Salta il menu
*Linux Guide

Recupero Dati

Recupero dati come un espero forense con Ubuntu Live CD

Numerosissime utilities possono recuperare files cancellati, ma cosa accade se non potete più riavviare il vostro computer, o tutto l'hard disk è stato formattato? Ecco quindi come andare negli abissi a recuperare i più elusivi file cancellati o anche a recuperare intere partizioni.

Abbiamo già illustrato un metodo semplice per recuperare files accidentalmente cancellati, che può essere eseguito da un liveCD Ubuntu, ma per hard disks che sono stati pesantemente corrotti, questi metodi possono fare poco. In questo articolo, esamineremo quattro strumenti che possono recuperare dati dalla maggior parte dei dischi perduti, senza riguardo al fatto che siano stati formattati per un computer Windows, Linux, o Mac, o anche se la tabella delle partizioni sono state cancellate interamente.

Questi strumenti non possono recuperare dati che sono stati sovrascritti su un hard disk. Che un file cancellato sia stato sovrascritto dipende da molti fattori - prima realizzate che volete recuperare un file, più sarete in grado di farlo.

1. Il nostro setup

Per mostrare questi strumenti,abbiamo configurato un piccolo hard disk da 1 GB, con la metà dello spazio formattato in ext2, un file system usato in Linux e l'altra metà di spazio partizionato come FAT32, un file system usato nei vecchi sistemi operativi Windows. abbiamo racchiuso in ciascuno di essi, 10 immagini random.

*

Abbiamo quindi cancellato la tabella delle partizioni dall'hard disk, cancellando le partizioni in GParted.

*

I dati sono stati persi per sempre?

2. Installare gli strumenti

Avviate il computer con il liveCD di Ubuntu, selezionate la lingua italiana e accedete alla scrivania. Configurate la connessione a internet e poi seguite questi passaggi

Tutti gli strumenti che andremo ad usare sono nella repository universe di Ubuntu. Per abilitare la repository, aprite Synaptic Package Manager cliccando su "Sistema", in alto a sinistra e poi su Amministrazione → Gestore dei Pacchetti.
Cliccate su Impostazioni → Repositories e aggiungete la selezione al box etichettato "Software Open Source mantenuto dalla Comunità (universe)".

*

Chiudete e poi nella finestra principale del Gestore dei Pacchetti, cliccate sul pulsante "Aggiorna". Una volta che la lista dei pacchetti è stata aggiornata, cercate e marcate per la installazione uno o tutti i seguenti pacchetti: Testdisk, Foremost e Scalpel.

Testdisk include TestDisk, che può recuperare partizioni perdute e riparare il settore di boot, è PhotoRec, che può recuperare molti file di formati diversi, da un gran numero di file systems.

*

Foremost, originariamente sviluppato dal US Air Force Office of Special Investigations, recupera files sui propri headers ed altre strutture interne. Foremost opera su hard disk o su files di immagine disco generati da vari strumenti.

*

Infine Scalpel offre le stesse funzioni di foremost, ma si focalizza sul miglioramento delle prestazioni e sul basso consumo di memoria. Scalpel può funzionare meglio se avete una vecchia macchina con poca RAM.

*

3. Recuperare partizioni dell'hard disk

Se non riuscite a montare il vostro hard disk, vuol dire che la tabella delle partizioni è corrotta. Prima di iniziare a cercare di recuperare i vostri files importanti, potrebbe essere possibile recuperare una o più partizioni del vostro disco, recuperando tutti i file in un sol colpo.

Testdisk è lo strumento giusto per fare ciò. Avviatelo aprendo un Terminale:

Applicazioni → Accessori → Terminale

e digitate:

sudo testdisk

*

Se lo desiderate potete creare un file di log, tenendo presente che non intaccherà il numero di dati che recupererete. Quando avete fatto la vostra scelta, vi verrà mostrato un elenco dei media di stoccaggio sulla vostra macchina. Dovreste essere in grado di riconoscere il disco di cui volete recuperare le partizioni, dalle proprie dimensioni e dall'etichetta.

