Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu
Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

Video: Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu

Video: Recupera i dati come un esperto forense utilizzando un Live CD di Ubuntu
Video: Microsoft brings the new Windows Media Player to Windows 10 | How to get it on Windows 10 - YouTube 2024, Aprile
Anonim

Esistono molte utilità per recuperare i file cancellati, ma cosa succede se non è possibile avviare il computer o l'intera unità è stata formattata? Ti mostreremo alcuni strumenti per scavare in profondità e recuperare i file eliminati più sfuggenti, o anche intere partizioni del disco rigido.

Vi abbiamo mostrato modi semplici per recuperare i file cancellati accidentalmente, anche un semplice metodo che può essere fatto da un Live CD di Ubuntu, ma per i dischi rigidi che sono stati pesantemente corrotti, questi metodi non lo taglieranno. In questo articolo, esamineremo quattro strumenti che possono recuperare i dati dai dischi rigidi più incasinati, indipendentemente dal fatto che siano stati formattati per un computer Windows, Linux o Mac, o anche se la tabella delle partizioni viene cancellata completamente.

Nota: questi strumenti non possono recuperare i dati che sono stati sovrascritti su un disco rigido. Se un file cancellato è stato sovrascritto dipende da molti fattori: più rapidamente ti accorgi di voler recuperare un file, più è probabile che sarai in grado di farlo.

La nostra configurazione

Per mostrare questi strumenti, abbiamo impostato un piccolo disco rigido da 1 GB, con metà dello spazio partizionato come ext2, un file system utilizzato in Linux e metà dello spazio partizionato come FAT32, un file system utilizzato nei vecchi sistemi Windows. Abbiamo memorizzato dieci immagini casuali su ciascun disco rigido.

Abbiamo quindi cancellato la tabella delle partizioni dal disco rigido eliminando le partizioni in GParted.
Abbiamo quindi cancellato la tabella delle partizioni dal disco rigido eliminando le partizioni in GParted.
I nostri dati sono persi per sempre?
I nostri dati sono persi per sempre?

Installare gli strumenti

Tutti gli strumenti che utilizzeremo sono in Ubuntu universo repository.

Per abilitare il repository, aprire Gestione pacchetti Synaptic facendo clic su Sistema in alto a sinistra, quindi Amministrazione> Gestore pacchetti Synaptic.

Fai clic su Impostazioni> Repository e aggiungi un segno di spunta nella casella "Software Open Source (universo) gestito dalla community".

Image
Image

Fare clic su Chiudi, quindi nella finestra principale di Gestione pacchetti Synaptic, fare clic sul pulsante Ricarica. Una volta ricaricato l'elenco dei pacchetti e ricostruito l'indice di ricerca, cercare e contrassegnare per l'installazione uno o tutti i seguenti pacchetti: TestDisk, primo, e bisturi.

TestDisk include TestDisk, che può recuperare partizioni perse e riparare i settori di avvio, e PhotoRec, che può recuperare molti tipi diversi di file da tonnellate di diversi file system.

Image
Image

primo, originariamente sviluppato dall'US Air Force Office of Special Investigations, recupera i file in base alle intestazioni e alle altre strutture interne. Innanzitutto funziona su hard disk o guida file di immagini generati da vari strumenti.

Image
Image

Finalmente, bisturi svolge le stesse funzioni di prima, ma si concentra su prestazioni migliorate e minore utilizzo della memoria. Scalpel può funzionare meglio se si dispone di una macchina meno recente con meno RAM.

Image
Image

Recuperare le partizioni del disco rigido

Se non è possibile montare il disco rigido, la sua tabella delle partizioni potrebbe essere danneggiata. Prima di iniziare a provare a recuperare i file importanti, potrebbe essere possibile ripristinare una o più partizioni sull'unità, recuperando tutti i file con un solo passaggio.

