|
Dimensione: 4110
Commento:
|
Dimensione: 11023
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| #acl GiuseppeTerrasi:read,write,revert GruppoConsiglio:read,write,revert GruppoAdmin:admin,read,write,revert -All:read -Known:read | |
| Linea 3: | Linea 2: |
| #LANGUAGE it | #language it [[Indice(depth=1)]] [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] |
| Linea 5: | Linea 6: |
| = Ampliamento CategoryComunità = | = Introduzione = |
| Linea 7: | Linea 8: |
| *La category comunità conta 561 pagina. Al fine di migliorare la rintracciabilità delle pagine di ciascun gruppo si provvede ad ampliare il numero di sottocategorie. * Un altra cosa da fare è decidere quali pagine tenere [:MatteoLazzari/Prove6:tra queste] contattando i rispettivi gruppi. |
I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di '''Ubuntu'''. |
| Linea 10: | Linea 10: |
| = Nuove categorie = | = Premessa = |
| Linea 12: | Linea 12: |
| * CategoryComunitaWeb: contiene le pagine del gruppo web * CategoryComunitaDocumentazione: contiene le pagine del gruppo documentazione * CategoryComunitaForum: contiene le pagine del gruppo forum * CategoryComunitaTest: contiene le pagine del gruppo test * CategoryComunitaPromozione: contiene le pagine del gruppo promozione * CategoryComunitaMailingList: contiene le pagine del gruppo mailing list * CategoryComunitaTraduzione: contiene le pagine del gruppo traduzione * CategoryComunitaIRC: contiene le pagine del gruppo irc * CategoryComunitaSviluppo: contiene le pagine del gruppo sviluppo * CategoryComunitaNewsletter: contiene le pagine con radice Newsletter * CategoryComunitaFCM: contiene le pagine con radice FCM * CategoryComunita: residuale. contiene pagine non riconducibili ai gruppi sopra elencati |
Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide]. |
| Linea 25: | Linea 14: |
| = Codice = | Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso. |
| Linea 27: | Linea 16: |
| Per ogni nuova pagina ecco il codice. | [[Anchor(live)]] Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi ''live'' in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine. |
| Linea 29: | Linea 19: |
| Permessi di pagina: {{{ #acl GruppoAdmin:admin,read,write,revert GruppoEditori:read,write,revert Known:read All:read |
Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo. Per avviare il sistema in modalità ''live'' è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di '''Ubuntu Desktop Editition''' da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati. = Recuperare le partizioni = Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina]. = Creare un immagine di un dispositivo = Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina]. = Estrarre i dati da un immagine = Fare riferimento alla [:GiuseppeTerrasi/Prove9#estrarre:seguente pagina]. = Estrarre singoli file dalla partizione recuperata = == Foremost == [http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{ sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost }}} * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{ sudo foremost -i /dev/hda -o /recovery/foremost }}} * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{ sudo foremost -i image -o /recovery/foremost }}} * I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{ sudo chown -R youruser:youruser /recovery/foremost }}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza. * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{ sudo foremost -w -i /dev/hda -o /recovery/foremost }}} * Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{ sudo foremost -t jpg -i /dev/hda -o /recovery/foremost |
| Linea 33: | Linea 62: |
| Codice di ricerca: {{{ [[FullSearch(CategoryComunitaDocumentazione -title:CategoryComunitaDocumentazione)]] |
Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man. == Scalpel == '''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti. Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare. Digitare in una finestra di terminale il seguente comando {{{ sudo scalpel file -o nome_cartella }}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione. == Magic Rescue == [http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes". [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue]. Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained. Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{ mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1 }}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''. == Photorec == '''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk]. Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{ sudo photorec imagefilename |
| Linea 37: | Linea 95: |
| Attuale codice pagina category comunità {{{ [[FullSearch(CategoryComunita -title:CategoryComunita)]] }}} Necessario cambiarlo per escludere le sottopagine. Ci devo lavorare. = Pagine da aggiornare = A seguito di questa modifica sarà necessario apportare alcune modifiche a delle pagine. * Sicuramente guida wiki in [:GuidaWiki/Categorie:questa pagina] * altro? Siccome la CategoryComunita sta scoppiando per rintracciare meglio le pagine si era pensato di creare delle sotto category. Esempio: una pagina del gruppo test sarebbe ricercabile in due modi: 1) usando la CategoryComunitaTest 2) inserendo nella ricerca per testo solo CategoryComunita (che non sarà più una category ma solo uno strumento di ricerca) Inoltre, a parte quanto detto di una Category per gruppo, creare anche CategoryFCM e CategoryNewsletter. Nessuno è intervenuto sull'argomento quindi direi che dopo avere preventivamente avvisato in lista gruppi si possa procedere. {{{ listare pagine |
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{ sudo photorec |
| Linea 71: | Linea 99: |
| = 6.06 server = | == recoverjpeg == |
| Linea 73: | Linea 101: |
| * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=Edgy&fullsearch=Testo Ricerca con Edgy] -> Al 02/02/2010: viste svariate pagine con riferimenti a questa versione * [http://wiki.ubuntu-it.org/ModificheRecenti?action=fullsearch&context=180&value=6.10&fullsearch=Testo Ricerca con 6.10] -> Al 02/02/2010: viste svariate pagine con riferimenti a questa versione |
'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. |
| Linea 76: | Linea 103: |
| [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{ sudo recoverjpeg /dev/hda1 }}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare. |
|
| Linea 77: | Linea 107: |
| = 8.04 desktop = | I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`. |
| Linea 79: | Linea 109: |
| * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=8.04&fullsearch=Testo Ricerca con 8.04] * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=hardy&fullsearch=Testo Ricerca con hardy] * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=rilasci="8.04")&fullsearch=Testo Ricerca con 8.04] |
== Ntfsprogs == |
| Linea 83: | Linea 111: |
| Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS. | |
| Linea 84: | Linea 113: |
| = 9.10 = | == Sleuth Kit e Autopsy == |
| Linea 86: | Linea 115: |
| * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=9.10&fullsearch=Testo Ricerca con 9.10 info pagina] * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=karmic&fullsearch=Testo Ricerca con karmic] * [http://wiki.ubuntu-it.org/GruppoDocumentazione/ToDo?action=fullsearch&context=180&value=rilasci="9.10")&fullsearch=Testo Ricerca con 9.10 info pagina] |
'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3. |
