Recuperare file cancellati Linux

Recuperare file cancellati Linux
Recuperare file cancellati Linux

Oggi imparerai come recuperare file cancellati usando Linux e senza spendere un centesimo.

Negli ultima anni Linux si è diffuso tantissimo. È diventato un Sistema Operativo accessibile a tutti.

Rispetto alle prime versioni è molto più semplice da usare. Infatti le prime distribuzione, anche se avevano un interfaccia grafica molto semplice, per poterle usare, per installare e aggiornare software, bisognava conoscere bene i comandi del terminale.  Per questo motivo era destinato soprattutto a smanettoni e a utenti un po’ più smaliziati e poco adatto ad un pubblico inesperto.

Ma nel tempo, grazie anche alle diverse società che hanno investito e dato fiducia al Sistema Operativo Open Source, è diventato molto più semplice da usare.

La comunità di sviluppatori che ruota attorno al sistema operativo del pinguino è vastissima. Di conseguenze si ha disposizione programmi open source e non, per ogni tipo di esigenza, che non hanno nulla da invidiare alle applicazioni per piattaforme commerciali.

Poi, si sa! Il suo punto di forza è la sicurezza informatica. Infatti per quando riguarda i tools a disposizione in campo di Cyber Security, come sniffer, port scanner, tools di penetretion testing,  non ha rivali.

Naturalmente non possono mancare applicazioni per il recupero di file, per attività di computer forensics, Data Carving ecc.

La maggior parte dei programmi a disposizione per il recupero dei file cancellati su Linux è open source e purtroppo, buona parte, non hanno un interfaccia grafica e devono essere usati dal terminale.

Ma non disperarti, non sono particolarmente difficili da usare. Anzi, seguendo le mie indicazioni, vedrai che sono abbastanza semplici. Con pochi comandi, sarai in grado di recuperare facilmente file cancellati da qualsiasi dispositivo con Linux.

Come recuperare file cancellati con Linux

Come ho già detto in altri articoli, tra cui Recuperare file cancellati o Recupero dati da Hard Disk, quando un file viene cancellato ed eliminato dal cestino, in realtà è ancora presente sul disco, in quanto viene semplicemente rimosso dall’indice della tabella del file system. Quindi, fin quando lo spazio di memoria dov’era salvato non viene sovrascritto, è possibile recuperarlo.

Esistono diversi metodi e algoritmi di recupero, alcuni si basano sulla lettura delle tabelle del file system alla ricerca di file cancellati, altri invece analizzando direttamente i blocchi di memoria del dispositivo.I vari metodi di recupero li vedremo più avanti quando ti parlerò del funzionamento dei diversi programmi.

Vediamo ora quali sono i principali tools di recupero dati disponibili su Linux e come usarli.

Foremost

Foremost è un programma da riga di comando in grado di recuperare e ricostruire i file persi basandosi su intestazione, struttura dei dati e footer. Questo metodi di recupero è definito Data Carving ed è indipendente dal file system. Può essere usato su qualsiasi supporto, pendrive, schede di memoria SD, hard disk, anche con file system danneggiato.

Il programma inizialmente fu sviluppato per l’”Air Force Office of Special Investigation” degli Stati Uniti, e per il “Center for Information Systems Security Studies and Research“. Successivamente venne reso disponibile il codice sorgente, facendolo così diventare un programma open source.

Foremost può lavorare anche su file immagine generati da dd, Encase, Safeback ecc, oltre che, naturalmente, direttamente sul dispositivo.

Può essere installato facilmente su qualsiasi distribuzione Linux. Puoi installarlo sia scaricando e compilando il codice sorgente a questo indirizzo, oppure tramite tramite i pacchetti disponibili nei repository delle principali  distribuzioni Linux.

Per installarlo su Debian, Ubuntu e le sue derivate, è sufficiente digitare il comando:

$ sudo apt install foremost

Recuperare file cancellati su Linux con Foremost

Una volta installato, puoi iniziare ad usarlo per recuperare file da qualsiasi dispositivo.

Supponiamo che hai la necessità di recuperare file cancellati per errore da una pendrive.

Innanzi tutto devi individuare il device.

Per farlo, su Linux puoi usare il comando lsblk altrimenti df -h.

lsblk
Le periferiche di archiviazione su Linux sono indicate come directory con radice /dev/. Nell’esempio la pen drive usb è individuata dal percorso /dev/sdb1 e montata su /media/usbstrick

Normalmente una Pen Drive è individuata con /dev/sdb*. Nel nostro esempio è /dev/sdb1.

Una volta individuato il device, crea una directory dove salvare i file recuperati da Foremost, per esempio /recovery/foremost:

$ sudo mkdir -p /recovery/foremost

A questo punto avvia foremost digitando il seguente comando:

$ sudo foremost -i /dev/sdb1 -o /recovery/foremost

Dove /dev/sdb1 è la partizione dove cercare i file cancellati e /recovery/foremost è la directory dove salvare i file recuperati.

