Recuperare file cancellati su HDD con Ubuntu

Recuperare file cancellati su HDD in Ubuntu 18.04

Oggi vedremo come recuperare file cancellati su HDD utilizzando la nostra distribuzione Ubuntu.

Come ben saprai Ubuntu è un sistema operativo open source e non possono mancare applicazioni per il recupero di file, per attività di computer forensics, Data Carving ecc.

Purtroppo, buona parte di questi, non hanno un interfaccia grafica e devono essere usati dal terminale. Non temere, non sono particolarmente difficile da usare, anzi seguendo tutti i passaggi che ti elenchero sarai in grado autonomamente di recuperare i file cancellati su HDD.

Come recuperare file cancellati su hard disk

quando un file viene cancellato ed eliminato dal cestino, in realtà è ancora presente sul disco, in quanto viene semplicemente rimosso dall’indice della tabella del file system. Quindi, fin quando lo spazio di memoria dov’era salvato non viene sovrascritto, è possibile recuperarlo.

Esistono diversi metodi e algoritmi di recupero, alcuni si basano sulla lettura delle tabelle del file system alla ricerca di file cancellati, altri invece analizzando direttamente i blocchi di memoria del dispositivo.I vari metodi di recupero li vedremo più avanti quando ti parlerò del funzionamento dei diversi programmi.

Vediamo ora quali sono i principali tools di recupero dati disponibili su Linux e come usarli.

Recuperare file cancellati con Foremost

Foremost è un programma da riga di comando in grado di recuperare e ricostruire i file persi basandosi su intestazione, struttura dei dati e footer. Questo metodi di recupero è definito Data Carving ed è indipendente dal file system. Può essere usato su qualsiasi supporto, pendrive, schede di memoria SD, hard disk, anche con file system danneggiato.

Il programma inizialmente fu sviluppato per l’”Air Force Office of Special Investigation” degli Stati Uniti, e per il “Center for Information Systems Security Studies and Research“. Successivamente venne reso disponibile il codice sorgente, facendolo così diventare un programma open source.

Foremost può lavorare anche su file immagine generati da dd, Encase, Safeback ecc, oltre che, naturalmente, direttamente sul dispositivo.

Può essere installato facilmente su qualsiasi distribuzione Linux. Puoi installarlo sia scaricando e compilando il codice sorgente a questo indirizzo, oppure tramite tramite i pacchetti disponibili nei repository delle principali  distribuzioni Linux.

Per installarlo su Debian, Ubuntu e le sue derivate, è sufficiente digitare il comando:

$ sudo apt install foremost

Procedura recupero dati cancellati

Una volta installato, puoi iniziare ad usarlo per recuperare file da qualsiasi dispositivo.

Supponiamo che hai la necessità di recuperare file cancellati per errore da una pendrive. Innanzi tutto devi individuare il device.

Per farlo, su Linux puoi usare il comando lsblk altrimenti df -h.

Recuperare file cancellati con Foremost
Recuperare file cancellati con Foremost

Normalmente una Pen Drive è individuata con /dev/sdb*Nel nostro esempio è /dev/sdb1.

Una volta individuato il device, crea una directory dove salvare i file recuperati da Foremost, per esempio /recovery/foremost:

$ sudo mkdir -p /recovery/foremost

A questo punto avvia foremost digitando il seguente comando:

$ sudo foremost -i /dev/sdb1 -o /recovery/foremost

Dove /dev/sdb1 è la partizione dove cercare i file cancellati e /recovery/foremost è la directory dove salvare i file recuperati.

Puoi usare foremost per recuperare file da un immagine, semplicemente sostituendo il percorso della partizione con il nome del file immagine:

$ sudo foremost -i nome_immagine -o /recovery/foremost

Tieni presente che poichè i file recuperati saranno di proprietà dell’utente root, potrai cambiare i permessi digitando il comando:

$ sudo chown -R user:groupuser /recovery/foremost

dove user:groupuser sono rispettivamente l’utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo).

