattaforme UNIX. '''Autopsy''', inoltre, essendo basato su ''html'', può connettersi da qualsiasi piattaforma attraverso l'uso di un browser. Mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''The !SleuthKit'''. |
| Linea 117: | Linea 156: |
| == Autopsy == | Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. |
| Linea 119: | Linea 158: |
| Può essere avviato da un [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8#live live CD]. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} == Sleuthkit == Di seguito verranno esposte le principali attività che è possibile svolgere con '''The Sleuth Kit'''. * ''dls'' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare in seguito un programma di recupero dati per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sda1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1 }}} In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. [[Anchor(ur)]] |
<<Anchor(ur)>> |
| Linea 154: | Linea 161: |
| * [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/ Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] |
* [[https://manpages.ubuntu.com/manpages/noble/en/man1/scalpel.1.html|Pagina man scalpel]] * [[https://manpages.ubuntu.com/manpages/noble/en/man1/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/noble/en/man1/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/noble/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] |
| Linea 163: | Linea 168: |
| CategoryHomepage | CategoryAmministrazione |
Guida verificata con Ubuntu: 22.04 24.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
Foremost
Consultare la guida dedicata.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
Installare il pacchetto magicrescue.
Nell'esempio seguente si ipotizza che:
i file da recuperare abbiano estensione .gzip e .png;
la partizione contenente i dati da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare magicrescue digitando il comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti si ipotizza che i file da recuperare:
siano nella partizione contenente i file da recuperare sia identificata come /dev/sdxy;
il salvataggio avvenga da un altro sistema installato nella partizione /dev/sdxy, ove sarà necessario montare la cartella creata in cui salvare i file recuperati.
Sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco di destinazione /dev/sdxy nella cartella /recovery:
sudo mount /dev/sdxy /recovery
Avviare il programma digitando il comando:
sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdxy
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS.
Installare il pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy.
x con l'identificativo del disco da recuperare; y col numero della partizione.
Utilizzo
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando:
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e da 100 a 131 del dispositivo /dev/sdxy, digitare il comando:
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file "nome_documento.doc" cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sulla Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
È possibile recuperare file cancellati accidentalmente utilizzando due programmi:
Si consiglia il loro utilizzo da una versione LiveUSB o LiveDVD di Ubuntu o derivata.
I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense. Supporta svariati tipi di filesystem come ad esempio:
Il programma Autopsy è il front-end con interfaccia grafica per la suite The SleuthKit.
Per informazioni sull'installazione e sull'utilizzo della suite The SleuthKit consultare questa pagina.
