NtfsUndelete

NtfsUndelete può recuperare i file cancellati dalle partizioni NTFS. Fa parte del pacchetto ntfsprogs. Un altro programma capace di operare sulle partizioni NTFS è ntfs-3g. Entrambi sono installati in via predefinita su Ubuntu.

  • Per cercare i file cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2

  • Per cercare i file in formato .doc cancellati sul dispositivo /dev/sda2 digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -s -m '*.doc'

  • Per cercare i file cancellati sul dispositivo /dev/sda2, aventi una dimensione compresa tra i 5.000 e i 6.000.000 di byte e con il 90% del contenuto recuperabile, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -S 5k-6m -p 90

  • Per cercare i file cancellati negli ultimi due giorni, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -t 2d

  • Per cercare i file cancellati sugli inode 2, 5 e 100 su 131 del dispositivo /dev/sda2, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -u -i 2,5,100-131

  • Per cercare il file ‘nome_documento.doc’ cancellato sull’inode 3689 del dispositivo /dev/sda2 e copiarlo nella propria cartella Home, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -u -i 3689 -o nome_documento.doc -d ~

  • Per salvare tutti i metadati contenuti sul Master File Table tra l’inode 3689 e 3690 per poi poterli analizzare successivamente, digitare il seguente comando in una finestra di terminale:

    ntfsundelete /dev/sda2 -c 3689-3690 -o debug

    dove «debug» è il file di destinazione.

 

Print Friendly
    Alessandro Bonu

    Alessandro Bonu

    Senior System Administrator presso Tiscali S.p.A., Consultant Professional Solutions and Computer Forensics - Microsoft Certified Professional - AIP-ITCS, AIPSI and CLUSIT.
    Alessandro Bonu