Puoi usare foremost per recuperare file da un immagine, semplicemente sostituendo il percorso della partizione con il nome del file immagine:

$ sudo foremost -i nome_immagine -o /recovery/foremost

Tieni prese che poichè i file recuperati saranno di proprietà dell’utente root, potrai cambiare i permessi digitando il comando:

$ sudo chown -R user:groupuser /recovery/foremost

dove user:groupuser sono rispettivamente l’utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo).

Aggiungendo l’opzione -w avrai un analisi dei file recuperabili:

$ sudo foremost -w -i /dev/hdb1 -o /recovery/foremost

Per ridurre i tempi di attesa e velocizzare la procedura, puoi scegliere di recuperare solo un tipo specifico di file usando l’opzione -t seguita dal tipo di file che intendi recuperare:

$ sudo foremost -t jpg -i /dev/hdb1 -o /recovery/foremost

Se vuoi sapere i tipi di file supportati da Foremost usa il comando man:

$ man foremost

Scalpel

Scalpel è un’applicazione da riga di comando per Linux che puoi usare per recuperare file cancellati da hard disk, pen drive, schede di memoria ecc. Il tool è basato su Foremost e il funzionamento è molto simile, ma è più efficace e può ottenere risultati migliori.

Il programma è disponibile nei repository delle principali distribuzioni Linux, tra cui Debian e Ubuntu. Quindi per installarlo sarà sufficiente digitare il comando apt install:

$ sudo apt update 
$ sudo apt install scalpel

Dopo averlo installato, prima di avviarlo, devi indicare il tipo dei file che vuoi recuperare.

Per farlo devi editare da root, con un qualsiasi editor di testo, il file /etc/scalpel/scalpel.conf, decommentando (cancellando il simbolo #) le righe corrispondenti ai tipi che vuoi ripristinare.

Per esempio, come editor potresti usare nano tramite il seguente comando:

sudo nano /etc/scalpel/scalpel.conf

Dopo aver salvato il file di configurazione di Scalpel, non devi fare altro che avviarlo usando la stessa sintassi usata per foremost:

sudo scalpel /dev/sdb1 -o ~/recovery

Dove /dev/sdb1 è la partizione da sottoporre a scansione e recovery la directory dove salvare i file trovati.

Se vuoi usare anche scalpel su un file immagine, devi semplicemente sostituire la partizione sorgente con il nome del file immagine.

sudo scalpel nome-immagine -o ~/recovery

Testdisk e Photorec

Testdisk e Photorec sono due programmi open source e multi piattaforma usati, rispettivamente, per ripristinare partizioni cancellate e per il recupero di file.

Testdisk

Come ho detto, Testdisk è stato progettato per  recuperare partizioni perse e/o rendere nuovamente avviabili i dischi

TestDisk puo’:

  1. Riparare partizioni cancellate;
  2. Recuperare il settore di avvio di una partizione FAT32 dal suo backup;
  3. Ricostruire il settore di avvio di una partizione FAT12/FAT16/FAT32;
  4. Riparare la tabella FAT;
  5. Ricostruire il settore di avvio di una partizione NTFS;
  6. Recuperare il settore di avvio di una partizione NTFS dal suo backup;
  7. Riparare l’MFT ;
  8. Localizzare la copia del SuperBlock di una partizione ext2/ext3/ext4;
  9. Recuperare file cancellati da un filesystem FAT, NTFS e ext2;
  10. Copiare file cancellati da una partizione FAT, NTFS e ext2/ext3/ext4.

Il programma non è particolarmente complicato e può essere usato sia da un utente esperto che da un utente alleprime armi.

Per chi ne sa poco o niente sul recupero dati, TestDisk puo’ essere usato per raccogliere informazioni dettagliate circa un disco non di avvio, che possono essere inviate a un tecnico per una analisi piu’ approfondita.

I file sorgenti e i binari eseguibili precompilati sono disponibili per DOS, Win32, MacOSX e Linux dalla pagina di download

Dalla pagina del progetto, puoi consultare guide passo-passo ed esempi che ti aiutano a comprendere e a muovere i primi passi nell’uso di pagina del progetto.

Photorec

PhotoRec è un programma open source e multi piattaforma, progettato per recuperare file persi da HardDisk, CDRom, Compact Flash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, chiavette USB , immagini grezze DD, immagini EnCase E01 ….

Il nome indica il fatto che è particolarmente efficace nel recupero di fotografie dalla memoria di macchine fotografiche digitali. Ma non farti ingannare, perché con PhotoRec puoi recuperare qualsiasi tipo di file.

PhotoRec ignora il file system, poiché fa ricorso alla tecnica del Data Carving, e quindi può essere usato anche su supporti danneggiati. Il riconoscimento dei file avviene basandosi su intestazione, struttura dei dati e footer.

Il programma è in grado di riconoscere circa 400 tipi di file. Sul sito trovi la lista completa.

Come per Testdisk, anche per Photorec sul sito trovi guide ed esempi esplicativi sull’uso del programma.

Spero di aver soddisfatto le tue aspettative. Continua a seguire Blog Amico e iscriviti alla nostra pagina Facebook… Ti aspetto!

Articoli correlati

Avatar
Informazioni su Rocco Vincy 110 Articoli
Analista/Programmatore e blogger, si occupa di sicurezza informatica e delle comunicazioni. Co-fondatore del sito/blog "BlogAmico"