17Aug

Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

Ci sono molte utility per recuperare i file cancellati, ma cosa succede se non è possibile avviare il computer, o l'intera unità è stata formattata? Ti mostreremo alcuni strumenti per scavare in profondità e recuperare i file eliminati più sfuggenti, o anche intere partizioni del disco rigido.

Abbiamo mostrato modi semplici per recuperare i file cancellati accidentalmente, anche un semplice metodo che può essere fatto da un Live CD di Ubuntu, ma per i dischi rigidi che sono stati pesantemente corrotti, questi metodi non lo taglieranno. In questo articolo, esamineremo quattro strumenti che possono recuperare i dati dai dischi rigidi più incasinati, indipendentemente dal fatto che siano stati formattati per un computer Windows, Linux o Mac, o anche se la tabella delle partizioni viene cancellata completamente.

Nota: questi strumenti non possono recuperare i dati che sono stati sovrascritti su un disco rigido. Se un file cancellato è stato sovrascritto dipende da molti fattori: più rapidamente ti accorgi di voler recuperare un file, più è probabile che sarai in grado di farlo.

La nostra configurazione

Per mostrare questi strumenti, abbiamo impostato un piccolo disco rigido da 1 GB, con metà dello spazio partizionato come ext2, un file system utilizzato in Linux e metà dello spazio partizionato come FAT32, un file system utilizzato invecchi sistemi Windows. Abbiamo memorizzato dieci immagini casuali su ciascun disco rigido.

Abbiamo quindi cancellato la tabella delle partizioni dal disco rigido eliminando le partizioni in GParted.

I nostri dati sono persi per sempre?

Installazione degli strumenti

Tutti gli strumenti che useremo sono nell'universo dell'universo di Ubuntu.

Per abilitare il repository, aprire Synaptic Package Manager facendo clic su Sistema in alto a sinistra, quindi su Amministrazione & gt;Gestore pacchetti Synaptic.

Fai clic su Impostazioni & gt;Repository e aggiungi un segno di spunta nella casella "Software Open Source( universo) gestito dalla community".

Fare clic su Chiudi, quindi nella finestra principale di Gestione pacchetti Synaptic, fare clic sul pulsante Ricarica. Una volta ricaricato l'elenco dei pacchetti e ricostruito l'indice di ricerca, cercare e contrassegnare per l'installazione uno o tutti i seguenti pacchetti: testdisk , primariamente e bisturi .

Testdisk include TestDisk, che può recuperare partizioni perse e riparare settori di avvio, e PhotoRec, che può recuperare molti tipi diversi di file da tonnellate di diversi file system.

Foremost , originariamente sviluppato dall'US Air Force Office of Special Investigations, recupera i file in base alle intestazioni e alle altre strutture interne. Innanzitutto funziona su hard disk o guida file di immagini generati da vari strumenti.

Infine, il bisturi svolge le stesse funzioni di prima, ma si concentra su prestazioni migliorate e minore utilizzo della memoria. Scalpel può funzionare meglio se si dispone di una macchina meno recente con meno RAM.

Recupero partizioni del disco rigido

Se non è possibile montare il disco rigido, la sua tabella delle partizioni potrebbe essere danneggiata. Prima di iniziare a provare a recuperare i file importanti, potrebbe essere possibile ripristinare una o più partizioni sull'unità, recuperando tutti i file con un solo passaggio.

Testdisk è lo strumento per il lavoro. Avvia aprendo un terminale( Applicazioni & gt; Accessori & gt; Terminale) e digitando:

sudo testdisk

Se desideri, puoi creare un file di registro, anche se non influirà sulla quantità di dati che recupererai. Una volta effettuata la scelta, viene visualizzato un elenco dei supporti di memorizzazione sul dispositivo. Dovresti essere in grado di identificare il disco rigido dal quale vuoi recuperare le partizioni in base alle sue dimensioni e all'etichetta.

