• Meetings e Workshop
    l'associazione organizza workshop e meeting periodici

  • HowTo e manuali
    come costruire da te gadget elettronici e come programmarli

  • Hacking della PS3
    howto su come installare linux ed effettuare altri hack

  • Una comunità organizzata
    entra a far parte di una associazione organizzata e attiva

  • Strumenti di supporto
    per mantenersi in contatto e favorire la cooperazione

intermediate - Come Recuperare dati cancellati su partizione EXT4 PDF Stampa E-mail
Scritto da allanon   
allanon

Ciao a tutti, oggi vi mostrero' come ho recuperato dei file erroneamente cancellati.

Questa procedura si basa sulla mia esperienza personale, su debian wheezy, e sul filesystem ext4.

Proprio perche' il fs e' ext4, i normali metodi (scalpel) non funzionano, ho dovuto affidarmi anima e corpo al nuovissimo extundelete.

 


Ma andiamo con ordine.

Indico il  disco da cui ho cancellato i file come /dev/sdb1 (nel mio caso e' un disco esterno usb, ma poco importa). Il punto di mount di tale disco e' /mnt/nayu

La cartella che voglio recuperare stava su /mnt/nayu/provola1/provola2 (provola e' un nome di fantasia, ma poco importa)

Riepilogo

 

disco:                   /dev/sdb1  ----> /mnt/nayu  (EXT4)

cartella cancellata:  /mnt/nayu/provola1/provola2/


Insisto su questi dati, perche' sono importanti, mica perche' adoro ripetermi.

Ecco la procedura:

0) smontare partizione o rimontarla in sola lettura.


Questa e' la primissima cosa da fare quando ci si accorge di aver combinato un guaio!!!!
RICORDATE, i file non vengono mai veramente cancellati, ma viene cancellato solo il riferimento al fs, quindi, fino a quando lo spazio precedentemente occupato dal file cancellato non viene sovrascritto, esiste una buona possibilita' di recuperarlo!!
Ecco perche' montare il fs in sola lettura e' d'obbligo per evitare sovrascritture

quindi loggarsi come root e dare subito un :

umount /dev/sdb1



Qualora si avesse la necessita' di montare il disco, per qualsiasi altra ragione, montarlo solo in "sola lettura".
Esempio:

mount -o ro /dev/sdb1 /mnt/nayu



1) scaricare il coso

Visitare la pagina http://extundelete.sourceforge.net/ e scaricare il sorgente (al momento in cui vi scrivo e' presente la versione 0.2.0)


2) installare dipendenze e checkinstall e compilare

Dobbiamo compilare i sorgenti, e siccome e' sempre buona norma non alterare la struttura della nostra debian (basata su dpkg e apt) ho deciso di creare un pacchetto deb, piuttosto che installare il tutto in modo standard. In ogni caso elenchero' entrambe le procedure


a) creando il pacchetto deb

# spostiamo il file nell'apposita cartella, che per convenzione e' dedicata alla compilazione da sorgenti

mv extundelete-0.2.0.tar.bz2 /usr/local/src

cd /usr/local/src

tar xjf extundelete-0.2.0.tar.bz2

cd extundelete-0.2.0

# adesso che siamo dentro, e' quasi tutto pronto, doppiamo installare le dipendenze per eseguire la compilazione

apt-get install build-essential ext2fs-dev checkinstall

# e ora possiamo eseguire la compilazione

./configure

make

checkinstall


Seguite le istruzioni a video e otterete il pacchetto deb, checkinstall si occupera' anche dell'installazione.


b) senza creare il pacchetto web
la procedura e' uguale a quella appena descritta eccetto nel finale, che e' la seguente:

# installiamo le dipendenze

apt-get install  build-essential ext2fs-dev

# compiliamo

./configure

make

make install




3) sposarsi nella cartella in cui si desidera salvare il tutto


Dunque, abbiamo detto che il nostro disco e' smontato, o al massimo montato in sola lettura, quindi i dati andranno salvati obbligatoriamente in un altra partizione!

nel mio caso:

cd /mnt/munnizzaro/recupero_dati/


4) comando:

 

extundelete --restore-directory 'provola1/provola2/'   /dev/sdb1


Avete notato la sintassi?? l'opzione --restore-directory accetta come PATH solo il path relativo alla root della partizione

quindi se

disco:              /dev/sdb1  ----> /mnt/nayu  (EXT4)

cartella cancellata: /mnt/nayu/provola1/provola2/


la root della partizione e'  /mnt/nayu mentre il path, relativo alla partizione, da passare e' provola1/provola2

Chiaro, no??



5) incrociate le dita e premete invio


Se siete fortunati, ecco l'output desiderato

Failed to restore inode 909351 to file RECOVERED_FILES/provola1/provola2/provola3:Inode does not correspond to a regular file.

Restored inode 787634 to file RECOVERED_FILES/provola1/provola2/provola3/FILE.DESIDERATO



Il primo fail e' dovuto al fatto che provola3 era una cartella,
il file all'interno di essa e' stato correttamente recuperato, come si evince dalla riga seguente.


Fine, Enjoy,

e speriamo di non doverne mai avere bisogno.


 

Aggiungi commento


Codice di sicurezza
Aggiorna


grayhats.org, Powered by Joomla!; Joomla templates by SG web hosting
valid xhtml valid css