Warning: preg_replace() [function.preg-replace]: Compilation failed: unknown option bit(s) set at offset 0 in /home/giochi1/public_html/tuttotech.com/wp-content/plugins/all-in-one-seo-pack/aioseop_class.php on line 5022

Come Recuperare File su Linux

Foremost è uno strumento gratis per piattaforma Linux, a linea di comando, che permette il recupero di files non più referenziati dal file system basandosi sull’analisi degli headers, dei footers e delle strutture interne dei files stessi. Questa tecnica è chiamata File Carving e lavora non considerando la struttura del file system.

Header e Footer sono delle particolari firme digitali che caratterizzano univocamente un determinato tipo di file, costituiti da un gruppo di valori esadecimali oppure ottali consecutivi sempre presenti all’inizio o alla fine di un determinato file. Ad esempio, l’header di un file formato Jpeg è 0xFFD88F.

foremost

Foremost possiede un file di configurazione (denominato foremost.conf) che guida il programma nella ricerca e che contiene per l’appunto gli headers e i footers (specificati in valori ottali o esadecimali), oltre che l’estensione e la dimensione massima di un determinato tipo di file da ricercare. Il tool quindi analizza l’hard disk (od una sua immagine) alla ricerca dell’header specificato e recupera i dati fino alla prima occorrenza del footer o, nel caso in cui non sia presente, fino al raggiungimento della dimensione massima.

Uno svantaggio nell’utilizzo di Foremost è che, se i file da recuperare risiedono su cluster (che rappresentano le più piccole unità di allocazione di un hard disk) non contigui, il tool non ne permette il recupero in quanto non va a leggere i dettagli (metadati) del file per individuare i vari cluster sparpagliati.

Questo potente tool, di default, supporta il recupero dei file di tipo aol, jpg, gif, png, bmp, avi, mpg, exe, rar, wav, tif, wmv, mov, mp3, pdf, ole, doc, zip, htm, cpp, pgp, rpm, dat, java. Il file di configurazione può comunque essere personalizzato a piacimento, inserendo o rimuovendo i tipi di file che si vuole ricercare o escludere, con i rispettivi headers e footers.

La sintassi del tool, completa delle opzioni più significative, è la seguente

# foremost  [-vqT] [-b<blocksize>] [-o <dir>] [-c <file_config>] [-t <tipi>]

-v Mostra informazioni dettagliate durante l’esecuzione del programma.

-q Ricerca l’header del file solamente all’inizio di ogni settore dell’hd, velocizzando le operazioni.

-T Scrive la data dell’operazione di recupero nel nome della directory di output.

-b Permette di specificare il block size del filesystem utilizzato.

-o Imposta la directory nella quale saranno salvati i file recuperati.

-c Imposta il file di configurazione da utilizzare.

-t Indica i tipi di file da analizzare.

Al termine dell’analisi e dell’operazione di recupero, Foremost crea una serie di directory denominate con l’estensione del file ricercato, al cui interno sono presenti i files estratti (quelli attivi, cancellati o non allocati), a loro volta denominati con l’indirizzo del settore sul quale si trovano. Moltiplicando questo indirizzo per il block size dell’hard disk otteniamo l’offset del file, ovvero il suo indirizzo assoluto in bytes sul disco.

Viene creato inoltre un file di report chiamato audit.txt contente i comandi dati e i dettagli sui file recuperati.