TestDisk è lo strumento per il lavoro. Avvia aprendo un terminale (Applicazioni> Accessori> Terminale) e digitando:

sudo testdisk
Se lo desideri, puoi creare un file di registro, anche se non influirà sulla quantità di dati recuperati. Una volta effettuata la scelta, viene visualizzato un elenco dei supporti di memorizzazione sul dispositivo. Dovresti essere in grado di identificare il disco rigido dal quale vuoi recuperare le partizioni in base alle sue dimensioni e all'etichetta.
Se lo desideri, puoi creare un file di registro, anche se non influirà sulla quantità di dati recuperati. Una volta effettuata la scelta, viene visualizzato un elenco dei supporti di memorizzazione sul dispositivo. Dovresti essere in grado di identificare il disco rigido dal quale vuoi recuperare le partizioni in base alle sue dimensioni e all'etichetta.
TestDisk ti chiede di selezionare il tipo di tabella delle partizioni da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT32, ecc.) Dovresti selezionare Intel e premere Invio.
TestDisk ti chiede di selezionare il tipo di tabella delle partizioni da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT32, ecc.) Dovresti selezionare Intel e premere Invio.
Evidenzia Analizza e premi Invio.
Evidenzia Analizza e premi Invio.
Nel nostro caso, il nostro piccolo disco rigido è stato precedentemente formattato come NTFS. Sorprendentemente, TestDisk trova questa partizione, anche se non è in grado di recuperarla.
Nel nostro caso, il nostro piccolo disco rigido è stato precedentemente formattato come NTFS. Sorprendentemente, TestDisk trova questa partizione, anche se non è in grado di recuperarla.
Trova anche le due partizioni che abbiamo appena cancellato. Siamo in grado di modificare i loro attributi o aggiungere più partizioni, ma li recupereremo semplicemente premendo Invio.
Trova anche le due partizioni che abbiamo appena cancellato. Siamo in grado di modificare i loro attributi o aggiungere più partizioni, ma li recupereremo semplicemente premendo Invio.
Se TestDisk non ha trovato tutte le partizioni, puoi provare a eseguire una ricerca più approfondita selezionando tale opzione con i tasti freccia sinistra e destra. Abbiamo solo queste due partizioni, quindi le recupereremo selezionando Scrivi e premendo Invio.
Se TestDisk non ha trovato tutte le partizioni, puoi provare a eseguire una ricerca più approfondita selezionando tale opzione con i tasti freccia sinistra e destra. Abbiamo solo queste due partizioni, quindi le recupereremo selezionando Scrivi e premendo Invio.
TestDisk ci informa che dovremo riavviare.
TestDisk ci informa che dovremo riavviare.
Image
Image

Nota: se il tuo Live CD di Ubuntu non è persistente, al riavvio dovrai reinstallare tutti gli strumenti che hai installato in precedenza.

Dopo il riavvio, entrambe le partizioni tornano ai loro stati originali, immagini e tutto.

Image
Image

Recupera file di determinati tipi

Per i seguenti esempi, abbiamo eliminato le 10 immagini da entrambe le partizioni e quindi le abbiamo riformattate.

PhotoRec

Dei tre strumenti che mostreremo, PhotoRec è il più user-friendly, nonostante sia un'utilità basata su console. Per iniziare a recuperare i file, apri un terminale (Applicazioni> Accessori> Terminale) e digita:

sudo photorec

Per iniziare, viene richiesto di selezionare un dispositivo di archiviazione da cercare. Dovresti essere in grado di identificare il dispositivo giusto in base alle dimensioni e all'etichetta. Seleziona il dispositivo giusto, quindi premi Invio.

PhotoRec chiede di selezionare il tipo di partizione da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT, ecc.) Dovresti selezionare Intel e premere Invio.
PhotoRec chiede di selezionare il tipo di partizione da cercare. Nella maggior parte dei casi (ext2 / 3, NTFS, FAT, ecc.) Dovresti selezionare Intel e premere Invio.
Viene fornito un elenco delle partizioni sul disco rigido selezionato.Se vuoi recuperare tutti i file su una partizione, seleziona Cerca e premi invio.
Viene fornito un elenco delle partizioni sul disco rigido selezionato.Se vuoi recuperare tutti i file su una partizione, seleziona Cerca e premi invio.

Tuttavia, questo processo può essere molto lento e nel nostro caso vogliamo solo cercare i file di immagini, quindi usiamo il tasto freccia destra per selezionare File Opt e premere Invio.

