Dic 09 2011

Recuperare i file cancellati con Foremost

Category: Linux,Ubuntuadmin @ 05:42

Foremost è un programma che si utilizza da terminale e che permette di recuperare molti tipi di file cancellati da una partizione, un disco rigido o una memoria esterna.

Per installare Foremost avviamo il terminale e digitiamo:

sudo apt-get install foremost

Cercate il device del dispositivo dove volete recuperare i file cancellati,avviamo il terminale e digitiamo:

sudo fdisk -l

vi verrà stampata a video la lista dei dispositivi collegati al vostro pc. Nel mio caso ho cercato di recuperare le immagini da una memoria usb il cui device era /dev/sdb1.

Nella prova ho fatto analizzare il dispositivo /dev/sdb1 ed ho salvato i file recuperati in /home/ps3/Scrivania/recupero. Per avviare la scansione avviamo il terminale e digitiamo:

sudo foremost -i /dev/sdb1 -o /home/ps3/Scrivania/recupero

Terminata la scansione, la cui durata dipende dalla dimensione del supporto da analizzare, troverete nella cartella dei file recuperati, nel mio caso in “recupero”, tante cartelle i cui nomi corrispondono alle estensioni dei file recuperati. Nella stessa cartella, all’interno del file audit.txt, troverete l’elenco di tutti i file recuperati suddivisi per estensione.

Se volete recuperare solo un determinato tipo di file, per esempio solo i file .doc, il comando è sempre lo stesso di prima ma viene aggiunto -t seguito dall’estensione dei file da recuperare, avviamo il terminale e digitiamo:

sudo foremost -t doc -i /dev/sdb1 -o /home/ps3/Scrivania/recupero

Altra procedura è quella di creare un immagine della partizione che desideriamo esplorare avviamo il terminale e digitiamo:

dd if=/dev/sdb1 of=partizione.img

A questo punto lanciamo foremost da terminale:

foremost -t jpg,bmp -o recover -i partizione.img

Analizziamo il comando: sostituiamo a jpg,bmp i formati dei files che ci interessano (un elenco completo dei formati riconosciuti lo troviamo nel man page del software : man foremost ); sostituiamo recover con il nome della cartella in cui vogliamo che siano messi i files recuperati.

Homepage

Rispondi

Per commentare devi accedere al sito. Accedi.

SiteLock