Recupero dati con un live CD Ubuntu

Ci sono moltissime utility per il recupero dei dati, come abbiamo visto non molto tempo fa, ma quando non si riesce nemmeno ad avviare il computer o è stato formattato l’hard disk, ci vogliono delle armi più potenti.

Nota: questi metodi non possono comunque recuperare file sovrascritti. Prima si cerca un file cancellato, più grandi saranno le possibilità di recupero.


Il nostro setup

Per questa dimostrazione abbiamo usato un piccolo hard disk da 1 GB, con metà spazio partizionato in ext2, un file system usato in Linux, e metà con FAT32, un file system usato in ambiente Windows. Su ciascuna partizione abbiamo salvato dieci immagini.

Con GParted abbiamo poi ripulito le partizioni. I dati sono persi per sempre?

Installazione programmi

Tutti i programmi che ci servono sono nel repository di Ubuntu. Apri il Synaptic Package Manager cliccando su System in alto a sinistra, poi Administration > Synaptic Package Manager.

Clicca su Settings > Repositories e spunta il checkbox “Community-maintained Open Source software (universe)”.

Poi clicca su Close e nella scheda Synaptic Package Manager clicca su Reload. Una volta che si è ricaricata la lista, spunta e installa uno o tutti dei seguenti: testdisk, foremost, e scalpel.

Testdisk include TestDisk, che può riparare le partizioni e PhotoResc, ottimi programmi per il recupero dei file. Foremost, sviluppato dalla US Air Force Office of Special Investigations, cerca i file cancellati secondo la struttura. Scalpel funziona in modo simile a Foremost, ma è molto più leggero e può essere l’opzione migliore in caso di computer datato.

Recupero di partizioni

In caso di partizioni danneggiate ci servirà TestDisk. Per prima cosa apri una finestra terminale (Applications > Accessories > Terminal) e inserisci il seguente codice:

sudo testdisk

A questo punto devi indicare il disco da recuperare. TestDisk ti chiederà quale partitition table cercare, nella maggior parte dei casi (ext2/3, NTFS, FAT32, etc.) si dovrebbe selezionare INTEL. Poi evidenzia ANALYSE e premi invio. A questo punto basterà selezionare le partizioni trovate per recuperarle. Nel caso TestDisk non trovasse subito le partizioni, è possibile specificare più opzioni di ricerca. Dopo il recupero dovremo riavviare il sistema. Nel nostro caso dopo il riavvio abbiamo avuto entrambi gli hard disk con tutte e dieci le immagini.

Recupero di certi tipi di file

Una delle utilità che usiamo, PhotoRec, è la più user-friendly, anche se è basata su una console. Apri una finestra terminale (Applications > Accessories > Terminal) e inserisci il seguente codice:

sudo photorec

Dovrai a questo punto selezionare un drive per effettuare la ricerca. Il programma ti chiederà quale partitition table cercare, nella maggior parte dei casi (ext2/3, NTFS, FAT32, etc.) si dovrebbe selezionare INTEL. Ora ti verrà presentata una lista di partizioni. Seleziona Search e premi invio. Questo processo può essere molto lento e quindi sarebbe meglio specificare quale tipi di file cercare attraverso la schermata raggiungibile con FileOpt. Per cercare solo file di immagini, premi s per deselezionare tutto, poi cerca il formato desiderato e premi la freccia destra per selezionare la casella. Premi b per confermare. Poi si può tornare indietro e decidere di cercare su una o su tutte le partizioni (selezionando No partition). A questo punto si possono recuperare i file. Ricorda di salvare i file recuperati su un drive diverso da quello di partenza. Anche PhotoRec è stato in grado di ritrovare le 20 immagini.

Foremost

Foremost è un programma come PhotoRec senza un’interfaccia grafica, ma ha un gran numero di comandi e ci permette di recuperare molti file con un ottimo rendimento. Per una lista di comandi apri una finestra terminale

(Applications > Accessories > Terminal) e inserisci il seguente codice:

foremost -h

Nel nostro caso useremo i seguenti comandi:

  • -t, una lista di estensioni. Nel nostro caso “jpeg,png,gif”.
  • -v, per avere più informazioni sulle attività del programma.
  • -o, per la cartella in cui saranno recuperati i file.
  • -i, il percorso dove cercare i file. Nel nostro caso hard disk, /dev/sda.

Quindi la riga di comando da inserire sarà:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Con queste opzioni abbiamo recuperato 17 dei 20 file di partenza, inoltre abbiamo anche trovato un piccolo errore nel thumbnail di uno dei file. Forse è “colpa” del file system di Linux. Ora modifichiamo la linea di comando aggiungendo -d per il file system ext2:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

E come ci si poteva aspettare, Foremost in questo modo ha recuperato tutti e 20 i file.

Scalpel

Anche Scalpel è molto configurabile, come Foremost, ma bisogna prima creare un file di configurazione. Aprire una finestra terminale e scrivere questo codice:

sudo gedit /etc/scalpel/scalpel.conf

Nel file scalpel.conf togliamo il # davanti ai tipi di file che vogliamo recuperare. Ritorna alla finestra terminale e scrivi:

sudo scalpel /dev/sda –o scalpel

Scalpel con queste opzioni ha ritrovato 18 dei 20 file.

Conclusioni

Nel nostro esempio i programmi più efficaci si sono rivelati TestDisk, Foremost e PhotoRec. E’ possibile che con qualche variazione nei comandi anche Scalpel possa avere la possiblità di recuperare tutti e 20 i file.

Scritto da Alessandro