Login page

Recupero file da partizione NTFS

In questa sezione verranno mostrati un paio di programmi che funzionano esclusivamente per i filesystem di tipo NTFS e alcune considerazioni sul perché conviene e non conviene usare Windows in caso di perdita di dati.

Ntfsundelete

Tale programma funziona in maniera molto semplice, e sfrutta alcune proprietà del filesystem ntfs per determinare se un file è recuperabile o meno. Tale programma, sui sistemi Debian, è disponibile solamente per gli utenti amministratore anche se si lavora con un file immagine, non so se vale la stessa considerazione per altri sistemi. Dando semplicemente il comando sudo ntfsundelete ~/sdb1.img si ottiene un output del tipo
Inode    Flags  %age  Date           Size  Filename
------------------------------------------------------
65       FR..   100%  2013-12-04        33  testo.txt
che in questo caso mostra che il mio file di testo ha il 100% delle probabilità di essere recuperato interamente. Non vengono mostrati i file che non sono stati cancellati.
Per recuperare i file, basta dare il comando sudo ntfsundelete -u -d ~/recup -m "*" ~/sdb1.img, dove con il parametro -m (obbligatorio) si indica quali file si vuole recuperare. Con il comando precedente si dice di recuperare tutti i file possibili.

Scrounge-ntfs

Anche questo programma permette di recuperare i file da partizioni NTFS, ma non sa lavorare direttamente sui file immagine, motivo per il quale non sono riuscito a testarlo.
Esiste però un workaround (che non ho testato), descritto su questa pagina usando kpartx. Una guida sull'uso di scrounge-ntfs è data qui.

Motivi per usare e non usare Windows

Poiché la Microsoft, azienda che produce Windows, è anche l'azienda che ha prodotto il filesystem NTFS, ci si aspetta che in generale Windows riesca a riconoscere e lavorare meglio con questo tipo di filesystem, pertanto si potrebbe pensare che conviene recuperare i dati con questo sistema operativo, in quanto esistono anche molti programmi per Windows in grado di eseguire operazioni di undelete o recovery dei dati.
Il problema principale è che Windows non offre strumenti avanzati per la creazione di immagini e per la gestione delle partizioni; non è ad esempio possibile montare una partizione in sola lettura.
Questo vuol dire che durante l'operazione di recupero, visto che il sistema può accedere in scrittura alla partizione interessata, c'è il rischio che i file interessati vengano improvvisamente sovrascritti.
Essendo inoltre Windows un prodotto a sorgente chiuso, è difficile dire di potersi fidare di tale sistema per una operazione così delicata.
Dall'altra parte anche il funzionamento del filesystem NTFS non è del tutto chiaro, pertanto potrebbero esservi alcuni bug nella sua gestioni con i sistemi GNU/Linux, che potrebbero rendere difficoltoso il recupero dei dati, ma non la creazione dell'immagine.
Conviene sicuramente quindi creare l'immagine con un sistema GNU/Linux, e nel caso non si riuscisse a lavorare con il filesystem è sempre possibile copiare tale immagine su un disco esterno a cui farvi accedere Windows.

Questo è l'elenco degli articoli di questa categoria:

Ripulire Debian: Ripulire Debian da linea di comando
Come recuperare dati persi: come recuperare dati persi o cancellati