TestDisk chiede di selezionare il tipo di tabella delle partizioni da cercare. Nella maggior parte dei casi( ext2 / 3, NTFS, FAT32, ecc.) Dovresti selezionare Intel e premere Invio.

Evidenzia Analizza e premi invio.

Nel nostro caso, il nostro piccolo disco rigido è stato precedentemente formattato come NTFS.Sorprendentemente, TestDisk trova questa partizione, anche se non è in grado di recuperarla.

Trova anche le due partizioni che abbiamo appena cancellato. Siamo in grado di modificare i loro attributi o aggiungere più partizioni, ma li recupereremo semplicemente premendo Invio.

Se TestDisk non ha trovato tutte le partizioni, puoi provare a eseguire una ricerca più approfondita selezionando tale opzione con i tasti freccia sinistra e destra. Abbiamo solo queste due partizioni, quindi le recupereremo selezionando Scrivi e premendo Invio.

Testdisk ci informa che dovremo riavviare.

Nota: se il tuo Live CD di Ubuntu non è persistente, al riavvio dovrai reinstallare tutti gli strumenti che hai installato in precedenza.

Dopo il riavvio, entrambe le partizioni tornano ai loro stati originali, immagini e tutto.

Ripristina file di alcuni tipi

Per i seguenti esempi, abbiamo eliminato le 10 immagini da entrambe le partizioni e quindi le abbiamo riformattate.

PhotoRec

Dei tre strumenti che mostreremo, PhotoRec è il più user-friendly, nonostante sia un'utilità basata su console. Per iniziare a recuperare i file, apri un terminale( Applicazioni & gt; Accessori & gt; Terminale) e digita:

sudo photorec

Per iniziare, ti viene chiesto di selezionare un dispositivo di archiviazione da cercare. Dovresti essere in grado di identificare il dispositivo giusto in base alle dimensioni e all'etichetta. Seleziona il dispositivo giusto, quindi premi Invio.

PhotoRec chiede di selezionare il tipo di partizione da cercare. Nella maggior parte dei casi( ext2 / 3, NTFS, FAT, ecc.) Dovresti selezionare Intel e premere Invio.

Viene fornito un elenco delle partizioni sul disco rigido selezionato. Se vuoi recuperare tutti i file su una partizione, seleziona Cerca e premi invio.

Tuttavia, questo processo può essere molto lento, e nel nostro caso vogliamo solo cercare i file di immagini, quindi usiamo il tasto freccia destra per selezionare File Opt e premere Invio.

PhotoRec può recuperare molti tipi diversi di file e deselezionarli ogni volta richiede molto tempo. Invece, premiamo "s" per cancellare tutte le selezioni, e poi troviamo i tipi di file appropriati - jpg, gif e png - e selezionali premendo il tasto freccia destra.

Una volta selezionati questi tre, premiamo "b" per salvare queste selezioni.

Premere invio per tornare all'elenco delle partizioni del disco rigido. Vogliamo cercare entrambe le partizioni, quindi evidenziamo "Nessuna partizione" e "Cerca" e quindi premere Invio.

PhotoRec richiede una posizione in cui archiviare i file recuperati. Se hai un disco rigido sano diverso, ti consigliamo di archiviare i file recuperati lì.Dal momento che non stiamo recuperando molto, lo memorizzeremo sul desktop del Live CD di Ubuntu.

Nota: non ripristinare i file sul disco rigido dal quale si sta eseguendo il ripristino.

PhotoRec è in grado di recuperare 20 immagini dalle partizioni sul nostro disco rigido!

Un rapido sguardo nella directory recup_dir.1 che crea conferma che PhotoRec ha recuperato tutte le nostre immagini, salvo i nomi dei file.

Foremost

Foremost è un programma a riga di comando senza interfaccia interattiva come PhotoRec, ma offre una serie di opzioni da riga di comando per ottenere il maggior numero possibile di dati dall'unità che hai.

