|
Dimensione: 4391
Commento:
|
Dimensione: 11023
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| #acl GiuseppeTerrai:read,write,revert GruppoConsiglio:read,write,revert GruppoAdmin:admin,read,write,revert -All:read -Known:read | |
| Linea 3: | Linea 2: |
| #LANGUAGE it [[BR]] [[Include(GiuseppeTerrasi/Prove3)]] [[BR]] |
#language it |
| Linea 8: | Linea 4: |
| [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] | |
| Linea 10: | Linea 7: |
| In questa pagina sono presenti regolamenti, procedure di voto e ogni altra cosa utile per il corretto svolgimento delle elezioni del consiglio della comunità. | |
| Linea 12: | Linea 8: |
| = Elezioni 2010 = == Workflow elezione == |
I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di '''Ubuntu'''. |
| Linea 15: | Linea 10: |
| 0. Consiglio della Comunità comunica l'apertura del periodo di ricezione delle candidature. 0. Gli [https://launchpad.net/~ubuntu-it-members Ubuntu-it- members] che vogliano concorrere alle elezioni dovranno inviare [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove4#head-eb6c4f024b7e52b98e9a5f1952cb41d22b6d69ca una mail] manifestando la loro volontà di concorrere alle elezioni. 0. Il consiglio comunica alla [http://liste.ubuntu-it.org/pipermail/lista-gruppi/ Lista Gruppi] e ne dà notizia in questa pagina dei nominativi che hanno deciso di candidarsi (il consiglio verifica che i gli Ubuntu-it members siano tutti iscritti alla Lista Gruppi. 0. I candidati si presentano alla Lista Gruppi e della copia del loro messaggio di presentazione / programma elettorale verrà data notizia in questa pagina 0. Usando la Lista Gruppi si porranno domande ai candidati e delle copie delle loro risposte verrà data notizia in pagina 0. Il consiglio dichiara chiusa la fase dibattimentale e dichiara aperte le procedure di voto mandando agli Ubuntu-it members le credenziali per accedere alla [http://www.cs.cornell.edu/andru/civs.html procedura online] 0. Il consiglio comunica in Lista Gruppi, e ne dà notizia in questa pagina, i vincitori |
= Premessa = |
| Linea 23: | Linea 12: |
| == Timeline == | Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide]. |
| Linea 25: | Linea 14: |
| ||<tablestyle="width:100%;" : 25% #FB8B00>'''Dal''' ||<: 25% #FB8B00>'''Al''' ||<: 25% #FB8B00>'''Durata''' ||<: 25% #FB8B00>'''Cosa''' || || 01/11/2010 || 07/11/2010 || 1 settimana || Presentazione candidature || || 08/11/2010 || 30/11/2010 || 3 settimane || Presentazione candidati e dibattimento || || 01/12/2010 || 15/12/2010 || 2 settimane || Votazioni || || 01/01/2011 || 31/12/2012 || 2 anni || Durata in carica nuovo consiglio || |
Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso. |
| Linea 31: | Linea 16: |
| == Tabella tracciamento elezione == ||<tablestyle="width:100%;" : 25% #FB8B00>'''Candidature''' ||<: 25% #FB8B00>'''Presentazione''' ||<: 25% #FB8B00>'''Risposte''' ||<: 25% #FB8B00>'''Messaggio conclusivo''' || || Tizio || [http://prova Link] || [http://prova Link] || [http://prova Link] || || Caio || [http://prova Link] || [http://prova Link] || [http://prova Link] || || Sempronio || [http://prova Link] || [http://prova Link] || [http://prova Link] || |
[[Anchor(live)]] Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi ''live'' in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine. |
| Linea 37: | Linea 19: |
| * Raccolta candidature: nella colonna Candidature vengono indicate dal Consiglio le candidature pervenute ricevute entro i termini della timeline e con i modi del wordflow e procedura. * Presentazione candidati: nella colonna Presentazione raccolte le presentazioni dei candidati (chiamatelo programma elettorale o come volete) con link a messaggio mandato in ml * Fase dibattimentale: nella colonna Risposte verranno indicate le risposte date dai candidati alle domande poste dagli elettori in ml. In pratica, ciascun elettore manda una ml in intergruppi facendo delle domande (nei tempi della timeline) * Messaggio conclusivo: diamo ai candidati la possibiltà di dire un ultima parola (sempre entro i tempi definiti dal dibattito)? |
Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo. |
| Linea 42: | Linea 21: |
| == Votazioni == * Totale candidati: ? * Totale elettori passivi al 19/10/2010: [https://launchpad.net/~ubuntu-it-members 45] (compresi gli attuali membri del consiglio, mdke). Compresi anche Antonio Piccinno, Andrea Gasparini che scadono durante il periodo di voto (e occhio che 10 scadono a gennaio valutate voi cosa fare). * Totali votanti: X su 45 * Totale non votanti: X su 45 |
Per avviare il sistema in modalità ''live'' è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di '''Ubuntu Desktop Editition''' da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati. |
| Linea 48: | Linea 23: |
| Qui si mette il risultato delle elezioni | = Recuperare le partizioni = |
| Linea 50: | Linea 25: |
| = Archivio = | Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina]. |
| Linea 52: | Linea 27: |
| Nelle sottopagine indicate sono archiviate le pagine relative alle precedenti tornate elettorali * Elezioni anno 2006 * Elezioni anno 2008 |
= Creare un immagine di un dispositivo = Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina]. = Estrarre i dati da un immagine = Fare riferimento alla [:GiuseppeTerrasi/Prove9#estrarre:seguente pagina]. = Estrarre singoli file dalla partizione recuperata = == Foremost == [http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{ sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost }}} * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ sudo foremost -i /dev/hda -o /recovery/foremost }}} * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i image -o /recovery/foremost }}} * I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost }}} * Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost }}} Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man. == Scalpel == '''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti. Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel file -o nome_cartella }}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione. == Magic Rescue == [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1 }}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''. == Photorec == '''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec imagefilename }}} Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ sudo photorec }}} == recoverjpeg == '''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{ sudo recoverjpeg /dev/hda1 }}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`. == Ntfsprogs == Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. == Sleuth Kit e Autopsy == '''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3. Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. === Autopsy === '''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} === Sleuthkit === * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} |