*

TestDisk vi chiederà di selezionare il tipo di tabella delle partizioni da ricercare. Nella maggior parte dei casi (ext2/3, NTFS, FAT32, ecc.) dovreste selezionare Intel e premere INVIO.

*

Selezionate "Analyse" e premere INVIO.

*

Nel nostro caso, il nostro piccolo hard disk era stato precedentemente formattato come NTFS. Sorprendentemente TestDisk ha trovato questa partizione, e non era in grado di recuperarla.

*

Premendo INVIO, dopo aver selezionato la voce "Continue", ha anche trovato le due partizioni appena cancellate. Eravamo in grado di cambiare i loro attributi, o aggiungere altre partizioni, ma dovevamo solo recuperarle premendo INVIO.

*

Se TestDisk non avesse trovato tutte le vostre partizioni, potete provare ad effettuare una ricerca approfondita selezionando le opzioni disponibili premendo i tasti freccia destro o sinistro. Avevamo solo due partizioni, quindi le abbiamo recuperato selezionando Write e premendo INVIO.

*

Testdisk ci ha avvisato che avremmo dovuto riavviare.

*

Dato che il vostro Ubuntu Live CD non è persistente, ogni volta che lo riavviate, dovrete reinstallare tutti gli strumenti di cui sopra.

Dopo il riavvio, entrambe le partizioni sono tornate al loro stato originario, immagini e tutto ilr esto.

*

4. Recuperare file di tipo specifico

Per gli esempi seguenti, abbiamo cancellato le 10 immagini da entrambe le partizioni e le abbiamo riformattate.

4.1 PhotoRec

Dei tre strumenti che vi mostreremeo, PhotoRec è il più amichevole, a dispetto del fatto che sia una utility da linea di comando. Per avviare il recupero dei files aprite un Terminale:

Applicazioni → Accessori → Terminale

e digitate:

sudo photorec

Per cominciare vi verrà chiesto di selezionare il dispositivo in cui effettuare la ricerca. Dovreste essere in grado di riconoscere il dispositivo corretto dalle sue dimensioni e dall'etichetta. Selezionare il dispositivo giusto e premete INVIO.

*

PhotoRec vi chiederà di selezionare il tipo di partizione da ricercare. Nella maggior parte dei casi (ext2/3, NTFS, FAT, etc.) dovreste selezionare Intel e premere INVIO.

*

Vi verrà fornito un elenco delle partizioni presenti sull'hard disk selezionato da voi. Se volete recuperare tutti i file presenti sulla partizione, selezionate "Search" e premete INVIO. Tuttavia questo metodo è molto lento e nel nostro caso abbiamo scelto di recuperare file di immagine, quindi abbiamo usato la freccia destra per selezionare "File Opt" ed abbiamo premuto INVIO.

*

PhotoRec può recuperare molti tipi differenti di files e deselezionare tutti quelli che non ci servono, è un lavoro molto lungo. Dovrete quindi premere "s" per cancellare tutte le selezioni e poi dovrete cercare i tipi appropriati di files - jpg, gif e png - e selezionarli premendo il tasto freccia destro.

*

Una volta selezionati,premete "b" per salvare questa selezione.

*

Premete INVIO per tornare all'elenco delle partizioni dell'hard disk. Abbiamo voluto cercare in entrambe le partizioni, quindi abbiamo selezionato la voce "No partition" e "Search" e premuto INVIO.

*

PhotoRec vi offre l'opportunità di definire il luogo dove salvare i files recuperati. Se avete un altro hard disk sano, è raccomandabile salvarli in esso.

Non recuperate i files nel disco da cui state effettuando il salvataggio.

*

PhotoRec è stato in grado di recuperare le nostre 20 immagini dalle partizioni per inserirle nel nostro hard disk esterno!

*

Una rapida occhiata nella directory recup_dir.1 creata appositamente, ha confermato che PhotoRec ha recuperato tutte le nostre immagini.

