Homepage » come » Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

    Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

    Esistono molte utilità per recuperare i file cancellati, ma cosa succede se non è possibile avviare il computer o l'intera unità è stata formattata? Ti mostreremo alcuni strumenti per scavare in profondità e recuperare i file eliminati più elusivi, o anche intere partizioni del disco rigido.

    Vi abbiamo mostrato modi semplici per recuperare i file cancellati accidentalmente, anche un semplice metodo che può essere fatto da un Live CD di Ubuntu, ma per i dischi rigidi che sono stati pesantemente corrotti, questi metodi non lo taglieranno. In questo articolo, esamineremo quattro strumenti che possono recuperare i dati dai dischi rigidi più incasinati, indipendentemente dal fatto che siano stati formattati per un computer Windows, Linux o Mac, o anche se la tabella delle partizioni viene cancellata completamente.

    Nota: questi strumenti non possono recuperare i dati che sono stati sovrascritti su un disco rigido. Se un file cancellato è stato sovrascritto dipende da molti fattori: più velocemente ti accorgi di voler recuperare un file, più è probabile che sarai in grado di farlo.

    La nostra configurazione

    Per mostrare questi strumenti, abbiamo impostato un piccolo disco rigido da 1 GB, con metà dello spazio partizionato come ext2, un file system utilizzato in Linux e metà dello spazio partizionato come FAT32, un file system utilizzato nei vecchi sistemi Windows. Abbiamo memorizzato dieci immagini casuali su ciascun disco rigido.

    Abbiamo quindi cancellato la tabella delle partizioni dal disco rigido eliminando le partizioni in GParted.

    I nostri dati sono persi per sempre?

    Installare gli strumenti

    Tutti gli strumenti che utilizzeremo sono in Ubuntu universo deposito.

    Per abilitare il repository, aprire Synaptic Package Manager facendo clic su Sistema in alto a sinistra, quindi Amministrazione> Gestore pacchetti Synaptic.

    Fai clic su Impostazioni> Repository e aggiungi un segno di spunta nella casella "Software Open Source gestito dalla community (universo)".

    Fare clic su Chiudi, quindi nella finestra principale di Gestione pacchetti Synaptic, fare clic sul pulsante Ricarica. Una volta ricaricato l'elenco dei pacchetti e ricostruito l'indice di ricerca, cercare e contrassegnare per l'installazione uno o tutti i seguenti pacchetti: TestDisk, primo, e bisturi.

    TestDisk include TestDisk, che può recuperare partizioni perse e riparare i settori di avvio, e PhotoRec, che può recuperare molti tipi diversi di file da tonnellate di diversi file system.

    primo, originariamente sviluppato dall'US Air Force Office of Special Investigations, recupera i file in base alle intestazioni e alle altre strutture interne. Innanzitutto funziona su hard disk o su file di immagini generati da vari strumenti.

    Finalmente, bisturi svolge le stesse funzioni di prima, ma si concentra su prestazioni migliorate e minore utilizzo della memoria. Scalpel può funzionare meglio se si dispone di una macchina meno recente con meno RAM.

    Recupera partizioni del disco rigido

    Se non è possibile montare il disco rigido, la sua tabella delle partizioni potrebbe essere danneggiata. Prima di iniziare a provare a recuperare i file importanti, potrebbe essere possibile ripristinare una o più partizioni sull'unità, recuperando tutti i file con un solo passaggio.

    TestDisk è lo strumento per il lavoro. Avvia aprendo un terminale (Applicazioni> Accessori> Terminale) e digitando:

    sudo testdisk

    Se lo desideri, puoi creare un file di registro, anche se non influirà sulla quantità di dati recuperati. Una volta effettuata la scelta, viene visualizzato un elenco dei supporti di memorizzazione sul dispositivo. Dovresti essere in grado di identificare il disco rigido dal quale vuoi recuperare le partizioni in base alle sue dimensioni e all'etichetta.

    TestDisk chiede di selezionare il tipo di tabella delle partizioni da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT32, ecc.) Selezionare Intel e premere Invio.

    Evidenzia Analizza e premi Invio.

    Nel nostro caso, il nostro piccolo disco rigido è stato precedentemente formattato come NTFS. Sorprendentemente, TestDisk trova questa partizione, anche se non è in grado di recuperarla.

    Trova anche le due partizioni che abbiamo appena cancellato. Siamo in grado di modificare i loro attributi o aggiungere più partizioni, ma li recupereremo semplicemente premendo Invio.

    Se TestDisk non ha trovato tutte le partizioni, puoi provare a eseguire una ricerca più approfondita selezionando tale opzione con i tasti freccia sinistra e destra. Abbiamo solo queste due partizioni, quindi le recupereremo selezionando Scrivi e premendo Invio.

    TestDisk ci informa che dovremo riavviare.

    Nota: se il tuo Live CD di Ubuntu non è persistente, al riavvio dovrai reinstallare tutti gli strumenti che hai installato in precedenza.

    Dopo il riavvio, entrambe le partizioni tornano ai loro stati originali, immagini e tutto.

    Recupera file di determinati tipi

    Per i seguenti esempi, abbiamo eliminato le 10 immagini da entrambe le partizioni e poi le abbiamo riformattate.

    PhotoRec

    Dei tre strumenti che mostreremo, PhotoRec è il più user-friendly, nonostante sia un'utilità basata su console. Per iniziare a recuperare i file, apri un terminale (Applicazioni> Accessori> Terminale) e digita:

    sudo photorec

    Per iniziare, ti viene chiesto di selezionare un dispositivo di archiviazione da cercare. Dovresti essere in grado di identificare il dispositivo giusto in base alle dimensioni e all'etichetta. Seleziona il dispositivo giusto, quindi premi Invio.

