Recuperiamo i file cancellati con Foremost
Attenzione
Questo articolo è stato pubblicato più di un anno fa, potrebbero esserci stati sviluppi.
Ti preghiamo di tenerne conto.
Forse non tutti sanno che quando cancelliamo i file dai nostri dispositivi, essi non vengono cancellati, ma solo “nascosti” in attesa di essere sovrascritti, ed è proprio per questo che i file che noi crediamo cancellati possono essere recuperati (sempre se non sono già stati sovrascritti).
Foremost è un programma open source a riga di comando per Linux che recupera i file cancellati. È di estrema semplicità, presente nei repository e svolge senza fronzoli il suo lavoro. Come recita il sito, Foremost fu originariamente sviluppato per l'”Air Force Office of Special Investigation” degli Stati Uniti, e per il “centro informazioni studi e ricerca sicurezza e sistemi“. Successivamente venne rilasciato il codice sorgente ed anche il grande pubblico potè beneficiare dei vantaggi offerti da Foremost.
Iniziamo ad installarlo su Debian / Ubuntu:
sudo apt-get install foremost
Foremost è presente anche nei repository di Fedora, non dovrebbe essere difficile lanciare il comando:
yum -y install foremost
Ora che il tool è installato dobbiamo avere le idee chiare su quale partizione recuperare. Supponiamo di dover recuperare il contenuto cancellato della partizione “/dev/sda3/
“:
Per prima cosa dovremo indicare la destinazione dei file recuperati. Teniamo presente che più grande sarà la partizione da recuperare, più spazio dovremo avere nella destinazione.
Per prima cosa montiamo la partizione:
sudo mount /dev/hdc3/recovery
Ora creiamo la directory “foremost“:
sudo mkdir /recovery/foremost
Ora possiamo eseguire Foremost:
sudo foremost -i /dev/hdc1 -o /recovery/foremost
Questo comando recupera tutti i file presenti nella partizione, a seconda delle dimensioni può metterci anche molto tempo. Mentre il programma lavora è possibile andare nella cartella “foremost” e veder apparire i file recuperati in tempo reale.
Supponiamo ora di voler recuperare solo i file con una data estensione. Il comando sarà questo:
sudo foremost -t jpg -i /dev/hdc1 -o /recovery/foremost
0 commenti