Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AmministrazioneSistema/RecuperoDati"
Differenze tra le versioni 55 e 81 (in 26 versioni)
Versione 55 del 12/12/2010 14.08.36
Dimensione: 11025
Autore: GiuseppeTerrasi
Commento:
Versione 81 del 03/04/2023 14.29.53
Dimensione: 3840
Autore: andreas-xavier
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
# page was renamed from GiuseppeTerrasi/Prove8
Linea 3: Linea 4:
[[Indice(depth=1)]]
[[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,430020")]] 		<<Indice(depth=2)>>
<<BR>>
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=430020";rilasci="14.04 16.04 18.04 20.04")>>  
Linea 8: Linea 10:
I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [:Repository:repository] di '''Ubuntu'''. I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei [[Repository|repository]] di '''Ubuntu'''.
Linea 10: Linea 12:
= Premessa =
Linea 12: Linea 13:
Come premessa, occorre sottolineare che il modo migliore per evitare la perdita dei dati è di effettuare con cadenza regolare delle copie di backup. A questo proposito si rinvia alle [:AmministrazioneSistema/Backup:apposite guide]. {{{#!wiki note
Si ricorda che per evitare la perdita di dati è opportuno salvare copie di [[AmministrazioneSistema/BackupDelSistema|backup]] degli stessi, con cadenza regolare.
}}}
Linea 14: Linea 17:
Se il dispositivo ha subito un guasto meccanico, per non danneggiarlo ulteriormente e al fine di non compromettere la possibilità di recuperare i dati se sovrascritti, si consiglia di operare su un immagine del dispositivo stesso. = Cause e soluzioni =
Linea 16: Linea 19:
[[Anchor(live)]]
Qualora si verifichi questa eventualità è raccomandabile spegnere immediatamente il computer e in seguito utilizzarlo solo mediante sistemi ''live'' in modo da potere analizzare questi dispositivi a [:Hardware/DispositiviPartizioni/MontarePartizioni:"partizioni smontate"]. Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Bisogna considerare la necessità di ulteriore spazio qualora sia richiesto di intervenire mediante la creazione di un'immagine.		 Le cause possono essere ricondotte a due tipologie: [[#hardware|guasto hardware]] del disco rigido o [[#software|errore software]].
Linea 19: Linea 21:
Se il guasto non è di natura meccanica è possibile, invece, recuperare i dati direttamente dal dispositivo. <<Anchor(hardware)>>
== Guasto hardware ==
Linea 21: Linea 24:
Per avviare il sistema in modalità ''live'' è sufficiente [http://www.ubuntu-it.org/index.php?page=Ottenere_Ubuntu disporre] di una copia di '''Ubuntu Desktop Editition''' da potere avviare con il [:Installazione/Grafica:CD-ROM] o da un [:Installazione/DaSupportoUsb:dispositivo USB]. In alternativa, qualora si disponga si poca ram o si è privi di una connessione ad internet, è possibile utilizzare [http://ubuntu-rescue-remix.org/ Ubuntu rescue remix] oppure [http://www.sysresccd.org/Main_Page System Rescue Cd] i quali dispongono molti dei programmi di seguito menzionati. Questa tipologia di perdita di dati è quella più difficile da affrontare.

Per non danneggiare ulteriormente e per non sovrascrivere i dati presenti in esso, operare su delle immagini del dispositivo. Spegnere immediatamente il computer e utilizzarlo solo mediante sistemi [[#live|Live]], in modo da potere analizzare i dispositivi a [[Hardware/DispositiviPartizioni/MontarePartizioni|partizioni smontate]].

Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Considerare la necessità di ulteriore spazio, oltre che per il recupero dei dati, anche per la creazione dell'immagine.

Nei casi più gravi (ad esempio in caso di urto accidentale, bruciatura del motorino della scheda di controllo ecc.) l'unica possibilità di recupero è quella di rivolgersi ad aziende specializzate, con costi non indifferenti.

<<Anchor(software)>>
== Errore software ==

Al contrario, se il guasto non è di natura meccanica è possibile recuperare i dati direttamente dal dispositivo, adoperando uno o più metodi esposti di seguito.

