## page update by wilecoyote
#format wiki
#language it
<<Indice(depth=2)>>
<<BR>>
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>> 

= Introduzione =

Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.

Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]].

= Preliminari =

Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:

 * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
 * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]].

Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.

{{{#!wiki important
Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli.
}}}

= Foremost =

Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata.

= Magic Rescue =

[[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.

[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]].

Nell'esempio seguente si ipotizza che:
 * i file da recuperare abbiano estensione `.gzip` e `.png`
 * siano allocati nella partizione `/dev/sda3`
 * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.

{{{#!wiki important
Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati.
}}}

 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{
sudo mkdir -p /recovery/magicrescue
}}}
 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{
sudo mount /dev/sda2 /recovery
}}}
 0. Avviare '''magicrescue''' digitando il seguente comando:{{{
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
}}}
 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{
sudo umount /dev/sda2
}}}

Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]].

= recoverjpeg =

'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`.

[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]].

Negli esempi seguenti si ipotizza che i file da recuperare:
 * siano nella partizione `/dev/sda4`
 * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.

{{{#!wiki important
Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate.
}}}

 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{
sudo mkdir -p /recovery/recoverjpeg
}}}
 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{
sudo mount /dev/sda2 /recovery
}}}
 0. Avviare il programma digitando il seguente comando:{{{
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
}}}
 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{
sudo umount /dev/sda2
}}}

Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]].

= NtfsUndelete =

'''!NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]].

Nei seguenti esempi sostituire in `/dev/sdxy`:
 * `x` coll'identificativo del disco da recuperare 
 * `y` col numero della partizione

 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{
ntfsundelete /dev/sdxy
}}}
 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{
ntfsundelete /dev/sdxy -s -m '*.doc'
}}}
 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{
ntfsundelete /dev/sdxy -S 5k-6m -p 90
}}}
 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{
ntfsundelete /dev/sdxy -t 2d
}}}
 0. Per cercare  i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{
ntfsundelete /dev/sdxy -u -i 2,5,100-131
}}}
 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
}}}
 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
}}} dove «debug» è il file di destinazione.

= TestDisk  e PhotoRec =

'''!TestDisk ''' e '''!PhotoRec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.

Per installare e usare '''!TestDisk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. 

Per installare e usare '''!PhotoRec'''  leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]].

= Sleuth Kit e Autopsy =

Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''.

Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''.

Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]].

<<Anchor(ur)>>
= Ulteriori risorse =

 * [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]]
 * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]]
 * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]]
 * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]]
 * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]]
 * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]]

----
CategoryAmministrazione