TestDisk Passo passo

From CGSecurity
Jump to navigation Jump to search

En.png English Cn.png 中文 De.png Deutsch Es.png Español Fr.png Français Ir.png فارسی It.png Italiano Pl.png Polski Ro.png Română Ru.png Русский



Questo esempio di recupero è una guida passo passo al recupero con TestDisk di una partizione persa ed alla riparazione di una corrotta.

Problema di Esempio

Abbiamo un hard disk di 36GB contenente 3 partizioni. Sfortunatamente; Il settore d'avvio della partizione primaria NTFS è danneggiato; inoltre è stata accidentalmente cancellata una partizione logica NTFS. Questo esempio vi guida all'uso di TestDisk, passo passo, per recuperare queste partizioni perse Riscrivendo il boot sector NTFS corrotto, e Recuperando la partizione logica NTFS accidentalmente cancellata. Il recupero di una partizione FAT32 (invece di una NTFS) può essere effettuato compiendo esattamente gli stessi passi. Sono disponibili altri recovery examples. per informazioni su FAT12, FAT16, ext2/ext3, HFS+, ReiserFS aed altri tipi ancora, leggere Running the TestDisk Program.

La sola condizione necessaria è che: TestDisk deve essere eseguito con privilegi di Amminstratore.

Per utilizzare TestDisk: Per muoversi all'interno di TestDisk, usare i tasti freccia e quelli PagSu-PagGiù Per proseguire, confermare le scelte con Invio. Per tornare alla finestra precedente or terminare TestDisk, usare q (Quit). Per salvare le modifiche in TestDisk, bisogna confermarle con y (Yes) e/o con il tasto Invio, e Per scrivere effettivamente i dati della partizione nell' MBR, bisogna evidenziare la selezione "Write" e premere Invio.


Sintomi

Se la partizione primaria dell' hard disk conteneva un sistema operativo, molto probabilmente questo non si avvierà più - a causa della corruzione del boot sector. Se l'hard disk era un disco secondario (contenete solo dati) o è possibile collegare il disco sul canale secondario di un altro computer (di solito al posto di un CD/DVD), si potranno rilevare i seguenti sintomi: 1.Windows Explorer o Disk Manager mostrano la partizione primaria del disco come raw (non formattata) e Windows indicherà: Il disco non è formattato, vuoi formattarlo ora? [Non dovreste mai farlo senza essere ben consci di cosa sta accadendo] 2.Una partizione logica è sparita. In Windows Explorer, non è più possibile trovarla. Gestione Disco di Windows ora mostra solo "Spazio non allocato" al posto della partizione logica.

Eseguire TestDisk

Se TestDisk non è ancora installato, può essere scaricato da TestDisk Download. Estrarre i file dall'archivio compresso, incluse le sub-directory. Per recuperare una partizione o riparare il filesystem da un hard disk, pen drive USB, Smart Card, etc., e necessario possedere i diritti d'Amministratore.

       In DOS, avviare TestDisk.exe 
       In Windows, avviare TestDisk (ad esempio, testdisk-6.9/win/testdisk_win.exe) da un account nel gruppo Administrator. In Vista, cliccare col destro su testdisk_win.exe e selezionare "Esegui come Amministratore" per avviare TestDisk. 
       In ambiente Unix/Linux/BSD, per avviare TestDisk è necessario digitare. sudo testdisk-6.9/linux/testdisk_static. 
       In ambiente MacOSX, se non si è root, TestDisk (ie testdisk-6.9/darwin/TestDisk) si riavvierà usando sudo dopo una vostra conferma. 
       In ambiente OS/2, TestDisk non interviene direttamente sul drive fisico, ma solo su una sua immagine, mi spiace. 

Per recuperare una partizione da un'immagine o recuperare un'immagine del filesystem, avviare testdisk image.dd per creare un'immagine raw del disco testdisk image.E01 per recuperare files da un'immagine Encase EWF testdisk 'image.*' se la immagine Encase è suddivisa in diversi files.

               Per recuperare un filesystem fuori dalla lista data da TestDisk, eseguire testdisk periferica, ad esempio 

testdisk /dev/mapper/truecrypt0 o testdisk /dev/loop0 i files del bootsector NTFS or FAT32 da una partizione TrueCrypt. La stessa modalità è efficace con filesystem criptati con cryptsetup/dm-crypt/LUKS. testdisk /dev/md0 per riparare un filesystem su un discoo Linux RAID.


