recuperare i files cancellati
Purtroppo, con i moderni filesystem journaled non è possibile recuperare facilmente i files eliminati. Nonostante ciò, con gli strumenti adatt e un pizzico di pazienza possiamo ispezionare il nostro disco “alla ricerca del file perduto” poichè un file, prima di essere eliminto fisicamente, necessita di essere sovrascritto e può passare molto tempo prima che questo avvenga.
Procediamo con l’installazione di Foremost (dovrebbe essere presente nei repo di tutte le distro) e successivamente creiamo un immagine della partizioe che desideriamo esplorare:
“dd if=/dev/hda1 of=partizione.img“.
A questo punto lanciamo foremost in questo modo :
“foremost -t jpg,gif -o ritrovati -i partizione.img“.
Analizziamo il comando: sostituiamo a jpg,gif i formati dei files che ci interessano (un elenco completo dei formati riconosciuti lo troviamo nell man page del software : “man foremost“); sostituiamo “ritrovati” con il nome della cartella in cui vogliamo che siano messi i files recuperati.
Con foremost possiamo anche utilizzare come criterio di ricerca una singola stringa di testo : apriamo il file /etc/foremost.conf ed aggiungiamo una riga del tipo “testo n 1000 stringa” inserendo al posto di “stringa” i caratteri da ricercare. A questo punto eseguiamo foremost così:
“foremost -o ritrovati -i partizione.img“.
Nella cartella “ritrovati”, i files contenenti la stringa di testo richiesta, saranno indicati con l’estensione “testo” nel nome.
Buon recupero 
Lascia un commento