Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AmministrazioneSistema/RecuperoDati/Immagini"
Differenze tra le versioni 1 e 2
Versione 1 del 12/12/2010 14.07.58
Dimensione: 4921
Autore: GiuseppeTerrasi
Commento:
Versione 2 del 12/12/2010 14.18.41
Dimensione: 5034
Autore: GiuseppeTerrasi
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 6: Linea 6:
= Il tuo Nome = = Introduzione =
Linea 16: Linea 16:
Prima di procedere, bisogna tenere presente che i filesystem di tipo [:Hardware/DispositiviPartizioni/MontarePartizioni/Fat:Fat] dispongono di un limite di 4GiB alla dimensione di ciascun file. E' tipico delle unità USB disporre di questo tipo di filesystem. Se si è a conoscenza che l'immagine finale sarà superiore a tale dimensione è necessario utilizzare filesystem che supporti capacità superiori per il singolo file come ad esempio [:Hardware/DispositiviPartizioni/MontarePartizioni/Ext3:Ext3] o altri. ||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">''Si tenga presente che i filesystem di tipo [:Hardware/DispositiviPartizioni/MontarePartizioni/Fat:Fat] dispongono di un limite di 4GiB alla dimensione di ciascun file. Tipicamente le unità USB utilizzano questo tipo di filesystem. Se si è a conoscenza che l'immagine finale sarà superiore a tale dimensione è necessario utilizzare filesystem che supporti capacità superiori per il singolo file come ad esempio [:Hardware/DispositiviPartizioni/MontarePartizioni/Ext3:Ext3] o altri.'' ||
Linea 21: Linea 21:
 * Quindi, ad esempio {{{  * Quindi, ad esempio il seguente comando {{{
Linea 23: Linea 23:
}}} dove il comando ''ddrescue'' di recupererà l'immagine dal dispositivo `dev/sda` e di salvarla in `/media/usbdrive/image`; inoltre, creerà un file di log in `/media/usbdrive/logfile`. L'opzione `-r 3` rappresenta il numero di tentativi di lettura che ''ddrescue'' farà qualora incontri degli errori. `-1` invita il programma ad eseguire un numero infinito di tentativi. }}} recupererà l'immagine dal dispositivo `dev/sda` e la salverà in `/media/usbdrive/image`. Inoltre, creerà un file di log in `/media/usbdrive/logfile`. L'opzione `-r 3` rappresenta il numero di tentativi di lettura che ''ddrescue'' eseguirà qualora incontri degli errori. `-1` invita il programma ad eseguire un numero infinito di tentativi.
Linea 26: Linea 26:
}}} dove rispetto al precedente è stata aggiunta l'opzione `-C` che invita il programma circoscrivere la lettura all'interno dei file già presenti nel registro (o file di log) creato in precedenza . }}} dove rispetto al precedente è stata aggiunta l'opzione `-C` che invita il programma circoscrivere la lettura all'interno dei file già presenti nel registro (file di log) creato in precedenza.
Linea 66: Linea 66:




Linea 72: Linea 67:

Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")

Introduzione

In questo documento verrà mostrato come creare un immagine di un dispositivo danneggiato e come estrarre i dati dall'immagine stessa.

Creare un immagine di un dispositivo

Per ottenere l'immagine di un dispositivo danneggiato, in preparazione del salvataggio dei file, è disponibile il programma GNU ddrescue [:AmministrazioneSistema/InstallareProgrammi:installabile] tramite il pacchetto [apt://gddrescue gddrescue]. In seguito il suo comando sarà ddrescue.

Per una breve panoramica delle sue funzionalità e per approfondimenti si invita alla lettura del [http://www.gnu.org/software/ddrescue/ddrescue_it.html seguente documento].

