Purtroppo, con i moderni filesystem journaled non è possibile recuperare facilmente i files eliminati. Nonostante ciò, con gli strumenti adatt e un pizzico di pazienza possiamo ispezionare il nostro disco “alla ricerca del file perduto” poichè un file, prima di essere eliminto fisicamente, necessita di essere sovrascritto e può passare molto tempo prima che questo avvenga.

Procediamo con l’installazione di Foremost (dovrebbe essere presente nei repo di tutte le distro) e successivamente creiamo un immagine della partizioe che desideriamo esplorare:

   dd if=/dev/hda1 of=partizione.img

A questo punto lanciamo foremost in questo modo:

   foremost -t jpg,gif -o ritrovati -i partizione.img

Analizziamo il comando: sostituiamo a jpg,gif i formati dei files che ci interessano (un elenco completo dei formati riconosciuti lo troviamo nell man page del software : “man foremost“); sostituiamo “ritrovati” con il nome della cartella in cui vogliamo che siano messi i files recuperati.

Con foremost possiamo anche utilizzare come criterio di ricerca una singola stringa di testo : apriamo il file /etc/foremost.conf

ed aggiungiamo una riga del tipo

testo n 1000 stringa

inserendo al posto di “stringa” i caratteri da ricercare. A questo punto eseguiamo foremost così: foremost -o ritrovati -i partizione.img

Nella cartella “ritrovati”, i files contenenti la stringa di testo richiesta, saranno indicati con l’estensione “testo” nel nome.

= Autore/Fonte = L'autore dell'articolo è http://gismondo.wordpress.com