PhotoRec

PhotoRec è un programma di recupero dati che supporta circa 80 tipi diversi di file.

Per utilizzare il programma, installare il pacchetto testdisk.

    Magic Rescue

    Magic Rescue è un programma che utilizza i magic number per identificare la presenza e il tipo di file e che può essere esteso per mezzo dei “recipes” contenuti nella cartella /usr/share/magicrescue/recipes (controllare i file presenti per conoscere i tipi di file supportati). La maggior parte delle “recipes” fornite possono necessitare di programmi aggiuntivi per funzionare.

      Scalpel

      Scalpel recupera i file appoggiandosi alle definizioni contenute negli header e nei footer presenti all’interno di un file immagine. È simile a Foremost, la ricerca potrebbe essere migliore.

        Foremost

        Foremost è in grado di recuperare file da diversi tipi di filesystem, inclusi i sistemi Fat, Ext3 e NTFS.

        Supponendo che i file persi siano su /dev/sda, è necessario creare una cartella scrivibile su un altro disco in cui è possibile inserire i file recuperati (nell’esempio dev/sdb).

          Copia forense

          Schermata 2015-01-27 alle 19.00.55Per copia forense (o bit-stream image) si intende l’acquisizione di un dispositivo di memorizzazione su un altro dispositivo di memorizzazione bit a bit. A differenza di una copia eseguita sui singoli file presenti sul filesystem, la clonazione comporta la duplicazione di tutte le zone del disco, anche quelle che non contengono alcun file direttamente visibile all’utente, definite tecnicamente aree non allocate.
          Poiché nella maggior parte dei filesystem la rimozione di un file implica semplicemente la cancellazione dell’indice che contiene la posizione del file su disco, il poter aver accesso alle aree non allocate permette il recupero di file cancellati o di informazioni ormai non più disponibili all’utilizzatore del sistema. La copia forense è realizzabile tramite clonazione o tramite creazione di un file immagine.