Per un elenco completo di opzioni che possono essere ottimizzate tramite la riga di comando, aprire un terminale( Applicazioni & gt; Accessori & gt; Terminale) e digitare:

più importante -h

Nel nostro caso, le opzioni della riga di comando che stiamo andandoda usare sono:

  • -t, un elenco separato da virgole di tipi di file da cercare. Nel nostro caso, questo è "jpeg, png, gif".
  • -v, abilitando la modalità dettagliata, fornendoci maggiori informazioni su ciò che sta facendo principalmente.
  • -o, la cartella di output in cui archiviare i file recuperati. Nel nostro caso, abbiamo creato una directory chiamata "foremost" sul desktop.
  • -i, l'input che verrà cercato per i file. Questa può essere un'immagine del disco in diversi formati;tuttavia, useremo un hard disk, /dev/ sda.

La nostra invocazione più importante è:

sudo foremost -t jpeg, png, gif -o foremost -v -i /dev/ sda

L'invocazione sarà diversa a seconda di ciò che stai cercando e dove lo stai cercando.

Foremost è in grado di recuperare 17 dei 20 file memorizzati sul disco rigido.

Guardando i file, possiamo confermare che questi file sono stati recuperati relativamente bene, anche se possiamo vedere alcuni errori nella miniatura di 00622449.jpg.

Parte di questo potrebbe essere dovuta al filesystem ext2.Consigliamo principalmente l'uso dell'opzione -d della riga di comando per i file system Linux come ext2.

Torneremo ancora più avanti, aggiungendo l'opzione -d della riga di comando alla nostra invocazione più avanzata:

sudo foremost -t jpeg, png, gif -d -o foremost -v -i /dev/ sda

Questa volta, soprattutto è in grado direcupera tutte le 20 immagini!

Un'ultima occhiata alle immagini rivela che le immagini sono state recuperate senza problemi.

Scalpel

Scalpel è un altro potente programma che, come Foremost, è altamente configurabile. A differenza di Foremost, Scalpel richiede di modificare un file di configurazione prima di tentare qualsiasi recupero di dati.

Qualsiasi editor di testo funzionerà, ma useremo gedit per modificare il file di configurazione. In una finestra di terminale( Applicazioni & gt; Accessori & gt; Terminale), digitare:

sudo gedit /etc/scalpel/ scalpel.conf

scalpel.conf contiene informazioni su un numero di diversi tipi di file. Scorri questo file e le righe di commento che iniziano con un tipo di file che desideri recuperare( ad esempio rimuovi il carattere "#" all'inizio di quelle righe).

Salva il file e chiudilo. Ritorna alla finestra del terminale.

Scalpel ha anche un sacco di opzioni da riga di comando che possono aiutarti a cercare in modo rapido ed efficace;tuttavia, definiremo semplicemente il dispositivo di input( /dev/ sda) e la cartella di output( una cartella denominata "bisturi" che abbiamo creato sul desktop).

La nostra invocazione è:

sudo bisturi /dev/ sda -o bisturi

Scalpel è in grado di recuperare 18 dei nostri 20 file.

Una rapida occhiata al bisturi dei file recuperato rivela che la maggior parte dei nostri file è stata ripristinata con successo, sebbene ci fossero alcuni problemi( ad es. 00000012.jpg).

Conclusione

Nel nostro esempio di gioco rapido, TestDisk è stato in grado di recuperare due partizioni cancellate e PhotoRec e Foremost sono stati in grado di recuperare tutte e 20 le immagini cancellate. Scalpel ha recuperato la maggior parte dei file, ma è molto probabile che giocare con le opzioni della riga di comando per il bisturi ci avrebbe permesso di recuperare tutte e 20 le immagini.

Questi strumenti sono salvavita quando qualcosa va storto con il tuo disco rigido. Se i tuoi dati sono sul disco fisso da qualche parte, uno di questi strumenti li rintraccerà!