Immagine(Icone/Piccole/note.png,,center)

Si tenga presente che i filesystem di tipo [:Hardware/DispositiviPartizioni/MontarePartizioni/Fat:Fat] dispongono di un limite di 4GiB alla dimensione di ciascun file. Tipicamente le unità USB utilizzano questo tipo di filesystem. Se si è a conoscenza che l'immagine finale sarà superiore a tale dimensione è necessario utilizzare filesystem che supporti capacità superiori per il singolo file come ad esempio [:Hardware/DispositiviPartizioni/MontarePartizioni/Ext3:Ext3] o altri.

  • Per utilizzare GNU ddrescue digitare in una finestra di terminale un comando avente la seguente sintassi: 

    ddrescue [options] partizione_da_recuperare destinazione_immagine destinazione_file_di_log

  • Quindi, ad esempio il seguente comando 

    sudo ddrescue -r 3 /dev/sda /media/usbdrive/image /media/usbdrive/logfile

    recupererà l'immagine dal dispositivo dev/sda e la salverà in /media/usbdrive/image. Inoltre, creerà un file di log in /media/usbdrive/logfile. L'opzione -r 3 rappresenta il numero di tentativi di lettura che ddrescue eseguirà qualora incontri degli errori. -1 invita il programma ad eseguire un numero infinito di tentativi.

  • Il passo successivo potrebbe essere: 

    sudo ddrescue -r 3 -C /dev/sda /media/usbdrive/image /media/usbdrive/logfile

    dove rispetto al precedente è stata aggiunta l'opzione -C che invita il programma circoscrivere la lettura all'interno dei file già presenti nel registro (file di log) creato in precedenza.

Un [http://www.forensicswiki.org/wiki/Ddrescue noto sito] di analisi forense consiglia la seguente procedura:

  • Creare un immagine copiando all'interno di essa più dati possibili, senza contiere tentativi di lettura nel caso si incontrino degli errori (opzione -n): 

    ddrescue -n /dev/hda1 imagefile logfile
 * Riprovare andando più a fondo riprovando 3 volte in presenza di errori di lettura: {{{
ddrescue -d -r 3 /dev/hda1 imagefile logfile

  • Se il comando precedente fallisce riprovare leggendo i settori integralmente: 

    ddrescue -d -R -r 3 /dev/hda1 imagefile logfile

Anchor(estrarre)

Estrarre i dati da un immagine

Dopo avere creato l'immagine del dispositivo è necessario concentrarsi sul recupero dei dati presenti sull'immagine stessa. Qualora il filesystem non è recuperabile, è possibile comunque tentare di recuperare i singoli file.

Montare le partizioni sull'immagine

Se è stato recuperato l'intero disco, è possibile montare le singole partizioni "in loop" sull'immagine utilizzando l'opzione "Offset". mmls, [:AmministrazioneSistema/InstallareProgrammi:installabile] dal pacchetto [apt://sleuthkit sleuthkit] è in grado di mostrare le partizioni che si trovano all'interno dell'immagine: 

mmls file -b
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

     Slot    Start        End          Length       Size    Description
00:  -----   0000000000   0000000000   0000000001   0512B   Primary Table (#0)
01:  -----   0000000001   0000000031   0000000031   0015K   Unallocated
02:  00:01   0000000032   0001646591   0001646560   0803M   DOS FAT16 (0x06)
03:  00:00   0001646592   0002013183   0000366592   0179M   DOS FAT16 (0x06)

Il programma mostra più partizioni. In questo esempio, volendo montare la partizione DOS a partire dal blocco 32 (terza riga nell'esempio mostrato) bisognerà calcolare il numero di byte moltiplicando per 512 (1 blocco è uguale 512 byte). In questo caso 32 * 512 = 16384 sarà il byte di inizio della partizione. Quindi montare l'immagine: 

sudo mount -o loop,offset=16384 file mnt

Per montare una tipica partizione NTFS creata da Windows usare: 

sudo mount -t ntfs -o r,force,loop,offset=32256 file mnt

dove 63 * 512 byte = 32256

Ulteriori risorse

CategoryHomepage