Foremost per recuperare file e dati con Linux

Hai cancellato per sbaglio i tuoi documenti e le tue immagini? Alcuni file del disco sono corrotti e non riesci a leggerli? Hai mai dovuto recuperare dei dati persi? Un cliente ti ha chiesto di ripristinare i file che ha eliminato dal disco? Con un sistema Linux puoi usare foremost, un programma per recuperare file cancellati o non leggibili a causa di una corruzione del filesystem. Attenzione però che potrai recuperare anche i file cancellati intenzionalmente!

Il vantaggio nell'uso di foremost consiste nella creazione di una cartella per ogni tipo di file che si vuole recuperare (doc/ jpg/ docx/ avi/ ...) all'interno dell aquale andranno a finire tutti i file con la stessa estensione. Lo svantaggio è che i file perderanno il loro nome originale per assumere quello di un numero.

Per installare il programma in una distribuzione linux derivata da Red-Hat, o che comunque usa yum come installatore dei pacchetti (Fedora, Suse, CentOS, ecc...), bisogna dare il seguente comando (con diritti amministrativi):

yum install foremost

se invece si deve installare il programma in una distribuzione linux derivata da Debian, o che comunque usa apt-get come installatore dei pacchetti (Ubuntu, Mepis, Xandros, ecc...), bisogna dare il seguente comando (con diritti amministrativi):

apt-get install foremost

La sintassi di foremost e':

foremost [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-t <type>] [-s <num>] [-i <file>]

• -h Stampa il messaggio d'aiuto ed esce

• -V Stampa le informazioni di licenza (copyright) ed esce

• -v Modalita' dettagliata (verbose)

• -q Modalita' veloce (quick) nella quale si ricerca l'intestazione (header) del file solo all'inizio del settore

• -i Indica da quale partizione, o suo file immagine (dd-dump), leggere i file da arecuperare

• -o Indica la cartella da usare per salvare i file recuperati

• -c Indica quale file di configurazione usare

• -s Salta il numero di byte specificato prima di iniziare la ricerca

• -n Estrae i file senza aggiungere l'estensione

Il tipo di file che si vuole venga ripristinato, si specifica con l'opzione -t , ecco alcunni esempi:

• salvare in /media/files_recovered/ tutti i tipi di file, conosciuti dal programma, che possono essere recuperati dalla partizione /dev/sdd2 :

• salvare in /media/files_recovered/ tutti i file di tipo doc, docx, jpg, xls che possono essere recuperati dalla partizione /dev/sdd2 :
  

• salvare in /media/files_recovered/ tuttii file di tipo doc, docx, jpg, xls che possono essere recuperati dal file image.dd, ovvero dal file immagine di una partizione :

Dato che le operazioni di recupero potrebbero protrarsi per ore, a seconda del quantitativo di dati e dalla dimensione della partizione da analizzare, sarebbe consigliabile ricavare un file immagine della partizione, eseguendo una copia bit-a-bit delle informazioni in essa contenute, e lavorare sulla copia stessa. In tal modo si eviteranno possibili danni ai dati dovuti ad un uso errato del software di analisi oppure si evitera' che il disco, qualora avesse un funzionamento incerto, smetta completamente di funzionare prima di terminare il recupero dei file.

Per ottenere il file immagine della partizione, si puo' procedere in diversi modi, ma la cosa essenziale e' che la partizione sia resa accessibile al sistema operativo in sola lettura, questo per evitare scritture piu' o meno volontarie che potrebbero compromettere il recupero dei dati. Infine bisogna configurare adeguatamente il software di creazione del file immagine affinche' non si fermi in presenza di eventuali errori di lettura. Dato il numero elevato di varianti e di possibilita', si preferisce trattare piu' specificatamente l'argomento in un prossimo articolo.