Introduzione

I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di Ubuntu.

Premessa

Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide].

Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso.

Anchor(live) Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi live in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine.

Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo.

Per avviare il sistema in modalità live è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di Ubuntu Desktop Editition da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati.

Recuperare le partizioni

Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina].

Creare un immagine di un dispositivo

Fare riferimento alla [:GiuseppeTerrasi/Prove10:seguente pagina].

Estrarre i dati da un immagine

Fare riferimento alla [:GiuseppeTerrasi/Prove10#estrarre:seguente pagina].

Estrarre singoli file dalla partizione recuperata

Fare riferimento alla [:GiuseppeTerrasi/Prove11:seguente pagina].

Ulteriori risorse

[https://help.ubuntu.com/community/DataRecovery Documento originale]
[http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix]
[http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense]
[http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card]
[http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk]

CategoryHomepage

-  ⇤ ← Versione 55 del 12/12/2010 14.08.36 → 
  Dimensione: 11025
  Autore: GiuseppeTerrasi
  Commento:
+   ← Versione 56 del 12/12/2010 14.23.15 → ⇥
  Dimensione: 3062
  Autore: GiuseppeTerrasi
  Commento: create sottopagine
-Le cancellazioni sono segnalate in questo modo.
+Le aggiunte sono segnalate in questo modo.
 Linea 36:
-== Foremost ==
-Linea 38:
+Linea 37:
-[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. 

Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`).

 * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{
sudo mount /dev/sdb1 /recovery
sudo mkdir /recovery/foremost
}}}
 * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{
sudo foremost -i /dev/hda -o /recovery/foremost
}}}
 * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{
sudo foremost -i image -o /recovery/foremost
}}}
 * I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{
sudo chown -R youruser:youruser /recovery/foremost
}}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza.
 * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{
sudo foremost -w -i /dev/hda -o /recovery/foremost
}}}
 * Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
}}}

Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man.

== Scalpel ==

'''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti.

Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare.

Digitare in una finestra di terminale il seguente comando {{{
sudo scalpel file -o nome_cartella
}}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione.

== Magic Rescue ==

[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes".

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].

Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained.

Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{
mkdir ~/output
sudo magicrescue -r gzip -r png -d ~/output /dev/sda1
}}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''.

== Photorec ==

'''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk].

Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{
sudo photorec imagefilename
}}}

Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{
sudo photorec
}}}

== recoverjpeg ==

'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`. 

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{
sudo recoverjpeg /dev/hda1
}}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare.

I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`.

== Ntfsprogs ==

Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS.

== Sleuth Kit e Autopsy ==

'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3.

Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.

=== Autopsy ===

'''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.

Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{
sudo autopsy -d /media/disk/autopsy 192.168.0.1
}}}

=== Sleuthkit ===

 * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{
dls inputimage > outputimage
}}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output.

 * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{
fls loopfile -r -f fat -i raw
r/r 3: test (Volume Label Entry)
r/r * 5: sample.docx
r/r * 7: sample.pptx
r/r * 9: sample.xlsx
}}}

 * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{
icat -r -f fat -i raw loopfile 5 > sample.docx
}}}
 
 * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1
}}}

In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`.  [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
+Fare riferimento alla [:GiuseppeTerrasi/Prove11:seguente pagina].
-Linea 155:
+Linea 43:
- * [http://linux.die.net/man/1/foremost Pagina man foremost]
 * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
 * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
 * [http://linux.die.net/man/1/photorec Pagina man photorec]
 * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
 * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com]
 * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]