Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente i programmi dedicati al recupero di singoli file, di file immagini o intere partizioni.
Tutti i comandi mostrati in questa guida devono essere eseguiti nel terminale.
Preliminari
Ove richiesto occorre disporre di un disco rigido di salvataggio che sia:
- di capacità almeno pari (meglio superiore) al disco rigido dal quale si desiderano recuperare i dati;
impostato con la stessa tabella delle partizioni e stesso formato della partizione.
Infine, tenere in considerazione che le procedure di recupero potrebbero impegnare lunghi lassi di tempo.
Qualsiasi sia il programma che si scelga d'usare, evitare di cercare e salvare i file e/o le immagini nella stessa partizione, in caso contrario potrebbe accadere una sovrascrittura delle medesime col rischio di corromperle o perderle.
Foremost
Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat16/32, Ext3/4 e NTFS.
Installare il pacchetto foremost.
Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella scrivibile creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/foremost:
sudo mkdir -p /recovery/foremost
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare foremost digitando il comando:
sudo foremost -i /dev/sda -o /recovery/foremost
Per avviare foremost su un file immagine sostituire il disco /dev/sda col nome dell'immagine.
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare il seguente comando:
sudo chown -R nomeutente:nomegruppo /recovery/foremost
- «nomeutente:nomegruppo» rappresentano rispettivamente il nome dell'utente e il nome del gruppo di appartenenza (generalmente utente e gruppo hanno lo stesso identificativo).
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Foremost mette a disposizione ulteriori opzioni, che possono venire utili per particolari necessità di recupero.
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Scalpel
Scalpel recupera i file immagine appoggiandosi alle definizioni contenute negli header e nei footer presenti all'interno del file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.
Installare il pacchetto scalpel.
Da predefinito, tutti i tipi di formati file ricercabili listati nel file di configurazione /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di formati file si vogliono ricercare, è necessario modificare il file decommentando le righe necessarie. Si allega un file di configurazione di esempio al fine di mostrare la lista dei formati che è in grado di recuperare.
Negli esempi seguenti s'ipotizza che i file da recuperare siano sul disco /dev/sda, che verranno salvati su un altro disco /dev/sdb, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Creare sul disco /dev/sda la cartella /recovery/scalpel:
sudo mkdir -p /recovery/scalpel
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sdb /recovery
Avviare scalpel digitando il comando:
sudo scalpel nome_immagine -o /recovery
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sdb
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
Magic Rescue
Magic Rescue è un programma che utilizza i magic number per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei "recipes" contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle "recipes" fornite possono necessitare di programmi aggiuntivi per funzionare.
Installare il pacchetto magicrescue.
Nell'esempio seguente s'ipotizza che i file da recuperare abbiano estensione .gzip e .png e siano allocati nella partizione /dev/sda3, e che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi d'avere abbastanza spazio per poter salvare i file recuperati.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/magicrescue
Montare la partizione /dev/sda2 nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare magicrescue digitando il seguente comando:
sudo magicrescue -r gzip -r png -d /recovery/magicrescue /dev/sda3
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpg e .jpeg.
Installare il pacchetto recoverjpeg.
Negli esempi seguenti s'ipotizza che i file da recuperare siano nella partizione /dev/sda4, e che verranno salvati da un'altro sistema installato nella partizione /dev/sda2, ove sarà necessario montare la cartella creata a questo scopo, in cui salvare i file recuperati.
Assicurarsi d'aver abbastanza spazio per poter salvare le immagini recuperate.
Creare la cartella in cui salvare i file recuperati:
sudo mkdir -p /recovery/recoverjpeg
Montare il disco /dev/sdb nella cartella /recovery:
sudo mount /dev/sda2 /recovery
Avviare il programma digitando il seguente comando:
sudo recoverjpeg /dev/sda4 -o /recovery/recoverjpeg
Terminato il recupero, smontare il disco esterno:
sudo umount /dev/sda2
Per approfondire l'uso del programma fare riferimento alla sua pagina man.
NtfsUndelete
NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfs-3g.
Nei seguenti esempi sostituire in /dev/sdxy la x coll'identificativo del disco da recuperare e la y col numero della partizione.
Per cercare i file cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy
Per cercare i file in formato .doc cancellati sulla partizione /dev/sdxy digitare il comando:
ntfsundelete /dev/sdxy -s -m '*.doc'
Per cercare i file cancellati sul dispositivo /dev/sdxy, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il comando:
ntfsundelete /dev/sdxy -S 5k-6m -p 90
Per cercare i file cancellati negli ultimi due giorni, digitare il comando
ntfsundelete /dev/sdxy -t 2d
Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sdxy, digitare il comando :
ntfsundelete /dev/sdxy -u -i 2,5,100-131
Per cercare il file 'nome_documento.doc' cancellato sull'inode 3689 del dispositivo /dev/sdxy e copiarlo nella propria cartella Home, digitare il comando:
ntfsundelete /dev/sdxy -u -i 3689 -o nome_documento.doc -d ~
Per salvare tutti i metadati contenuti sul Master File Table tra l'inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il comando:
ntfsundelete /dev/sdxy -c 3689-3690 -o debug
dove «debug» è il file di destinazione.
TestDisk e PhotoRec
TestDisk e PhotoRec sono due programmi con cui si possono recuperare i file cancellati accidentalmente, meglio se usati da una versione LiveUSB o LiveDVD di Ubuntu Desktop Editition o derivata. I file andranno salvati su una diversa partizione o meglio ancora su un secondo disco esterno.
Per installare e usare TestDisk leggere questa pagina.
Per installare e usare PhotoRec leggere questa pagina.
Sleuth Kit e Autopsy
Il programma Sleuthkit è specificatamente progettato per l'analisi forense, esso supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2, mentre il programma Autopsy è il front-end fornente l'interfaccia grafica per la suite The SleuthKit.
Per installare e ulteriori informazioni sulla suite The SleuthKit consultare questa pagina.