Come recuperare dati formattati con Foremost Linux

Quando i dati vengono accidentalmente formattati o persi su un disco rigido, un’unità USB o una scheda di memoria, il recupero delle informazioni può sembrare una missione impossibile. Tuttavia, grazie a strumenti open-source come Foremost, è possibile recuperare i dati in modo efficiente anche dopo una formattazione accidentale. In questa guida, esploreremo come utilizzare Foremost su Linux per il recupero dei dati formattati e come ottimizzare il processo per ottenere i migliori risultati.

Cos’è Foremost?

Foremost è un software open-source utilizzato per il recupero dei dati su sistemi Linux. In particolare, Foremost è noto per la sua capacità di recuperare file da dispositivi di archiviazione danneggiati o formattati, agendo a livello di file system. Funziona analizzando i settori del disco e cercando pattern predefiniti, come intestazioni e trailer dei file, per ricostruirli.

Come Funziona Foremost?

Foremost non si limita a cercare solo file specifici, ma può recuperare una vasta gamma di formati di file, tra cui immagini, documenti, video e audio. Quando un file viene eliminato o un dispositivo viene formattato, la memoria del dispositivo non cancella effettivamente i dati, ma ne rimuove solo i riferimenti dal file system. Foremost sfrutta questa caratteristica per identificare e recuperare i dati non ancora sovrascritti.

Installazione:

Aggiornare il repository:

sudo apt-get update

Installare Foremost:
Se non è già installato, usa il seguente comando:

sudo apt-get install foremost

Preparare un supporto di recupero
Assicurati di non scrivere nuovi dati sul disco da cui vuoi recuperare i file. Usa un altro disco o una partizione per salvare i file recuperati.

Formati supportati:

  • Immagini
    • jpg – JPEG files
    • png – PNG files
    • gif – GIF files
    • bmp – Bitmap files
    • tiff – TIFF files
  • Documenti
    • pdf – PDF files
    • doc – Microsoft Word files (vecchi .doc)
    • xls – Microsoft Excel files (vecchi .xls)
    • ppt – Microsoft PowerPoint files
    • odt – OpenDocument Text
    • ods – OpenDocument Spreadsheet
  • File compressi
    • zip – ZIP archives
    • rar – RAR archives
    • gz – Gzip compressed files
    • tar – TAR archives
  • Audio e Video
    • mp3 – MP3 audio files
    • mp4 – MP4 video files
    • avi – AVI video files
    • wav – WAV audio files
  • File di sistema
    • exe – Eseguibili Windows
    • dll – Dynamic-link library files
    • iso – ISO image files
  • Email e messaggistica
    • eml – Email files
  • Altri formati
    • txt – Plain text files
    • html – HTML files

Considerazioni:

  • Non montare il disco: Lavorare con il disco in modalità “read-only” è consigliato per evitare sovrascritture.
  • Non sovrascrivere i dati: Dopo la formattazione, è essenziale non scrivere nuovi dati sul disco o sulla partizione, poiché questo potrebbe compromettere la possibilità di recuperare i dati persi.

Come recuperare i dati da HDD o Pendrive e SDCARD:

Per recuperare i dati occorre prima vedere la lista delle partizioni disponibili con il seguente comando:

sudo fdisk -l

Il flag -l indica la lista delle partizioni da visionare. Nella foto che vedete in basso, notate sotto la scritta <<device>> il tipo di partizione da cui si vogliono recuperare i dati. Se notate, la partizione da 80GB corrisponde a quella della memoria interna del computer chiamata /dev/sda1. Nel mio caso, utilizzo la partizione FAT32, l’ultima in basso chiamata /dev/sdb1, che corrisponde a una chiavetta USB.

Esegui Foremost
Lancia il recupero con il seguente comando:

sudo foremost  -t jpg,png -i /dev/sdb1 -o /path/destinazione/

Il flag -t indica il tipo di formati che possiamo andare a recuperare da questa memoria.

Il flag -i indica la partizione che andiamo ad analizzare.

Il flag -o indica il percorso di destinazione che andiamo a scegliere come dati di estrazione.

Nel mio caso:

sudo foremost -t jpg,png -i /dev/sdb1 -v -o /home/kali/Scrivania/recupero_dati

Il flag inserito da me -v indica di visualizzare il recupero dei dati sul terminale in esecuzione.

Personalizzare il recupero (opzionale)
Foremost usa un file di configurazione predefinito (/etc/foremost.conf) per determinare quali tipi di file cercare. Puoi modificarlo o specificare file personalizzati:

sudo nano /etc/foremost.conf

Puoi abilitare o disabilitare il recupero di certi tipi di file (es. jpg, png, pdf, ecc.). Una volta completato il processo, i file recuperati saranno salvati nella directory specificata, suddivisi per tipo.

Cosa fare quando termina il recupero dei dati:

Per visualizzare i dati nella cartella di recupero_dati occorre digitare per ogni cartella il comando:

sudo chmod 777 /home/kali/Scrivania/recupero_dati
sudo chmod 777 /home/kali/Scrivania/recupero_dati/jpg
sudo chmod 777 /home/kali/Scrivania/recupero_dati/png

In questo caso, dalla foto che vedete qui in basso, ho stoppato il recupero in quanto era solo una fase di test per dimostrazione a voi visitatori. Se notate, nella cartella PNG vengono mostrati i dati di recupero correttamente.

Ulteriori informazioni:

Il recupero di dati formattati con Foremost su Linux è una delle soluzioni più potenti e versatili per chi ha perso informazioni importanti a causa di un errore o di un incidente. Sebbene non garantisca un recupero totale in tutti i casi, grazie alla sua capacità di lavorare direttamente a livello di settore, Foremost è uno strumento fondamentale per qualsiasi amministratore di sistema o utente Linux esperto.