Ecco un buon programma per riuscire a recuperare ciò che avevate cancellato per errore o distrazione dal vostro disco.
Cos’è il carver? In informatica, il suo significato è espresso dal suo acronimo (Criticality, Accessibility, Recuperability, Vulnerability, Effect e Recognizability), quindi un applicativo per riuscire a trovare, recuperare e/o avere accesso a dei dati che sono stati cancellati.
Foremost è un piccolo programma che si utilizza da terminale che permette di recuperare qualunque tipo di file cancellato da una partizione, un disco rigido o una memoria esterna. Non so ancora dirvi quali siano i filesystem e/o file che vengono riconosciuti da questo programma.
Per installare Foremost utilizzate Synaptic oppure digitate in un terminale:
sudo apt-get install foremost
Un uso rapido e semplice dell’applicativo, lo trovate descritto a questo link.
Qui di seguito, pubblico delle altre informazioni, trovate sul sito di http://www.cfitaly.net/foremost
Molti di voi sapranno cos’è Foremost, il più famoso “carver” nell’ambito del recupero dati e della computer forensics, ma per chi non lo sapesse:
Foremost è un programma da console per recuperare i file in base alle loro intestazioni, footers, e le strutture dati interne.
Questo processo viene comunemente denominato data carving.Foremost è in grado di lavorare su file immagine (bitstream), come quelli generati dai dd, Safeback, Encase, ecc, o direttamente sul dispositivo.
Gli headers ed i footers possono essere specificati da un file di configurazione o è possibile utilizzare parametri della riga di comando per specificare i tipi di file built-in.
Originariamente sviluppato da parte degli US Air Force Office of Special Investigations e dal The Center for Information Systems Security Studies and Research, attualmente Foremost è Open Source ed è mantenuto da Jesse Kornblum, Kris Kendall, and Nick Mikus.
Quando questo fantastico programmino viene lanciato, crea nella directory di output un file “audit.txt” ed una serie di sottocartelle nominate col tipo di file ricercato (es. jpg, doc, tiff, ecc.).
All’interno di queste cartelle ci sono i files “carvati”, ossia estratti in base al loro “magic number” presente negli headers e nei footers, questi files sono quelli attivi, quelli cancellati e anche quelli non-allocati.
Dato che Foremost agisce sulla parte dati del dispositivo da analizzare e non considera il File System,(ecco perchè si può usare per recuperare i dati dai supporti formattati), i files trovati non avranno il nome, ma saranno nominati con l’indirizzo del settore sul quale sono allocati, che moltiplicato per l’offset dà l’indirizzo assoluto sul dispositivo, sia i nomi dei files sia i loro offset sono scritti nel file AUDIT.TXT.
Buon lavoro di recupero dati.
Scopri di più da Il mondo di Paolettopn (IV3BVK - K1BVK)
Abbonati per ricevere gli ultimi articoli via e-mail.