Aggiungendo l’opzione -w avrai un analisi dei file recuperabili:

$ sudo foremost -w -i /dev/hdb1 -o /recovery/foremost

Per ridurre i tempi di attesa e velocizzare la procedura, puoi scegliere di recuperare solo un tipo specifico di file usando l’opzione -t seguita dal tipo di file che intendi recuperare:

$ sudo foremost -t jpg -i /dev/hdb1 -o /recovery/foremost

Se vuoi sapere i tipi di file supportati da Foremost usa il comando man:

$ man foremost

Recuperare file cancellati con Scalpel

Scalpel è un’applicazione da riga di comando per Linux che puoi usare per recuperare file cancellati da hard disk, pen drive, schede di memoria ecc. Il tool è basato su Foremost e il funzionamento è molto simile, ma è più efficace e può ottenere risultati migliori.

Il programma è disponibile nei repository delle principali distribuzioni Linux, tra cui Debian e Ubuntu. Quindi per installarlo sarà sufficiente digitare il comando:

$ sudo apt update 
$ sudo apt install scalpel

Dopo averlo installato, prima di avviarlo, devi indicare il tipo dei file che vuoi recuperare.

Per farlo devi editare da root, con un qualsiasi editor di testo, il file /etc/scalpel/scalpel.confdecommentando (cancellando il simbolo #) le righe corrispondenti ai tipi che vuoi ripristinare.

Per esempio, come editor potresti usare nano tramite il seguente comando:

sudo nano /etc/scalpel/scalpel.conf

Dopo aver salvato il file di configurazione di Scalpel, non devi fare altro che avviarlo usando la stessa sintassi usata per foremost:

sudo scalpel /dev/sdb1 -o ~/recovery

Dove /dev/sdb1 è la partizione da sottoporre a scansione e recovery la directory dove salvare i file trovati.

Se vuoi usare anche scalpel su un file immagine, devi semplicemente sostituire la partizione sorgente con il nome del file immagine.

sudo scalpel nome-immagine -o ~/recovery

Recupero dati con Testdisk e Photorec

Testdisk e Photorec sono due programmi open source e multi piattaforma usati, rispettivamente, per ripristinare partizioni cancellate e per il recupero di file.

Testdisk

Testdisk è stato progettato per  recuperare partizioni perse e/o rendere nuovamente avviabili i dischi

TestDisk puo’:

  1. Riparare partizioni cancellate;
  2. Recuperare il settore di avvio di una partizione FAT32 dal suo backup;
  3. Ricostruire il settore di avvio di una partizione FAT12/FAT16/FAT32;
  4. Riparare la tabella FAT;
  5. Ricostruire il settore di avvio di una partizione NTFS;
  6. Recuperare il settore di avvio di una partizione NTFS dal suo backup;
  7. Riparare l’MFT ;
  8. Localizzare la copia del SuperBlock di una partizione ext2/ext3/ext4;
  9. Recuperare file cancellati da un filesystem FAT, NTFS e ext2;
  10. Copiare file cancellati da una partizione FAT, NTFS e ext2/ext3/ext4.

Il programma non è particolarmente complicato e può essere usato sia da un utente esperto che da un utente alleprime armi.

Per chi ne sa poco o niente sul recupero dati, TestDisk puo’ essere usato per raccogliere informazioni dettagliate circa un disco non di avvio, che possono essere inviate a un tecnico per una analisi piu’ approfondita.

I file sorgenti e i binari eseguibili precompilati sono disponibili per DOS, Win32, MacOSX e Linux dalla pagina di download.

Dalla pagina del progetto, puoi consultare guide passo-passo ed esempi che ti aiutano a comprendere e a muovere i primi passi nell’utilizzo.

Photorec

PhotoRec è un programma open source e multi piattaforma, progettato per recuperare file persi da HardDisk, CDRom, Compact Flash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, chiavette USB , immagini grezze DD, immagini EnCase E01 ….

Il nome indica il fatto che è particolarmente efficace nel recupero di fotografie dalla memoria di macchine fotografiche digitali. Ma non farti ingannare, perché con PhotoRec puoi recuperare qualsiasi tipo di file.

PhotoRec ignora il file system, poiché fa ricorso alla tecnica del Data Carving, e quindi può essere usato anche su supporti danneggiati. Il riconoscimento dei file avviene basandosi su intestazione, struttura dei dati e footer.

Il programma è in grado di riconoscere circa 400 tipi di file.

Conclusione

Abbiamo visto diversi programma disponibili su Ubuntu che ti permettono di recuperare file cancellati sul proprio HDD. Nella guida sonos tati testati solo i primi due.

Se hai dubbi scrivimi nei commenti.

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003