| Linea 56: | Linea 145: |
| * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1 }}} |
|
| Linea 57: | Linea 149: |
| {{{ poi procedere a revisione testi e stile usando anche tabelle attendere approvazione NOTA: spiegate meglio e più precisamente quali sono le modalità di voto (quali opzioni attiverete all'interno di quel programma. La sezione votazioni la lascio apposta vuota. Sarà poi da popolare in base all'output del programma che si usa per votare (e non so quali dati vi tirerà fuori). }}} |
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. = Ulteriori risorse = * [https://help.ubuntu.com/community/DataRecovery Documento originale] * [http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix] * [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] * [http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense] * [http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card] * [http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk] ---- CategoryHomepage |
Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")
Introduzione
I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di Ubuntu.
Premessa
Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide].
Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso.
Anchor(live) Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi live in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine.
Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo.
Per avviare il sistema in modalità live è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di Ubuntu Desktop Editition da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati.
Recuperare le partizioni
Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina].
Creare un immagine di un dispositivo
Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina].
Estrarre i dati da un immagine
Fare riferimento alla [:GiuseppeTerrasi/Prove9#estrarre:seguente pagina].
Estrarre singoli file dalla partizione recuperata
Foremost
[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.
Supponendo che i file persi siano su /dev/hda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).
Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero:
sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost
Avviare foremost digitando in una finestra di terminale il seguente comando:
sudo foremost -i /dev/hda -o /recovery/foremost
Per avviare foremost su un file immagine semplicemente sostituire il percorso
sudo foremost -i image -o /recovery/foremost
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi:
sudo chown -R youruser:youruser /recovery/foremost
dove youruser:youruser rappresentano rispettivamente l'utente e il gruppo di appartenenza.
Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:
sudo foremost -w -i /dev/hda -o /recovery/foremost
Per recuperare uno specifico tipo di file usare l'opzione -t:
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Per una panoramica dei file supportati da Foremost fare riferimento alla pagina man.
Scalpel
Scalpel recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file .raw. È simile a Foremost e potrebbe avere dei miglioramenti.
Per impostazione predefinita, tutti i tipi di file presenti in /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare.
Digitare in una finestra di terminale il seguente comando
sudo scalpel file -o nome_cartella
dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione.
Magic Rescue
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes".
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].
Note that most of the provided recipes need other software installed to work, so open the desired recipes in /usr/share/magicrescue/recipes/ using a text editor and read the comments contained.
Per recuperare dei file con estensione gzip e .png da una partizione chiamata /dev/sda1, digitare in una finestra di terminale il seguente comando:
mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1
Questo scriverà i dati recuperati all'interno della cartella output dentro la cartella Home.
Photorec
PhotoRec è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. PhotoRec fa parte del pacchetto [apt://testdisk testdisk].
Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale:
sudo photorec imagefilename
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:
sudo photorec
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando:
sudo recoverjpeg /dev/hda1
sostituendo /dev/hda1 con il dispositivo sul quale si desidera indagare.
I file recuperati verranno salvati nella propria cartella Home, ogni immagine sarà salvata nel formato image*.jpg.
Ntfsprogs
Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS.
Sleuth Kit e Autopsy
Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3.
Sono entrambi Open Source e disponibili su piattaforme UNIX. Autopsy essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. Autopsy mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.
Autopsy
Autopsy può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Sleuthkit
Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:
dls inputimage > outputimage
Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output.fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:
fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sdc1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando fls e icat. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
Ulteriori risorse
[https://help.ubuntu.com/community/DataRecovery Documento originale]
[http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix]
[http://linux.die.net/man/1/foremost Pagina man foremost]
[http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
[http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
[http://linux.die.net/man/1/photorec Pagina man photorec]
[http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
[https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com]
[http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]
[http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense]
[http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card]
[http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk]
