Purtroppo, con i moderni filesystem journaled non è possibile recuperare facilmente i files eliminati. Nonostante ciò, con gli strumenti adatt e un pizzico di pazienza possiamo ispezionare il nostro disco alla ricerca del file perduto poichè un file, prima di essere eliminto fisicamente, necessita di essere sovrascritto e può passare molto tempo prima che questo avvenga.
Procediamo con l’installazione di Foremost (dovrebbe essere presente nei repo di tutte le distro) e successivamente creiamo un immagine della partizioe che desideriamo esplorare:
dd if=/dev/hda1 of=partizione.img .
A questo punto lanciamo foremost in questo modo :
foremost -t jpg,gif -o ritrovati -i partizione.img .
Analizziamo il comando: sostituiamo a jpg,gif i formati dei files che ci interessano (un elenco completo dei formati riconosciuti lo troviamo nell man page del software : man foremost ); sostituiamo ritrovati con il nome della cartella in cui vogliamo che siano messi i files recuperati.
Con foremost possiamo anche utilizzare come criterio di ricerca una singola stringa di testo : apriamo il file /etc/foremost.conf ed aggiungiamo una riga del tipo testo n 1000 stringa inserendo al posto di stringa i caratteri da ricercare. A questo punto eseguiamo foremost così:
foremost -o ritrovati -i partizione.img .
Nella cartella ritrovati, i files contenenti la stringa di testo richiesta, saranno indicati con l’estensione testo nel nome.
Buon recupero 
[ad]