Interrompere immediatamente tutte le operazioni di scrittura sul dispositivo di archiviazione da cui sono stati persi i dati. Ogni nuovo byte di dati scritto riduce le possibilità di un recupero riuscito.
Per le operazioni di recupero, preferire l'utilizzo di un sistema live avviato da un'unità USB per evitare che il sistema operativo principale scriva cache o file temporanei sul disco. Preparare un dispositivo di archiviazione esterno con spazio libero sufficiente per salvare i file recuperati.
TestDisk e PhotoRec: una soluzione completa
Installare i pacchetti sui sistemi basati su Debian/Ubuntu con il comando:
sudo apt-get update && sudo apt-get install testdisk
PhotoRec funziona indipendentemente dal file system, analizzando l'unità a livello di dati grezzi per identificare i file in base alle loro signature di intestazione. Lo strumento supporta oltre 300 formati di file.
Recupero di file con PhotoRec
Avviare l'utilità con privilegi di superutente:
sudo photorec
L'interfaccia fornisce una guida passo passo:
- Selezione del dispositivo di archiviazione di destinazione (/dev/sda, /dev/sdb)
- Specifica dello schema di partizione (Intel, Sun, Mac)
- Scelta del tipo di file system da analizzare
- Definizione della directory per salvare i risultati
Il processo può richiedere un tempo considerevole a seconda della capacità e della velocità dell'unità.
Recupero della tabella delle partizioni con TestDisk
Per riparare una tabella delle partizioni o ripristinare i settori di boot, utilizzare:
sudo testdisk
Il flusso di lavoro include:
- Analisi della struttura delle partizioni corrente
- Ricerca delle partizioni perse
- Creazione di una nuova tabella delle partizioni
- Scrittura delle modifiche nell'MBR o GPT
Strumenti specializzati per ext2/ext3/ext4
Per la famiglia di file system ext, viene utilizzata l'utilità extundelete. Installazione e utilizzo:sudo apt-get install extundelete sudo extundelete /dev/sdX --restore-all --output-dir /percorso/di/ripristinoOpzioni chiave:
- --restore-all: Tenta di ripristinare tutti i contenuti
- --restore-file: Ripristina un file specifico in base al suo percorso
- --restore-inode: Ripristina un file in base al suo numero di inode
Foremost: Recupero basato sulle signature dei file
Questo strumento esegue una scansione di basso livello con modelli di formato file predefiniti. La configurazione predefinita si trova in /etc/foremost.conf.sudo foremost -t jpg,pdf,docx -i /dev/sdX -o /percorso/di/ripristinoIl parametro -t consente di specificare esplicitamente i tipi di file da cercare.
Tecniche e strumenti aggiuntivi
Scalpel offre un algoritmo di scansione avanzato con una configurazione flessibile dei modelli tramite il suo file di configurazione. Per creare un'immagine del disco per l'analisi, si consiglia di utilizzare ddrescue:sudo ddrescue /dev/sdX /percorso/immagine.dd /percorso/file_log.logCiò consente di eseguire tutte le operazioni di recupero sull'immagine, prevenendo ulteriori danni al supporto originale.