| Linea 90: | Linea 117: |
| Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem. | |
| Linea 91: | Linea 119: |
| = distribuzioni vive ad aprile 2011 = | === Autopsy === |
| Linea 93: | Linea 121: |
| server 8.04 | '''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. |
| Linea 95: | Linea 123: |
| 10.04 | Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} |
| Linea 97: | Linea 127: |
| 10.10 | === Sleuthkit === |
| Linea 99: | Linea 129: |
| 11.04 | * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{ dls inputimage > outputimage }}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output. * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{ fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx }}} * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1 }}} In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file. = Ulteriori risorse = * [https://help.ubuntu.com/community/DataRecovery Documento originale] * [http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix] * [http://linux.die.net/man/1/foremost Pagina man foremost] * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel] * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue] * [http://linux.die.net/man/1/photorec Pagina man photorec] * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg] * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com] * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy] * [http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense] * [http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card] * [http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk] |
Indice(depth=1) Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")
Introduzione
I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di Ubuntu.
Premessa
Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide].
Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso.
Anchor(live) Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi live in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine.
Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo.
Per avviare il sistema in modalità live è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di Ubuntu Desktop Editition da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati.
Recuperare le partizioni
Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina].
Creare un immagine di un dispositivo
Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina].
Estrarre i dati da un immagine
Fare riferimento alla [:GiuseppeTerrasi/Prove9#estrarre:seguente pagina].
Estrarre singoli file dalla partizione recuperata
Foremost
[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.
Supponendo che i file persi siano su /dev/hda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio dev/sdb).
Montare il disco esterno e creare al suo interno una cartella chiamata foremost da utilizzare per il recupero:
sudo mount /dev/sdb1 /recovery sudo mkdir /recovery/foremost
Avviare foremost digitando in una finestra di terminale il seguente comando:
sudo foremost -i /dev/hda -o /recovery/foremost
Per avviare foremost su un file immagine semplicemente sostituire il percorso
sudo foremost -i image -o /recovery/foremost
I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi:
sudo chown -R youruser:youruser /recovery/foremost
dove youruser:youruser rappresentano rispettivamente l'utente e il gruppo di appartenenza.
Usare l'opzione -w solo per si desidera ottenere un analisi dei file recuperabili:
sudo foremost -w -i /dev/hda -o /recovery/foremost
Per recuperare uno specifico tipo di file usare l'opzione -t:
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Per una panoramica dei file supportati da Foremost fare riferimento alla pagina man.
Scalpel
Scalpel recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file .raw. È simile a Foremost e potrebbe avere dei miglioramenti.
Per impostazione predefinita, tutti i tipi di file presenti in /etc/scalpel/scalpel.conf sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf scalpel.conf di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare.
Digitare in una finestra di terminale il seguente comando
sudo scalpel file -o nome_cartella
dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione.
Magic Rescue
[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes".
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].
Note that most of the provided recipes need other software installed to work, so open the desired recipes in /usr/share/magicrescue/recipes/ using a text editor and read the comments contained.
Per recuperare dei file con estensione gzip e .png da una partizione chiamata /dev/sda1, digitare in una finestra di terminale il seguente comando:
mkdir ~/output sudo magicrescue -r gzip -r png -d ~/output /dev/sda1
Questo scriverà i dati recuperati all'interno della cartella output dentro la cartella Home.
Photorec
PhotoRec è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. PhotoRec fa parte del pacchetto [apt://testdisk testdisk].
Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale:
sudo photorec imagefilename
Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù:
sudo photorec
recoverjpeg
recoverjpeg è un programma specifico per l'identificazione e il recupero delle immagini in formato .jpeg.
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando:
sudo recoverjpeg /dev/hda1
sostituendo /dev/hda1 con il dispositivo sul quale si desidera indagare.
I file recuperati verranno salvati nella propria cartella Home, ogni immagine sarà salvata nel formato image*.jpg.
Ntfsprogs
Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS.
Sleuth Kit e Autopsy
Autopsy Forensic Browser è un'interfaccia grafica per la suite The Sleuth Kit. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3.
Sono entrambi Open Source e disponibili su piattaforme UNIX. Autopsy essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. Autopsy mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.
Autopsy
Autopsy può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Sleuthkit
Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine:
dls inputimage > outputimage
Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output.fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando:
fls loopfile -r -f fat -i raw r/r 3: test (Volume Label Entry) r/r * 5: sample.docx r/r * 7: sample.pptx r/r * 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sdc1 e mettere il file immagine in una cartella denominata out digitare in una finestra di terminale il seguente comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1
In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando fls e icat. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
Ulteriori risorse
[https://help.ubuntu.com/community/DataRecovery Documento originale]
[http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix]
[http://linux.die.net/man/1/foremost Pagina man foremost]
[http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
[http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
[http://linux.die.net/man/1/photorec Pagina man photorec]
[http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
[https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com]
[http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]
[http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense]
[http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card]
[http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk]