<<Anchor(live)>>
== Modalità live ==
Per avviare il sistema in modalità '''Live''' è sufficiente disporre di un supporto di installazione di Ubuntu o derivata, su DVD o USB (consultare questa [[Installazione/InstallareUbuntu#Operazioni_preliminari|guida]] per maggiori informazioni).

In alternativa, qualora si disponesse di poca RAM o si sia privi di una connessione Internet, è possibile usare il [[https://it.wikipedia.org/wiki/SystemRescueCD|SystemRescueCd]], il quale dispone di molti dei programmi menzionati in queste pagine.

È disponibile sia per l'architettura a 64 bit (raccomandata) sia a 32 bit (per i computer più datati). Il file `iso` è scaricabile da [[https://www.system-rescue.org/Download/|questo indirizzo]] (può essere utilizzato su supporti live [[Installazione/CreazioneLiveUsb|USB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|DVD]].

Per approfondire l'uso consultare il sito ufficiale di '''[[#ur|SystemRescueCD]]'''.
Linea 25: Linea 49:
Fare riferimento alla [:GiuseppeTerrasi/Prove9:seguente pagina]. Fare riferimento alla [[/Partizioni|seguente pagina]].
Linea 27: Linea 51:
= Creare un immagine di un dispositivo = = Creare un'immagine di un dispositivo =
Linea 29: Linea 53:
Fare riferimento alla [:GiuseppeTerrasi/Prove10:seguente pagina]. Fare riferimento alla [[/Immagini|seguente pagina]].
Linea 31: Linea 55:
= Estrarre i dati da un immagine = = Estrarre i dati da un'immagine =
Linea 33: Linea 57:
Fare riferimento alla [:GiuseppeTerrasi/Prove10#estrarre:seguente pagina]. Fare riferimento alla [[/Immagini#estrarre|seguente pagina]].
Linea 36: Linea 60:
== Foremost ==
Linea 38: Linea 61:
[http://foremost.sourceforge.net/ Foremost] è un tool da riga di comando in grado di recuperare file da un certo numero di filesystem, inclusi i sistemi Fat, Ext3 e NTFS. Fare riferimento alla [[/Estrazione|seguente pagina]].
Linea 40: Linea 63:
Supponendo che i file persi siano su `/dev/hda`, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell'esempio `dev/sdb`). = Eseguire l'analisi forense di un sistema =
Linea 42: Linea 65:
 * Montare il disco esterno e creare al suo interno una cartella chiamata `foremost` da utilizzare per il recupero: {{{
sudo mount /dev/sdb1 /recovery
sudo mkdir /recovery/foremost
}}}
 * Avviare '''foremost''' digitando in una finestra di terminale il seguente comando: {{{
sudo foremost -i /dev/hda -o /recovery/foremost
}}}
 * Per avviare '''foremost''' su un file immagine semplicemente sostituire il percorso {{{
sudo foremost -i image -o /recovery/foremost
}}}
 * I file recuperati saranno di proprietà dell'utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi: {{{
sudo chown -R youruser:youruser /recovery/foremost
}}} dove `youruser:youruser` rappresentano rispettivamente l'utente e il gruppo di appartenenza.
 * Usare l'opzione `-w` solo per si desidera ottenere un analisi dei file recuperabili: {{{
sudo foremost -w -i /dev/hda -o /recovery/foremost
}}}
 * Per recuperare uno specifico tipo di file usare l'opzione `-t`: {{{
sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
}}}		 Fare riferimento alla [[/Sleuthkit&Autopsy|seguente pagina]].
Linea 62: Linea 67:
Per una panoramica dei file supportati da '''Foremost''' fare riferimento alla pagina man.

== Scalpel ==

'''Scalpel''' recupera i file utilizzando come database le definizioni contenute [http://it.wikipedia.org/wiki/Formato_di_file negli header e nei footer] presenti all'interno di un file immagine o di un file `.raw`. È simile a '''Foremost''' e potrebbe avere dei miglioramenti.

Per impostazione predefinita, tutti i tipi di file presenti in `/etc/scalpel/scalpel.conf` sono commentati. Per specificare quali tipi di file si vogliono ricercare è necessario modificare il file decommentando le righe necessarie. Si allega un file [http://wiki.ubuntu-it.org/GiuseppeTerrasi/Prove8?action=AttachFile&do=get&target=scalpel.conf `scalpel.conf` di esempio] al fine di mostrare l'elenco dei file che è in grado di recuperare.