PhotoRec può recuperare diversi tipi di file e deselezionarli ogni volta richiede molto tempo. Invece, premiamo "s" per cancellare tutte le selezioni, e poi troviamo i tipi di file appropriati - jpg, gif e png - e selezionali premendo il tasto freccia destra.
PhotoRec può recuperare diversi tipi di file e deselezionarli ogni volta richiede molto tempo. Invece, premiamo "s" per cancellare tutte le selezioni, e poi troviamo i tipi di file appropriati - jpg, gif e png - e selezionali premendo il tasto freccia destra.
Una volta selezionati questi tre, premiamo "b" per salvare queste selezioni.
Una volta selezionati questi tre, premiamo "b" per salvare queste selezioni.
Premere Invio per tornare all'elenco delle partizioni del disco rigido. Vogliamo cercare entrambe le partizioni, quindi evidenziamo "Nessuna partizione" e "Cerca" e quindi premere Invio.
Premere Invio per tornare all'elenco delle partizioni del disco rigido. Vogliamo cercare entrambe le partizioni, quindi evidenziamo "Nessuna partizione" e "Cerca" e quindi premere Invio.
PhotoRec richiede una posizione in cui archiviare i file recuperati. Se hai un disco rigido sano diverso, ti consigliamo di archiviare i file recuperati lì. Dal momento che non stiamo recuperando molto, lo memorizzeremo sul desktop del Live CD di Ubuntu.
PhotoRec richiede una posizione in cui archiviare i file recuperati. Se hai un disco rigido sano diverso, ti consigliamo di archiviare i file recuperati lì. Dal momento che non stiamo recuperando molto, lo memorizzeremo sul desktop del Live CD di Ubuntu.

Nota: non ripristinare i file sul disco rigido dal quale si sta eseguendo il ripristino.

PhotoRec è in grado di recuperare 20 immagini dalle partizioni sul nostro disco rigido!
PhotoRec è in grado di recuperare 20 immagini dalle partizioni sul nostro disco rigido!
Un rapido sguardo nella directory recup dir.1 che crea conferma che PhotoRec ha recuperato tutte le nostre immagini, salvo i nomi dei file.
Un rapido sguardo nella directory recup dir.1 che crea conferma che PhotoRec ha recuperato tutte le nostre immagini, salvo i nomi dei file.
Image
Image

primo

Foremost è un programma a riga di comando senza interfaccia interattiva come PhotoRec, ma offre una serie di opzioni da riga di comando per ottenere il maggior numero possibile di dati dal tuo disco.

Per un elenco completo di opzioni che possono essere ottimizzate tramite la riga di comando, apri un terminale (Applicazioni> Accessori> Terminale) e digita:

foremost –h

Nel nostro caso, le opzioni della riga di comando che stiamo per utilizzare sono:

  • -t, un elenco separato da virgole di tipi di file da cercare. Nel nostro caso, questo è "jpeg, png, gif".
  • -v, abilitando la modalità verbose, dandoci più informazioni su ciò che sta facendo principalmente.
  • -o, la cartella di output per archiviare i file recuperati. Nel nostro caso, abbiamo creato una directory chiamata "foremost" sul desktop.
  • -i, l'input che verrà cercato per i file. Questa può essere un'immagine del disco in diversi formati; tuttavia, useremo un hard disk, / dev / sda.

La nostra principale invocazione è:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

La tua chiamata sarà diversa a seconda di ciò che stai cercando e dove lo stai cercando.

Foremost è in grado di recuperare 17 dei 20 file memorizzati sul disco rigido.
Foremost è in grado di recuperare 17 dei 20 file memorizzati sul disco rigido.
Guardando i file, possiamo confermare che questi file sono stati recuperati relativamente bene, anche se possiamo vedere alcuni errori nella miniatura di 00622449.jpg.
Guardando i file, possiamo confermare che questi file sono stati recuperati relativamente bene, anche se possiamo vedere alcuni errori nella miniatura di 00622449.jpg.
Parte di questo potrebbe essere dovuta al filesystem ext2. Consigliamo principalmente l'uso dell'opzione -d della riga di comando per i file system Linux come ext2.
Parte di questo potrebbe essere dovuta al filesystem ext2. Consigliamo principalmente l'uso dell'opzione -d della riga di comando per i file system Linux come ext2.

Eseguiremo di nuovo di nuovo, aggiungendo l'opzione -d della riga di comando alla nostra invocazione più importante:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda
Questa volta, soprattutto è in grado di recuperare tutte e 20 le immagini!
Questa volta, soprattutto è in grado di recuperare tutte e 20 le immagini!
Un'ultima occhiata alle immagini rivela che le immagini sono state recuperate senza problemi.
Un'ultima occhiata alle immagini rivela che le immagini sono state recuperate senza problemi.
Image
Image

Bisturi

Scalpel è un altro potente programma che, come Foremost, è altamente configurabile. A differenza di Foremost, Scalpel richiede di modificare un file di configurazione prima di tentare qualsiasi recupero di dati.

