In questa guida viene mostrato come recuperare dati cancellati da partizioni Windows (FAT16, FAT32, NTFS) utilizzando uno strumento di Data Carving chiamato Foremost. Foremost è uno strumento disponibile sui sistemi Linux (ad esempio è uno dei tools già presenti nella famosissima distribuzione Kali Linux) in grado di recuperare dati cancellati da memorie interne, esterne e chiavette USB. Il software è in grado di recuperare la maggiore parte dei formati di file per computer ad esempio JPG, GIF, PNG, AVI, MPG, MP4, WAV, MOV, PDF, DOC ecc… Insomma una grande parte di formati.
FOREMOST LINUX
Installazione
Il primo passaggio da effettuare è quello di aprire il terminale e aggiornare i repository digitando
sudo apt-get update
Possiamo ora procedere all’installazione del software
sudo apt-get install foremost
Subito dopo premete il tasto Y per confermare l’installazione del programma
Come utilizzarlo
Il secondo passaggio è quello di collegare il dispositivo usb
Se invece dovete recuperare dalla memoria interna occorre procedere al passaggio successivo.
Adesso nel terminale dobbiamo andare a selezionare la partizione da cui dobbiamo recuperare i dati, quindi sempre nel terminale digitate:
sudo fdisk -l
Sarete davanti a questa schermata:
Come potete notare nella schermata abbiamo davanti tutti i tipi di memorie connesse al computer, e ad ogni memoria c’è assegnato un percorso come potete notare in /dev/sdb1 c’è assegnata la mia chiavetta USB, infatti se leggete la scritta Size corrisponde ai 16gb della chiavetta connessa. Se invece nel vostro caso dovete recuperare i dati dalla memoria interna del vostro computer occorre controllare la capacità del disco in esecuzione. Di solito la memoria interna è sempre tra le prime opzioni come nel caso dell’immagine qui sotto (/dev/sda).
Adesso scrivete il seguente comando:
foremost –h
-h sta a significare help cioè aiuto. Come vedete nell’immagine qui sotto noterete una leggenda su come bisogna utilizzare il programma. E come potete notare vi ho evidenziato con i colori i comandi che andremo ad utilizzare, con la relativa leggenda.
Se volete recuperare tutti i tipi di dati presenti in memoria occorre scrivere questo comando:
foremost -t all -i /dev/sdb1 -v
-t indica il tipo di estensione del file (nel caso sopra ho specificato tutti i file presenti in memoria.); se fossero state solo le foto avrei dovuto inserire -t jpeg.
-i indica il percorso della partizione della memoria
-v indica di mostrare sul terminale tutti i file che tenta di recuperare al momento della scansione.
Se invece volete specificare un salvataggio preciso dei dati recuperati allora bisogna scrivere:
foremost -t all -i /dev/sdb1 -v -o “percorso di destinazione dei file recuperati”
Come per esempio se voleste salvare i dati recuperati nella directory “Downloads”:
foremost -t all -i /dev/sdb1 -v -o “/root/Downloads/”
Adesso premete invio è come potete vedere il software inizierà a recuperare tutti i dati, sia presenti e sia eliminati dalla memoria.
Dopo pochi istanti inzierete a visualizzare i file che state recuperando
E, al termine dell’ operazione (che può richiedere anche a parecchie ore), noterete tutti i dati recuperati nel percorso di destinazione scelto.
Conclusione
Abbiamo visto come sia possibile recuperare dati da partizioni NTFS e FAT32 con Foremost, questo semplice software può tornare utile in quelle situazioni di emergenza… a patto che abbiate tempo da dedicare perchè, come vedrete, il recupero dati richiede molto tempo.
Lascia un commento
Devi essere connesso per inviare un commento.