## page update by wilecoyote #format wiki #language it <> <
> <> = Introduzione = Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni. Tutti i comandi mostrati in questa guida devono essere eseguiti nel [[AmministrazioneSistema/Terminale|terminale]]. = Preliminari = Ove richiesto occorre disporre di un disco rigido di salvataggio che sia: * di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati; * impostato con la stessa [[Hardware/DispositiviPartizioni/TabellaPartizioni|tabella delle partizioni]] e stesso [[Hardware/DispositiviPartizioni/Partizioni#Formato_delle_partizioni|formato della partizione]]. Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo. {{{#!wiki important Qualsiasi sia il programma che si scelga di usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione. In caso contrario potrebbe accadere una sovrascrittura con il rischio di corromperli o perderli. }}} = Foremost = Consultare la [[AmministrazioneSistema/RecuperoDati/Estrazione/Foremost|guida]] dedicata. = Magic Rescue = [[http://www.itu.dk/people/jobr/magicrescue/|Magic Rescue]] è un programma che utilizza i [[http://it.wikipedia.org/wiki/Formato_di_file|magic number]] per identificare sia presenza sia il tipo di eventuali file da recuperare. Inoltre può essere esteso per mezzo dei "recipes" contenuti nella cartella `/usr/share/magicrescue/recipes` (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://magicrescue | magicrescue]]. Nell'esempio seguente si ipotizza che: * i file da recuperare abbiano estensione `.gzip` e `.png` * siano allocati nella partizione `/dev/sda3` * verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di avere abbastanza spazio per poter salvare i file recuperati. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/magicrescue }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] la partizione `/dev/sda2` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare '''magicrescue''' digitando il seguente comando:{{{ sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3 }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = recoverjpeg = '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpg` e `.jpeg`. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://recoverjpeg | recoverjpeg]]. Negli esempi seguenti si ipotizza che i file da recuperare: * siano nella partizione `/dev/sda4` * che verranno salvati da un'altro sistema installato nella partizione `/dev/sda2`, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati. {{{#!wiki important Assicurarsi di aver abbastanza spazio per poter salvare le immagini recuperate. }}} 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella in cui salvare i file recuperati:{{{ sudo mkdir -p /recovery/recoverjpeg }}} 0. [[AmministrazioneSistema/ComandiBase#mount|Montare]] il disco `/dev/sdb` nella cartella `/recovery`:{{{ sudo mount /dev/sda2 /recovery }}} 0. Avviare il programma digitando il seguente comando:{{{ sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg }}} 0. Terminato il recupero, [[AmministrazioneSistema/ComandiBase#umount|smontare]] il disco esterno:{{{ sudo umount /dev/sda2 }}} Per approfondire l'uso del programma fare riferimento alla sua [[#ur|pagina man]]. = NtfsUndelete = '''!NtfsUndelete''' può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto [[apt://ntfs-3g | ntfs-3g]]. Nei seguenti esempi sostituire in `/dev/sdxy`: * `x` coll'identificativo del disco da recuperare * `y` col numero della partizione 0. Per cercare i file cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy }}} 0. Per cercare i file in formato `.doc` cancellati sulla partizione `/dev/sdxy` digitare il comando:{{{ ntfsundelete /dev/sdxy -s -m '*.doc' }}} 0. Per cercare i file cancellati sul dispositivo `/dev/sdxy`, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:{{{ ntfsundelete /dev/sdxy -S 5k-6m -p 90 }}} 0. Per cercare i file cancellati negli ultimi due giorni, digitare il comando{{{ ntfsundelete /dev/sdxy -t 2d }}} 0. Per cercare i file cancellati sugli `inode` 2, 5 e 100 su 131 del dispositivo `/dev/sdxy`, digitare il comando :{{{ ntfsundelete /dev/sdxy -u -i 2,5,100-131 }}} 0. Per cercare il file "nome_documento.doc" cancellato sull'`inode` 3689 del dispositivo `/dev/sdxy` e copiarlo nella propria cartella '''Home''', digitare il comando:{{{ ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~ }}} 0. Per salvare tutti i [[http://it.wikipedia.org/wiki/Master_File_Table|metadati]] contenuti sul '''Master File Table''' tra l'`inode` 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:{{{ ntfsundelete /dev/sdxy -c 3689-3690 -o debug }}} dove «debug» è il file di destinazione. = TestDisk e PhotoRec = '''!TestDisk ''' e '''!PhotoRec''' sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''[[http://www.ubuntu-it.org/download|Ubuntu Desktop Editition]]''' o [[https://www.ubuntu-it.org/derivate|derivata]]. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno. Per installare e usare '''!TestDisk''' leggere questa [[Hardware/DispositiviPartizioni/TestDisk|pagina]]. Per installare e usare '''!PhotoRec''' leggere questa [[Hardware/DispositiviPartizioni/PhotoRec|pagina]]. = Sleuth Kit e Autopsy = Il programma '''Sleuthkit''' è specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''',''' exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2'''. Il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] con interfaccia grafica per la suite '''[[https://wiki.ubuntu-it.org/wilecoyote/RecuperoDati/Estrazione#ur|The SleuthKit]]'''. Per informazioni sull'installazione e sull'utilizzo della suite '''The !SleuthKit''' consultare [[https://wiki.ubuntu-it.org/AmministrazioneSistema/RecuperoDati/Sleuthkit&Autopsy|questa pagina]]. <> = Ulteriori risorse = * [[http://manpages.ubuntu.com/manpages/focal/en/man8/scalpel.1.html|Pagina man scalpel]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/magicrescue.1.html|Pagina man magicrescue]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/recoverjpeg.1.html|Pagina man recoverjpeg]] * [[http://manpages.ubuntu.com/manpages/focal/en/man8/ntfsundelete.8.html|Pagina man ntfsundelete]] * [[http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/|Recuperare file cancellati con ntfsundelete dal cd live di Ubuntu]] * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] ---- CategoryAmministrazione