Digitare in una finestra di terminale il seguente comando {{{
sudo scalpel file -o nome_cartella
}}} dove file è il file immagine (o dispositivo) e nome_cartella è la cartella di destinazione.

== Magic Rescue ==

[http://www.itu.dk/people/jobr/magicrescue/ Magic Rescue] è un programma che utilizza i cosiddetti [http://it.wikipedia.org/wiki/Formato_di_file magic number] per identificare la presenza e il tipo di file, e che può essere esteso a molti tipi di file attraverso l'uso di "recipes".

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://magicrescue magicrescue].

Note that most of the provided recipes need other software installed to work, so open the desired recipes in {{{/usr/share/magicrescue/recipes/}}} using a text editor and read the comments contained.

Per recuperare dei file con estensione `gzip` e `.png` da una partizione chiamata `/dev/sda1`, digitare in una finestra di terminale il seguente comando: {{{
mkdir ~/output
sudo magicrescue -r gzip -r png -d ~/output /dev/sda1
}}} Questo scriverà i dati recuperati all'interno della cartella `output` dentro la cartella '''Home'''.

== Photorec ==

'''!PhotoRec''' è un programma di recupero dati creato inizialmente solo per recuperare immagini perse dalla memoria della fotocamera digitale o da dischi fissi. In seguito il supporto è stato esteso anche per file non audio o video. Consente la ricerca di 80 diversi tipi di file. '''!PhotoRec''' fa parte del pacchetto [apt://testdisk testdisk].

Per avviare Photorec per analizzare un file immagine digitare il seguente comando in una finestra di terminale: {{{
sudo photorec imagefilename
}}}

Per recuperare i file direttamente dal dispositivo oggetto di recupero, avviare il programma senza argomenti e selezionare i dispositivi disponibili dal menù: {{{
sudo photorec
}}}

== recoverjpeg ==

'''recoverjpeg''' è un programma specifico per l'identificazione e il recupero delle immagini in formato `.jpeg`.

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto [apt://recoverjpeg recoverjpeg] e avviarlo digitando in una finestra di terminale il seguente comando: {{{
sudo recoverjpeg /dev/hda1
}}} sostituendo `/dev/hda1` con il dispositivo sul quale si desidera indagare.

I file recuperati verranno salvati nella propria cartella '''Home''', ogni immagine sarà salvata nel formato `image*.jpg`.

== Ntfsprogs ==

Si veda il [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete seguente documento] per questo strumento capace di recuperare file da un filesystem NTFS.

== Sleuth Kit e Autopsy ==

'''Autopsy Forensic Browser''' è un'interfaccia grafica per la suite '''The Sleuth Kit'''. Sono in grado di analizzare i dischi di Windows e UNIX e file system come NTFS, FAT, UFS1/2, Ext2/3.

Sono entrambi Open Source e disponibili su piattaforme UNIX. '''Autopsy''' essendo HTML-based è possibile connettersi ad esso da qualsiasi piattaforma attraverso l'uso di un browser. '''Autopsy''' mostrerà i dettagli circa i dati cancellati e la struttura del filesystem.

=== Autopsy ===

'''Autopsy''' può essere avviato da un live CD. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.

Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`: {{{
sudo autopsy -d /media/disk/autopsy 192.168.0.1
}}}

=== Sleuthkit ===

 * Estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine: {{{
dls inputimage > outputimage
}}} Utilizzare un programma di recupero dati (fare anchor) per cercare i file dall'immagine di output.

 * ''fls'' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencarne il contenuto digitando in una finestra di terminale il seguente comando: {{{
fls loopfile -r -f fat -i raw
r/r 3: test (Volume Label Entry)
r/r * 5: sample.docx
r/r * 7: sample.pptx
r/r * 9: sample.xlsx
}}}

 * `icat` apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare in una finestra di terminale il seguente comando: {{{
icat -r -f fat -i raw loopfile 5 > sample.docx
}}}
 
 * `sorter` ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sdc1` e mettere il file immagine in una cartella denominata `out` digitare in una finestra di terminale il seguente comando: {{{
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sdc1
}}}

