Login page

Recupero file - parte 2

recoverjpeg

recoverjpeg è un programma molto facile da usare, pensato esplicitamente per il recupero di immagini in formato jpg. Per usare il programma bastano tre comandi
mkdir ~/recup
cd ~/recup
recoverjpeg ~/sdb1.img
recoverjpeg non permette infatti di indicare dove salvare i file ritrovati, e di default li posizione nella cartella in cui è stato lanciato il programma, per questo motivo il primo crea la cartella recup dove salvare i file e il secondo sposta l'utente all'interno di tale cartella.

magicrescue

Sebbene questo programma non venga più aggiornato da un po' di tempo, lo riporto per completezza, dal sito ufficiale è possibile scaricare il programma se non si dovesse trovare nei repository, anche se tutt'ora presente in debian.
Per usare il programma basta dare, ad esempio magicrescue -r jpeg-jfif -r jpeg-exif -d ~/recup ~/sdb1.
i tipi di file che si possono recuperare sono definiti nella cartella /usr/share/magicrescue/recipes, e attualmente sono avi canon-cr2 elf flac gimp-xcf gpl gzip jpeg-exif jpeg-jfif mp3-id3v1 mp3-id3v2 msoffice nikon-raw perl png ppm zip. In modo analogo a foremost e scalpel è possibile creare ulteriori ricette per il riconoscimenti di altri tipi di file.

grep

grep non è un programma per il recupero dei file, ma è possibile usarlo per tale scopo nel caso di semplici file di testo. Basta dire infatti a grep di leggere dal disco le parole chiave che ci interessano per ottenerle in output, ad esempio: grep -a query ~/sdb1.img > recup.txt.
Sopratutto per questo programma si consiglia di leggerne la documentazione, in quanto si sta tentando di recuperare i file in maniera del tutto manuale, e quindi è necessario sporcarsi le mani con i parametri di configurazione, in particolare i parametri -A, -B per raffinare la propria ricerca. query invece rappresenta le parole di ricerca che usiamo per trovare il file, solitamente il contenuto.

lsof

Come grep, lsof (list of open files) non è un programma pensato per recuperare i file, ma sotto alcune circostanze può essere usato per questo.
Supponendo di avere un programma in esecuzione che sta leggendo il file, come ad esempio less o more su un file di testo, un player video su un film e via dicendo, se il file viene cancellato, solitamente, il programma non terminera la sua esecuzione, questo perché finchéil programma è aperto, esiste una copia del file cancellato in memoria. A patto che il programma stesso non abbia una opzione di salvataggio, si può ricorrere a lsof. Ad esempio, supponendo di voler recuperare un file di testo chiamato test.txt, si deve dare il comando lsof|grep test.txt, e si otterrà un output del tipo less 7507 fekir 4r REG 8,6 23 11944327 /home/fekir/test.txt (deleted).
La prima colonna identifica il programma che tiene aperto il file, ovvero less, mentre la seconda è il PID del programma che tiene aperto il file, ovvero 7507. Successivamente si ha il nome utente e il descrittore, ovvero 4. Notiamo inoltre che nell'ultima colonna lsof riporta che il file è stato cancellato.
Per recuperare il file basta dare il comando cp /proc/PID/fd/descrittore file_recup, ovvero copiare il file dal processo!
In questo caso particolare al posto di PID si inserirà 7507 e al posto di descrittore 4, e nel file file_recup verrà copiato il file recuperato.
Perché questa operazione abbia successo è di vitale importanza che il processo non termini la sua esecuzione, quindi esso non va interrotto fino a che il file non è stato ripristinato, nel caso di un player audio o video si vorrà ad esempio mettere in pausa per evitare che finisca la riproduzione (non stop poiché potrebbe rilasciare il file!).

Sleuth Kit and Autopsy

Sleuth Kit and Autopsy sono una suite di programmi pensati per l'analisi forense e il recupero dati. In rete è possibile trovare diversi esempi d'uso.

Questo è l'elenco degli articoli di questa categoria:

Ripulire Debian: Ripulire Debian da linea di comando
Come recuperare dati persi: come recuperare dati persi o cancellati