*

4.2Foremost

Foremost è un programma a riga di comando senza una interfaccia interattiva come PhotoRec, ma offre numerose opzioni a linea di comando per recuperare quanti più dati possibili dal vostro hard disk. Per una lista completa delle opzioni che possono essere usate da linea di comando, aprite un Terminale:

Applicazioni → Accessori → Terminale

e digitate:

foremost -h

Nel nostro caso, le opzioni che andremo a impiegare sono:

  • -t, un elenco seperato da virgole di tipi di files da ricercare. Nel nostro caso sono "jpeg,png,gif".
  • -v, abilitare il verbose-mode, che ci offre maggiori informazioni su cosa stia facendo foremost.
  • -o, la cartella di output nel quale recuperare i files. Nel nostro caso abbiamo creato una cartella chiamata "foremost" sul desktop.
  • -i, l'input che verrà usato per cercare i files. Può essere una immagine disco in molti formati diversi; tuttavia useremo un hard disk, /dev/sda.

La nostra invocazione di foremost è:

sudo foremost -t jpeg,png,gif -o foremost -v -i /dev/sda

La vostra sarà differente anche in base a cosa state cercando e dove volete cercare.

*

Foremost è in grado di recuperare 17 dei 20 files alloggiati nell'hard disk.

*

Date una occhiata ai files, abbiamo potuto constatare che il recupero è stato abbastanza buono, dato che abbiamo trovato qualche errore nella immagine 00622449.jpg.

*

Parte di ciò può essere dovuto al file system ext2. Foremost raccomanda l'uso dell'opzione "-d" per il filesystem Linux ext2.
Abbiamo quindi riavviato foremost, aggiungendo l'opzione -d alla nostra invocazione di foremost:

sudo foremost -t jpeg,png,gif -d -o foremost -v -i /dev/sda

*

Questa volta Foremost è in grado di recuperare tutte 20 le immagini!

*

Una occhiata finale alle immagini ha rivelato che queste sono state recuperate senza problemi.

*

4.3 Scalpel

Scalpel è un altro potente programma che, come Foremost, è altamente configurabile. Diversamente da Foremost, Scalpel richiede che modifichiate un file di configurazione prima di tentare qualsiasi recupero dati. Qualsiasi editor di testi lo può fare, ma useremo gedit. In una finestra di Terminale:

Applicazioni → Accessori → Terminale

e digitate:

sudo gedit /etc/scalpel/scalpel.conf

*

scalpel.conf contiene informazioni su numerosi tipi di file. Scorrete questo file e decommentate le linee che iniziano con il tipo di file di cui volete effettuare il recupero (ovvero rimuovete il carattere "#" all'inizio delle linee).

*

Salvate il file e chiudete. Ritornate al terminale.
Scalpel ha anche moltissime opzioni che possono aiutarvi a cercare in modo rapido ed efficace; tuttavia dovrete solo definire il dispositivo di input (/dev/sda) e la cartella di output (una cartella chiamata "scalpel" che abbiamo creato sul desktop).

La nostra invocazione è:

sudo scalpel /dev/sda -o scalpel

*

Scalpel è stato in grado di recuperare 18 dei nostri 20 files.

*

Una rapida occhiata ai files salvati da Scalpel, ha mostrato che la maggior parte dei files è stata recuperata con successo, con solo qualche problema (al file 00000012.jpg).

*

5. Conclusioni

abbiamo potuto osservare che TestDisk è stato in grado di recuperare due partizioni cancellate e PhotoRec e Foremost sono stati in grado di recuperare tutte le 20 immagini cancellate. Scalpel ha recuparato la maggior parte dei file, ma è possibile ammettere che possa essere in grado di recuperare tutto quello che vi possa servire.

Questi strumenti sono dei salvavita quando qualcosa va storto con il vostro hard disk. Se i vostri dati sono da qualche parte nel disco, questi strumenti potranno rintracciarli!


Articolo originale

***

Indice | Torna in alto