Qualsiasi editor di testo funzionerà, ma useremo gedit per modificare il file di configurazione. In una finestra di terminale (Applicazioni> Accessori> Terminale), digitare:

sudo gedit /etc/scalpel/scalpel.conf
scalpel.conf contiene informazioni su diversi tipi di file. Scorri questo file e le righe di commento che iniziano con un tipo di file che desideri recuperare (ad esempio rimuovi il carattere "#" all'inizio di quelle righe).
scalpel.conf contiene informazioni su diversi tipi di file. Scorri questo file e le righe di commento che iniziano con un tipo di file che desideri recuperare (ad esempio rimuovi il carattere "#" all'inizio di quelle righe).
Salva il file e chiudilo. Ritorna alla finestra del terminale.
Salva il file e chiudilo. Ritorna alla finestra del terminale.

Scalpel ha anche un sacco di opzioni da riga di comando che possono aiutarti a cercare in modo rapido ed efficace; tuttavia, definiremo semplicemente il dispositivo di input (/ dev / sda) e la cartella di output (una cartella chiamata "bisturi" che abbiamo creato sul desktop).

La nostra invocazione è:

sudo scalpel /dev/sda –o scalpel
Scalpel è in grado di recuperare 18 dei nostri 20 file.
Scalpel è in grado di recuperare 18 dei nostri 20 file.
Un rapido sguardo al bisturi dei file recuperato rivela che la maggior parte dei nostri file è stata ripristinata con successo, anche se ci sono stati alcuni problemi (ad esempio 00000012.jpg).
Un rapido sguardo al bisturi dei file recuperato rivela che la maggior parte dei nostri file è stata ripristinata con successo, anche se ci sono stati alcuni problemi (ad esempio 00000012.jpg).
Image
Image

Conclusione

Nel nostro rapido esempio di esempio, TestDisk è stato in grado di recuperare due partizioni cancellate e PhotoRec e Foremost sono stati in grado di recuperare tutte e 20 le immagini cancellate. Scalpel ha recuperato la maggior parte dei file, ma è molto probabile che giocare con le opzioni della riga di comando per il bisturi ci avrebbe permesso di recuperare tutte e 20 le immagini.

Questi strumenti sono salvavita quando qualcosa va storto con il tuo disco rigido. Se i tuoi dati sono sul disco fisso da qualche parte, uno di questi strumenti li rintraccerà!

Consigliato:

Geek esperto: navigare nello stile della riga di comando del Registro di sistema Come se si trattasse di un'unità che utilizza PowerShell

Geek esperto: navigare nello stile della riga di comando del Registro di sistema Come se si trattasse di un'unità che utilizza PowerShell

Il concetto di un'unità in PowerShell non riguarda le unità fisiche, ma la rappresentazione di qualsiasi archivio dati come un'interfaccia coerente. Usando il giusto fornitore puoi persino accedere al registro come se fosse una struttura di file.

Recupera dati di moduli persi in Firefox

Recupera dati di moduli persi in Firefox

Hai mai compilato un'area di testo o un modulo in una pagina Web e qualcosa accade prima che tu possa terminarlo? Se ti piace l'idea di recuperare i dati persi, allora ti consigliamo di dare un'occhiata all'estensione Lazarus: Form Recovery per Firefox.

Recupera i file dalla cartella Windows.old: recupera lo strumento File personali

Recupera i file dalla cartella Windows.old: recupera lo strumento File personali

Recover Files Files Tool per Windows 8/10 di Microsoft recupera o recupera automaticamente i file personali dalla cartella Windows.old.

Recupera i dati da un'unità crittografata di BitLocker inaccessibile

Recupera i dati da un'unità crittografata di BitLocker inaccessibile

Password di BitLocker dimenticata o chiave di recupero persa? Utilizza lo strumento di riparazione BitLocker per accedere e recuperare i file da un'unità BitLocker inaccessibile che è stata crittografata in Windows 10/8/7.

Software di recupero dati gratuito: recupera file e cartelle cancellati

Software di recupero dati gratuito: recupera file e cartelle cancellati

Vuoi recuperare file, cartelle e dati cancellati in Windows 10/8/7? Controlla questo elenco di software di recupero dati gratuito per aiutarti a ripristinare i file.