    PhotoRec chiede di selezionare il tipo di partizione da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT, ecc.) Dovresti selezionare Intel e premere Invio.

    Viene fornito un elenco delle partizioni sul disco rigido selezionato. Se si desidera ripristinare tutti i file su una partizione, selezionare Cerca e premere Invio.

    Tuttavia, questo processo può essere molto lento, e nel nostro caso vogliamo solo cercare file di immagini, quindi usiamo il tasto freccia destra per selezionare File Opt e premere Invio.

    PhotoRec può recuperare diversi tipi di file e deselezionarli ogni volta richiede molto tempo. Invece, premiamo "s" per cancellare tutte le selezioni, e poi troviamo i tipi di file appropriati - jpg, gif e png - e selezionali premendo il tasto freccia destra.

    Una volta selezionati questi tre, premiamo "b" per salvare queste selezioni.

    Premere Invio per tornare all'elenco delle partizioni del disco rigido. Vogliamo cercare entrambe le partizioni, quindi evidenziamo "Nessuna partizione" e "Cerca" e quindi premere Invio.

    PhotoRec richiede una posizione in cui archiviare i file recuperati. Se hai un disco rigido sano diverso, ti consigliamo di archiviare lì i file recuperati. Dal momento che non stiamo recuperando molto, lo memorizzeremo sul desktop del Live CD di Ubuntu.

    Nota: non ripristinare i file sul disco rigido dal quale si sta eseguendo il ripristino.

    PhotoRec è in grado di recuperare 20 immagini dalle partizioni sul nostro disco rigido!

    Un rapido sguardo nella directory recup_dir.1 che crea conferma che PhotoRec ha recuperato tutte le nostre immagini, salvo i nomi dei file.

    primo

    Foremost è un programma a riga di comando senza interfaccia interattiva come PhotoRec, ma offre una serie di opzioni da riga di comando per ottenere il maggior numero possibile di dati dal tuo drive..

    Per un elenco completo di opzioni che possono essere ottimizzate tramite la riga di comando, apri un terminale (Applicazioni> Accessori> Terminale) e digita:

    più importante -h

    Nel nostro caso, le opzioni della riga di comando che stiamo per utilizzare sono:

    • -t, un elenco separato da virgole di tipi di file da cercare. Nel nostro caso, questo è "jpeg, png, gif".
    • -v, abilitando la modalità verbose, dandoci maggiori informazioni su ciò che sta facendo soprattutto.
    • -o, la cartella di output per archiviare i file recuperati. Nel nostro caso, abbiamo creato una directory chiamata "foremost" sul desktop.
    • -i, l'input che verrà cercato per i file. Questa può essere un'immagine del disco in diversi formati; tuttavia, useremo un hard disk, / dev / sda.

    La nostra principale invocazione è:

    sudo foremost -t jpeg, png, gif -o primo -v -i / dev / sda

    La tua chiamata sarà diversa a seconda di ciò che stai cercando e dove lo stai cercando.

    Foremost è in grado di recuperare 17 dei 20 file memorizzati sul disco rigido.

    Guardando i file, possiamo confermare che questi file sono stati recuperati relativamente bene, anche se possiamo vedere alcuni errori nella miniatura di 00622449.jpg.

    Parte di questo potrebbe essere dovuta al filesystem ext2. Consigliamo principalmente di utilizzare l'opzione -d della riga di comando per i file system Linux come ext2.

    Eseguiremo di nuovo di nuovo, aggiungendo l'opzione -d della riga di comando alla nostra invocazione più importante:

    sudo foremost -t jpeg, png, gif -d -o foremost -v -i / dev / sda

    Questa volta, soprattutto è in grado di recuperare tutte e 20 le immagini!

    Un'ultima occhiata alle immagini rivela che le immagini sono state recuperate senza problemi.

    Bisturi

    Scalpel è un altro potente programma che, come Foremost, è altamente configurabile. A differenza di Foremost, Scalpel richiede di modificare un file di configurazione prima di tentare qualsiasi recupero di dati.

    Qualsiasi editor di testo funzionerà, ma useremo gedit per cambiare il file di configurazione. In una finestra di terminale (Applicazioni> Accessori> Terminale), digitare:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf contiene informazioni su diversi tipi di file. Scorri questo file e le righe di commento che iniziano con un tipo di file che desideri recuperare (ad esempio, rimuovi il carattere "#" all'inizio di quelle righe).

    Salva il file e chiudilo. Ritorna alla finestra del terminale.

    Scalpel ha anche un sacco di opzioni da riga di comando che possono aiutarti a cercare in modo rapido ed efficace; tuttavia, definiremo semplicemente il dispositivo di input (/ dev / sda) e la cartella di output (una cartella chiamata "bisturi" che abbiamo creato sul desktop).

    La nostra invocazione è:

    bisturi sudo / dev / sda -o bisturi

    Scalpel è in grado di recuperare 18 dei nostri 20 file.

    Una rapida occhiata al bisturi dei file recuperato rivela che la maggior parte dei nostri file è stata ripristinata con successo, anche se c'erano alcuni problemi (ad esempio 00000012.jpg).

    Conclusione

    Nel nostro rapido esempio di esempio, TestDisk è stato in grado di recuperare due partizioni cancellate e PhotoRec e Foremost sono stati in grado di recuperare tutte e 20 le immagini cancellate. Scalpel ha recuperato la maggior parte dei file, ma è molto probabile che giocare con le opzioni della riga di comando per il bisturi ci avrebbe permesso di recuperare tutte e 20 le immagini.

    Questi strumenti sono salvavita quando qualcosa va storto con il tuo disco rigido. Se i tuoi dati sono sul disco fisso da qualche parte, uno di questi strumenti li rintraccerà!