## page update by wilecoyote #format wiki #language it <> <
> <> = Introduzione = Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. }}} = Foremost = Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata. = Magic Rescue = [[https://github.com/jbj/magicrescue|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. {{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. }}} {{{#!wiki important Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. }}} [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png`; * la partizione contenente i dati da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. == Utilizzo == 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare '''magicrescue''' digitando il comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sdxy }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdxy }}} = recoverjpeg = '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. {{{#!wiki important Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. }}} {{{#!wiki note Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. }}} [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione contenente i file da recuperare sia identificata come `/dev/sdxy`; * il salvataggio avvenga da un altro sistema installato nella partizione `/dev/sdxy`, ove sarà necessario montare la cartella creata in cui salvare i file recuperati. {{{#!wiki note Sostituire in `/dev/sdxy`.<
>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. }}} == Utilizzo == 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco di destinazione `/dev/sdxy` nella cartella `/recovery`:{{{ sudo mount /dev/sdxy /recovery }}} 0. Avviare il programma digitando il comando:{{{ sudo recoverjpeg /dev/sdxy -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sdxy }}} = NtfsUndelete = '''[[https://help.ubuntu.com/community/DataRecovery/NtfsUndelete|NtfsUndelete]]''' può recuperare i file cancellati dalle partizioni [[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://ntfs-3g|ntfs-3g]]. {{{#!wiki note Nei seguenti esempi sostituire in `/dev/sdxy`.<
>`x` con l'identificativo del disco da recuperare; `y` col numero della partizione. }}} == Utilizzo == 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} * Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} * Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} * Per cercare i file cancellati negli ultimi due giorni, digitare il comando:{{{ ntfsundelete /dev/sdxy -t 2d }}} * Per cercare i file cancellati sugli `inode` 2, 5 e da 100 a 131 del dispositivo `/dev/sdxy`, digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} * Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} * Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sulla '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. = TestDisk e PhotoRec = È possibile recuperare file cancellati accidentalmente utilizzando due programmi: * '''[[Hardware/DispositiviPartizioni/TestDisk|TestDisk]]'''. * '''[[Hardware/DispositiviPartizioni/PhotoRec|PhotoRec]]'''. Si consiglia il loro utilizzo da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu]]''' o [[https://www.ubuntu-it.org/derivate|derivata]].<
>I file andranno salvati su una diversa partizione o, preferibilmente, su un secondo disco esterno. = Sleuth Kit e Autopsy = Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio: * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Ntfs|NTFS]]'''. * '''[[Hardware/DispositiviPartizioni/MontarePartizioni/Fat|FAT]]'''. * '''exFAT'''. * '''HFS+'''. * '''Ext2/3/[[Hardware/DispositiviPartizioni/MontarePartizioni/Ext4|4]]'''. * '''UFS1/2'''. * '''YAFFS2'''. Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''The !SleuthKit'''. Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. <> = Ulteriori risorse = * [[https://manpages.ubuntu.com/manpages/noble/en/man1/scalpel.1.html|Pagina man scalpel]] * [[https://manpages.ubuntu.com/manpages/noble/en/man1/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/noble/en/man1/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/noble/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] ---- CategoryAmministrazione