In [http://forums.gentoo.org/viewtopic-t-365703.html questa pagina] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/ Questo script] invece il cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
 <<Anchor(ur)>>
Linea 153: Linea 70:
 * [https://help.ubuntu.com/community/DataRecovery Documento originale]
 * [http://ubuntu-rescue-remix.org/ Ubuntu Rescue Remix]
 * [http://linux.die.net/man/1/foremost Pagina man foremost]
 * [http://www.linuxcertif.com/man/1/scalpel/ Pagina man Scalpel]
 * [http://www.itu.dk/people/jobr/magicrescue/manpage.html Pagina man Macig Rescue]
 * [http://linux.die.net/man/1/photorec Pagina man photorec]
 * [http://tfm.cz/man/1/recoverjpeg Pagina man recoverjpeg]
 * [https://help.ubuntu.com/community/DataRecovery/NtfsUndelete Guida a NTFSprogs su Ubuntu.com]
 * [http://www.sleuthkit.org/ Sito ufficiale di Sleuthkit e Autopsy]
 * [http://www.caine-live.net/ CAINE: distribuzione specifica per l'analisi forense]
 * [http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card Recuperare file cancellati da una memory card]
 * [http://www.linux.com/articles/56588 Come recuperare i file persi dopo aver cancellato accidentalmente i dati dall'hard disk]		  * [[https://help.ubuntu.com/community/DataRecovery|Documento originale]]
 * [[http://www.caine-live.net/|CAINE: distribuzione specifica per l'analisi forense]]
 * [[http://goinggnu.wordpress.com/2008/02/14/recover-deleted-files-from-memory-card|Recuperare file cancellati da una memory card]]
 * [[https://www.system-rescue.org|Sito ufficiale di SystemRescueCD]]
Linea 167: Linea 76:
CategoryHomepage CategoryAmministrazione


Guida verificata con Ubuntu: 20.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

I file eliminati o persi accidentalmente possono essere recuperati con l'uso di programmi specifici, molti dei quali disponibili nei repository di Ubuntu.

Si ricorda che per evitare la perdita di dati è opportuno salvare copie di backup degli stessi, con cadenza regolare.

Cause e soluzioni

Le cause possono essere ricondotte a due tipologie: guasto hardware del disco rigido o errore software.

Guasto hardware

Questa tipologia di perdita di dati è quella più difficile da affrontare.

Per non danneggiare ulteriormente e per non sovrascrivere i dati presenti in esso, operare su delle immagini del dispositivo. Spegnere immediatamente il computer e utilizzarlo solo mediante sistemi Live, in modo da potere analizzare i dispositivi a partizioni smontate.

Sarà necessario un altro dispositivo di archiviazione, di capienza pari o superiore a quello di origine. Considerare la necessità di ulteriore spazio, oltre che per il recupero dei dati, anche per la creazione dell'immagine.

Nei casi più gravi (ad esempio in caso di urto accidentale, bruciatura del motorino della scheda di controllo ecc.) l'unica possibilità di recupero è quella di rivolgersi ad aziende specializzate, con costi non indifferenti.

Errore software

Al contrario, se il guasto non è di natura meccanica è possibile recuperare i dati direttamente dal dispositivo, adoperando uno o più metodi esposti di seguito.

Modalità live

Per avviare il sistema in modalità Live è sufficiente disporre di un supporto di installazione di Ubuntu o derivata, su DVD o USB (consultare questa guida per maggiori informazioni).

In alternativa, qualora si disponesse di poca RAM o si sia privi di una connessione Internet, è possibile usare il SystemRescueCd, il quale dispone di molti dei programmi menzionati in queste pagine.

È disponibile sia per l'architettura a 64 bit (raccomandata) sia a 32 bit (per i computer più datati). Il file iso è scaricabile da questo indirizzo (può essere utilizzato su supporti live USB o DVD.

Per approfondire l'uso consultare il sito ufficiale di SystemRescueCD.

Recuperare le partizioni

Fare riferimento alla seguente pagina.

Creare un'immagine di un dispositivo

Fare riferimento alla seguente pagina.

Estrarre i dati da un'immagine

Fare riferimento alla seguente pagina.

Estrarre singoli file dalla partizione recuperata

Fare riferimento alla seguente pagina.

Eseguire l'analisi forense di un sistema

Fare riferimento alla seguente pagina.

Ulteriori risorse

CategoryAmministrazione