Foremost

Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.

Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell’esempio dev/sdb).

  • Creare le directory /recovery/foremost e quindi montare il disco esterno nella cartella recovery:

    sudo mkdir -p /recovery/foremost
    sudo mount /dev/sdb1 /recovery
  • Avviare foremost digitando in una finestra di terminale il seguente comando:

    sudo foremost -i /dev/sda -o /recovery/foremost
  • Per avviare foremost su un file immagine semplicemente sostituire il percorso:

    sudo foremost -i nome_immagine -o /recovery/foremost
  • I file recuperati saranno di proprietà dell’utente root. Per cambiare i permessi digitare in una finestra di terminale i seguenti comandi:

    sudo chown -R youruser:youruser /recovery/foremost

    dove «youruser:youruser» rappresentano rispettivamente l’utente e il gruppo di appartenenza (generalmente user e gruppo hanno lo stesso identificativo).

  • Usare l’opzione -w solo per si desidera ottenere un analisi dei file recuperabili:

    sudo foremost -w -i /dev/hda -o /recovery/foremost
  • Per recuperare un tipo di file specifico usare l’opzione -t:

    sudo foremost -t jpg -i /dev/hda -o /recovery/foremost
Print Friendly
    Alessandro Bonu

    Alessandro Bonu

    Senior System Administrator presso Tiscali S.p.A., Consultant Professional Solutions and Computer Forensics - Microsoft Certified Professional - AIP-ITCS, AIPSI and CLUSIT.
    Alessandro Bonu