I file cancellati sul nostro hard disc finché lo spazio che occupavano non viene rimpiazzato possono essere recuperati.
Foremost un tool di recupero dati su linux. Home Page click Qui.
Guida DataRecovery su wiki internazionale dove si sono altri tool di recupero.
Installazione da terminale o da synaptic
sudo apt-get install foremost
Supponiamo che dobbiamo recuperare dati da hdc1
Dobbiamo indicare dove posizionare dati recuperati per esempio su unità esterna USB oppure hdc3 nel mio caso. Questa unità contenitore deve essere molto grande da ricevere tutti i file recuperati.
Creazione volume contenitore file recuperati
Da terminale montiamo la cartella recovery
sudo mount /dev/hdc3 /recovery
Fatto questo su hdc1 avremo una nuova directory, cliccandoci andiamo a finire dentro hdc3 come se fosse un collegamento.
Ora creiamo la cartella foremost
sudo mkdir /recovery/foremost
Eseguiamo ora Foremost.
sudo foremost -i /dev/hdc1 -o /recovery/foremost
sudo foremost -i /dev/hdc1 -o /recovery/foremost
Con questo comando foremost intercetta tutti i file cancellati di tutte le estensioni. Attendere può impiegare anche molto tempo dipende dall’area di lavoro della ricerca.
Mentre lavora se guardiamo dentro cartella montata in precedenza, vedremo magicamente apparire tutto quello che trova.
Nella mia prova i file recuperati su hdc3 per aprirli ho dovuto usare nautilus perché c’era bisogno dei diritti di amministratore. Ecco qui sotto alcune immagini di come si presentano i file recuperati, sono nominati numericamente perdendo l’originale nome. Finita ricerca, durata 15-20 minuti, su partizione hdc1 di 33GB a recuperato salvandoli su hdc3 25089 oggetti, in totale 1,7 GB.
|
|
|
|
Sulla guida wiki internazionale c’è metodo e comandi per avere diritti su questi file recuperati, però come detto prima ho aggirato questo limite usando nautilus, per fare quello che volevo sui stessi.
25089 file recuperati sono tanti trovare quello che era stato cancellato per sbaglio può essere arduo , anche perché i file come detto sono nominati non con il nome originale. Però le cartelle dentro dev/hdc3 /recovery sono organizzate per estensione e tutto resta più agevole.
Recuperare solo un tipo specifico di file
sudo foremost -t jpg -i /dev/hdc1 -o /recovery/foremost
sudo foremost -t jpg -i /dev/hdc1 -o /recovery/foremost
Con questo comando si vanno a recuperare solo i file con estensione jpg (immagine) , sostituire al posto di jpg altro tipo che intendiamo ricercare e salvare. Gif, Avi, Zip, Rar, Doc, Html eccetera.
Altro link dove si parla in italiano di foremost Cybercrimes.it
In conclusione con un po di fortuna riusciamo a trovare l’oggetto cancellato per errore.
fonte : http://biosater.netsons.org
[ad]