Questo tutorial mostra come recuperare i dati dai dispositivi di archiviazione in Linux. In questo caso i dati saranno recuperati da una pendrive USB SanDisk da 32 GB, ma il processo mostrato in questo tutorial è lo stesso di un normale disco rigido. Questo tutorial si concentrerà su due dei più popolari strumenti di intaglio dei file, Foremost e PhotoRect, entrambi descritti nell’articolo File Carving Tools. Entrambi saranno spiegati dal processo di installazione su Debian 10 Buster al recupero dei dati.
Recupero dati dal disco rigido con Foremost:
Per iniziare vediamo i dispositivi di memorizzazione collegati utilizzando il comando lsblk, nella console di esecuzione:
Lsblk mostrerà tutti i dispositivi di archiviazione disponibili e le partizioni, compresi i dispositivi swap e ottici, in questo caso voglio il dispositivo sdb.
Nota: per saperne di più sul comando lsblk leggi Come elencare tutti i dispositivi disco di Linux.
Come puoi vedere la pendrive USB da 32 GB si chiama sdb ed è il dispositivo su cui lavorerò.
Recupero dati da un drive USB con Foremost:
Per iniziare il recupero dati da un drive USB inizia installando Foremost usando il gestore di pacchetti APT su Debian o distribuzioni Linux basate su di esso eseguendo:
Una volta installato è possibile visualizzare la pagina man per controllare tutte le opzioni disponibili:
Dalla pagina man si capisce che il flag -i serve a determinare un file di input, dal quale Foremost inizierà a lavorare. Di solito è finalizzato a lavorare con immagini come queste prodotte da strumenti come dd o Encase. Per lanciare Foremost nel modo più semplice, senza ulteriori flag, eseguite il seguente comando sostituendo /sdb con l’ID del dispositivo da cui volete recuperare i dati.
Eseguite:
Dove sdb ha messo il dispositivo corretto.
Una volta eseguito il processo di carving sarà simile a:
Nota: si possono anche specificare partizioni come per esempio /dev/sdb1.
Quando il processo finisce eseguite ls per confermare la creazione di una nuova directory chiamata output:
Come potete vedere la directory output esiste, per vedere i file recuperati entrate con il comando cd (Change Directory) e poi eseguite ls:
# ls
All’interno vedrete le directory per tutti i tipi di file che Foremost è riuscito a recuperare, inoltre vedrete un file chiamato audit.txt con un rapporto sui file scolpiti.
Puoi controllare quali file sono stati trovati all’interno di ogni directory eseguendo ls <directory>:
È anche possibile sfogliare tutti i file recuperati attraverso un file manager grafico:
Recupero dati dal disco rigido con PhotoRec:
PhotoRect è insieme a Foremost il più popolare strumento di intaglio dei file o di recupero dati sia per la forense professionale che per uso domestico. Mentre Foremost fa un recupero più intelligente mostrando una performance più veloce, la forza bruta di PhotoRec mostra risultati migliori nell’intaglio dei file. Questa sezione mostra come effettuare il recupero dei dati dal disco rigido utilizzando PhotoRec.
Per iniziare su Debian e distribuzioni Linux basate, installate photorec eseguendo:
La pagina man di PhotoRec è quasi vuota, Photorec è piuttosto semplice da usare e deve solo essere eseguito, un’interfaccia didattica amichevole simile a quella di CFDISK apparirà per guidarvi durante tutto il processo.
Una volta installato eseguitelo chiamando il programma:
Ricordatevi di eseguire PhotoRec con abbastanza permessi per accedere al dispositivo da scolpire.
Nella prima schermata è necessario selezionare il disco o l’immagine sorgente da cui PhotoRec deve recuperare i dati. In questo caso sto selezionando il dispositivo /dev/sdb come mostrato nell’immagine qui sotto:
In questo passo devi selezionare la partizione da cui vuoi recuperare i dati.
Se le partizioni non vengono trovate ed elencate prima di procedere con una ricerca utilizzando le frecce della tastiera spostarsi su File Opt per esplorare le opzioni disponibili come mostrato nell’immagine sottostante:
Come si può vedere all’interno di File Opt è possibile aumentare la precisione del risultato desiderato specificando il tipo di file che si sta cercando. Seleziona il tipo di file che vuoi e poi premi b per continuare, o Quit per tornare indietro.
Una volta tornato alla schermata precedente seleziona Cerca e premi Invio per continuare e iniziare il processo di recupero dati.
A questo punto Foremost chiederà che tipo di filesystem ha o aveva il dispositivo, in questo caso era FAT o NTFS, selezionare il filesystem corretto, anche se attualmente è rotto e premere INVIO.
Finalmente PhotoRec vi chiederà dove volete salvare i file, io ho appena lasciato il Desktop ma potete creare una cartella dedicata, dopo aver scelto la destinazione premete C per continuare.
Il processo inizierà e può durare alcuni minuti o ore a seconda delle dimensioni.
Al termine del processo PhotoRect notificherà la creazione di una directory con i file recuperati, in questo caso recup_dir* all’interno del Desktop precedentemente selezionato come destinazione.
Come con Foremost è possibile elencare tutti i file dalla console:
Oppure è possibile sfogliare i file utilizzando il file manager grafico preferito:
Conclusione sul recupero dati dal disco rigido con PhotoRec e Foremost:
Entrambi gli strumenti guidano il mercato dell’intaglio dei file, entrambi gli strumenti permettono di recuperare qualsiasi tipo di file, Foremost supporta l’intaglio di jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, e cpp e altro. Entrambi gli strumenti sono compatibili con immagini disco come dd o per Encase. Mentre PhotoRec si basa sulla forza bruta per fornire un’incisione più profonda, Foremost si concentra sulle intestazioni e i piè di pagina dei blocchi lavorando più velocemente. Entrambi gli strumenti sono inclusi nelle più popolari suite forensi e distribuzioni del sistema operativo come Deft/Deft Zero live o CAINE che sono stati descritti a https://linuxhint.com/live_forensics_tools/.
Utilizzando PhotoRec o Foremost si ha la possibilità di applicare strumenti forensi di alto livello anche per uso domestico, gli strumenti menzionati non hanno bandiere complesse e opzioni per aggiungere il loro lancio.
Spero che abbiate trovato utile questo tutorial su Come recuperare dati dal disco rigido. Continuate a seguire LinuxHint per altri suggerimenti e aggiornamenti su Linux e il networking.