Phenquestions
Recupero Dati Da Hard Disk con Foremost:
Per iniziare vediamo i dispositivi di archiviazione collegati utilizzando il comando lsblk, sulla console eseguire:
# lsblk
Lsblk mostrerà tutti i dispositivi di archiviazione e le partizioni disponibili, inclusi i dispositivi di swap e ottici, in questo caso voglio il dispositivo sdb.
Nota: per saperne di più sul comando lsblk leggi Come elencare tutti i dispositivi disco Linux.
Come puoi vedere si chiamava la chiavetta USB da 32 GB sdb e questo è il dispositivo su cui lavorerò.
Recupero dati da chiavetta USB con Foremost:
Per iniziare il ripristino dei dati da un'unità USB, iniziare installando Foremost utilizzando il gestore di pacchetti APT su Debian o distribuzioni Linux basate eseguendo:
# apt installa prima di tutto
Una volta installato è possibile visualizzare la pagina man per verificare tutte le opzioni disponibili:
# uomo prima di tutto
Dalla pagina man si capisce il flag -io è determinare un file di input, dal quale Foremost inizierà a funzionare. Di solito è finalizzato a lavorare con immagini come queste prodotte da strumenti come dd o Encase. Per avviare Foremost nel modo più semplice senza flag aggiuntivi, eseguire il seguente comando sostituendo /sdb per l'ID del dispositivo da cui si desidera recuperare i dati.
Correre:
Dove sdb mettere il dispositivo corretto correct.
Una volta eseguito, il processo di intaglio sarà simile a:
Nota: puoi anche specificare partizioni come ad esempio /dev/sdb1.
Quando il processo finisce, esegui ls per confermare la creazione di una nuova directory chiamata produzione:
# ls
Come puoi vedere l'output della directory esiste, per vedere i file recuperati inseriscilo usando il comando CD (Cambia directory) e poi esegui ls:
# ls
All'interno vedrai le directory per tutti i tipi di file Il primo è riuscito a recuperare, inoltre vedrai un file chiamato audit.txt con un rapporto sui file intagliati.
Puoi controllare quali file sono stati trovati all'interno di ogni directory eseguendo ls
Puoi anche sfogliare tutti i file recuperati tramite un file manager grafico:
Recupero Dati Da Hard Disk con PhotoRec:
PhotoRect è insieme a Foremost lo strumento di intaglio di file o recupero dati più popolare sia per uso forense professionale che domestico. Mentre Foremost esegue un ripristino più intelligente che mostra prestazioni più veloci, la forza bruta di PhotoRec mostra risultati migliori durante il taglio dei file. Questa sezione mostra come eseguire il ripristino dei dati dal disco rigido utilizzando PhotoRec.
Per iniziare su Debian e distribuzioni Linux basate, installa photorec eseguendo:
# apt install testdisk
La pagina man di PhotoRec è quasi vuota, Photorec è piuttosto semplice da usare e deve solo essere eseguito, apparirà un'interfaccia didattica simile a quella di CFDISK per guidarti durante l'intero processo.
Una volta installato eseguilo chiamando il programma:
# fotoregistrazione
Ricorda di eseguire PhotoRec con autorizzazioni sufficienti per accedere al dispositivo da intagliare.
Nella prima schermata è necessario selezionare il disco o l'immagine di origine da cui PhotoRec ha bisogno di recuperare i dati. In questo caso sto selezionando il dispositivo /dev/sdb come mostrato nell'immagine qui sotto:
In questo passaggio è necessario selezionare la partizione da cui si desidera recuperare i dati.
Se le partizioni non vengono trovate ed elencate prima di procedere con una ricerca utilizzando le frecce della tastiera spostarsi su File Opz per esplorare le opzioni disponibili come mostrato nell'immagine qui sotto:
Come puoi vedere dentro File Opz puoi aumentare la precisione del risultato che desideri specificando il tipo di file che stai cercando. Seleziona il tipo di file che desideri e poi premi b per continuare, oppure Smettere tornare indietro.
Una volta tornati alla schermata precedente selezionare Ricerca e premi Invio per continuare per iniziare il processo di recupero dati.
A questo punto Foremost chiederà che tipo di filesystem ha o usava il dispositivo, in questo caso era FAT o NTFS, seleziona il filesystem corretto, anche se è attualmente rotto e premi ACCEDERE.
Alla fine PhotoRec ti chiederà dove vuoi salvare i file, ho appena lasciato il Desktop ma puoi creare una cartella dedicata per questo, dopo aver scelto la destinazione premi C continuare.
Il processo inizierà e potrebbe durare alcuni minuti o ore a seconda delle dimensioni.
Al termine del processo PhotoRect notificherà la creazione di una directory con i file recuperati, in questo caso recup_dir* all'interno del Desktop precedentemente selezionato come destinazione.
Come con Foremost puoi elencare tutti i file dalla console:
Oppure puoi sfogliare i file usando il tuo file manager grafico preferito:
Conclusione sul recupero dei dati dal disco rigido con PhotoRec e Foremost:
Entrambi gli strumenti guidano il mercato del file carving, entrambi gli strumenti consentono di recuperare qualsiasi tipo di file, Foremost supporta il carving jpg, gif, png, bmp, avi, EXE, mpg, onda, riff, wmv, muoviti, PDF, ole, documento, cerniera lampo, raro, htm, e cpp e altro ancora. Entrambi gli strumenti sono compatibili con immagini disco come dd o per Encase. Mentre PhotoRec si basa sulla forza bruta fornendo un intaglio più profondo, Foremost si concentra su intestazioni e piè di pagina dei blocchi che funzionano più velocemente. Entrambi gli strumenti sono inclusi nelle suite forensi e nelle distribuzioni del sistema operativo più popolari come Deft/Deft Zero live o CAINE che sono state descritte in https://linuxhint.com/live_forensics_tools/.
L'utilizzo di PhotoRec o Foremost offre la possibilità di applicare strumenti forensi di alto livello anche per uso domestico, gli strumenti citati non hanno flag complessi e opzioni per aggiungere il loro avvio.
Spero che tu abbia trovato utile questo tutorial su Come recuperare i dati dal disco rigido. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e il networking.
