In questa guida vi mostro come recuperare i dati cancellati da qualsiasi memoria HDD e USB. Grazie a questo strumento chiamato Scalpel riusciamo sui nostri dispositivi Linux ad analizzare e recuperare dei dati cancellati anche dopo la formattazione della memoria del dispositivo.
Cos’è scalpel?
Scalpel è uno strumento gratuito opensource in grado di recuperare da HardDisk e componenti USB, ad esempio Pendrive, MicroSd e HardDisk di vecchia data. Lo strumento dalle SSD moderne ovvero dalle memorie moderne di ultima generazione implementate sui computer moderni non è in grado di recuperare in quanto le SSD hanno un tasso di recupero molto basso rispetto le tradizionali memorie di vecchia data.
Installazione:
Come primo procedimento abbiamo bisogno di una distribuzione Linux per fare partire questo strumento, io ho utilizzato kali Linux, ma potete usare anche altre versioni di Linux basate su debian.
Apriamo il terminale ed eseguiamo il seguente comando:
sudo apt-get update
Inserite la password utente del vostro sistema operativo in uso, esempio se state usando kali linux in live occorre scrivere kali e premere invio.
Ora occorre installare scalpel dal terminale per iniziare successivamente l’analisi della memoria che utilizziamo.
sudo apt-get install scalpel -y
-y: indica di installare il pacchetto all’instante senza premete dopo Yes nella richiesta.
Adesso abbiamo bisogno di recarci nella cartella /etc/scalpel/scalpel.conf per copiare il file di configurazione nel nostro desktop, in modo tale da non andare a rovinare l’originale.
sudo cp /etc/scalpel/scalpel.conf /home/kali/Desktop/scalpel.conf
Il comando sudo serve per prendere i permessi di root, mentre cp indica di copiare il file scalpel.conf dalla sua cartella principale al desktop come ho fatto nel mio caso.
Ora abbiamo bisogno di aprire il nostro file scalpel.conf presente nel nostro desktop e aprirlo come un file di testo. Vedrete su tutte le scritte che i formati usati dai file comunemente usati sui nostri pc sono coperti con un simbolo cancelletto #, per poter dire al programma di recuperare i dati occorre togliere il cancelletto # sul formato che volete andare a recuperare e successivamente premere il tasto Salva. Se notate nella linea 86,87 ho tolto il cancelletto sui formati JPG. Questo significa che appena salvi lui sa che dalla configurazione deve recuperare solo determinati tipi di file ovvero le foto in formato JPG.
Non resta che avviare il seguente comando:
fdisk -l
Questo comando permette di vedere le memorie connesse attualmente nel dispositivo. Io ho collegato una chiavetta da 32 GB in formato FAT32 infatti se vedete dall’immagine si nota e si chiama /dev/sdb1. Questa procedura è molto importante in quanto dandogli questo percorso di file capisce il programma dove andare a recuperare i dati cancellati.
Ora avviamo scalpel per capire come fare partire il programma.
sudo scalpel
Come notate ci spiega tutti i comandi che si possono utilizzare. Noi useremo i comandi più semplici. Quindi per evitare errori del programma occorre spostarsi nel desktop dove abbiamo il file di configurazione di scalpel, altrimenti il programma ci indica un errore. Se il file di configurazione voi lo avete copiato in un altra cartella, occorre andare nella cartella corrente del file. Nel mio caso e la seguente:
cd /home/kali/Desktop/
Procediamo ora con il recupero dei dati sulla memoria:
sudo scalpel -i /deb/sdb1 -c scalpel.conf -o dati -v
Ora con questo comando stiamo dicendo a scalpel di avviarsi e di analizzare la chiavetta USB collegata e tramite il file scalpel.conf di recuperare le foto in formato JPG. Mentre le ultime due parti stanno a significare la cartella dove vogliamo che recupera, nel mio caso lo chiamata recupero_foto. Invece -v indica di visualizzare sullo schermo i dati in fase di recupero.
(-i) Indica il percorso della memoria scelto nel nosto caso tramite fdisk -l abbiamo identificato su quale memoria voglia eseguire il recupero.
(-c) Indica di utilizzare il file scalpel.conf modificato in precedenza.
(-o) Indica il percorso in uscita la cartella diciamo di salvataggio dei dati in fase di recupero nel nostro caso la cartella dati.
(-v) Indica di visualizzare sul terminale i dati in fase di recupero. Utilizzando questo comando vedremo a ogni percentuale di recupero ogni singolo file che recupera nella cartella.
Come state notando il programma è partito, dove c’è scritto ETA quello è il tempo che richiede per la fase di recupero in questo caso sta dicendo 41minuti e 32 secondi, ma può aumentare mano a mano che recupera i file. Al termine della percentuale di recupero noterete la vostra cartella con un lucchetto come se è senza permessi, vi basta scrivere il seguente comando:
chmod +777 /home/kali/Desktop/dati
Ora potete accedere ai vostri file di recupero. Spero che questa guida o articolo vi sia piaciuto. Continuate a seguirmi per nuovi interessanti articoli.