Creare un file di Log

Scegliere Create a meno che non abbiate una ragione per aggiungere dati a un log esistente o se eseguite TestDisk da una periferica a sola lettura e dovete creare il log in un'altra posizione. Premere Invio per proseguire.

Selezione del disco

Tutti gli hard disk dovrebbero essere rilevati e dovrebbero comparire nella lista con le corrette dimensioni: Usare i tasti Freccia su e Freccia giù per selezionare il disco con la partizione o le partizioni perse. Premere Invio per proseguire.

       Per un trasferimento dei dati più veloce, usare, se possibile,  /dev/rdisk*  invece di /dev/disk*  

Selezione dei tipi di tabella delle partizioni

TestDisk mostra i tipi di partition table.


Selezionare il tipo di partizione - di solito il tipo di default risulta corretto, dato che TestDisk lo riconosce automaticamente. Premere Invio per proseguire

Stato corrente della tabella delle partizioni

TestDisk mostra il menù (vedi anche TestDisk Menu Items). Usare l'opzione di default "Analyse" per controllare la corrente struttura delle partizioni ed effettuare la ricerca di partizioni perse. Confermare con Invio per proseguire. Viene ora mostrata la struttura delle partizioni attuale: esaminarla per trovare partizioni mancantio od altri errori .


La prima partizione appare due volte nella lista, cosa che indica una partizione corrotta o ad una tabella delle partizioni non valida. Invalid NTFS boot indica un settore di avvio NTFS non valido e ad un filesystem corrotto. E' disponibile solo una partizione logica (indicata come Partition 2) all'interno della partizione estesa. Una partizione logica è mancante. Confermare con invio Quick Search per proseguire.


Ricerca rapida delle partizioni

Confermare a seconda del Sistema Operativo e delle partizioni create per procedere. TestDisk dmostra i risultati al momento

Durante Quick Search, TestDisk ha trovato due partizioni, compresa la partizione logica mancante etichettata come Partition 3. Posizionarsi sulla riga di questa partizione e premere p per avere la lista dei files (tper tornare alla schermata precedente, premere Quit). Tutte le directory e i files sono elencati correttamente. Premere Invio per proseguire.

Salvare la tabella delle partizioni o cercare nuove partizioni?

Quando le partizioni sono tutte disponibili ed i dati sono elencati correttamente, andare all'opzione Write del menù per salvare la struttura delle partizioni. L'opzione Extd Part dà la possibilità di decidere se la partizione estesa userà tutto lo spazio disponibile sul disco o solamente lo spazio strettamente necessario ( il minimo). Dal momento che una partizione, la prima, è ancora mancante, posizionarsi sull'opzione del menù Deeper Search (se il programma non l'ha già fatto automaticamente) e premere Invio per proseguire.

Una partizione è ancora mancante: Ricerca approfondita

Deeper Search ricercherà anche la copia del settore di boot Fat32, NTFS, ext2/ext3 per scoprire se esistono altre partizioni, esaminando il disco cilindro per cilindro

Dopo la Ricerca Approfondita verranno mostrate: La prima partizione "Partition 1", trovata tramite la copia del settore di boot. sull'ultima riga sarà scritto "NTFS found using backup sector!" e le dimensioni della partizione; La "partition 2" compare nella lista due volte, con dimensioni differenti. Ambedue le partizioni vengono mostrate con la lettera di stato D (cancellata), perché si sovrappongono.


Posizionarsi sulla prima Partition 2 e premere p per avere la lista dei file.

Il file system della partizione logica superiore (etichettata Partition 2) è danneggiato. Premere q (Quit) per tornare alla schermata precedente. Lasciare questa partizione, Partition 2, con un file system contrassegnato come D(cancellato). Posizionarsi sulla seconda partizione Partition 2 sottostante Premere p per avere l'elenco dei suoi files.

Funziona, avete trovato la partizione corretta! Usare i tasti Freccia a destra/Freccia a sinistra per muoversi nelle directory e scorrere i file per un'ulteriore verifica Nota: In una partizione FAT la lista delle directory è limitata a 10 clusters - alcuni files non saranno elencati ma ciò non ne inficia la possibilità di recupero. Premere q (Quit) per tornare alla schermata precedente.

I simboli di status sono Primaria, * avviabile, Logica e Deleted (cancellata). Usando i tasti freccia, cambiare lo status della partizione selezionata in L(ogica)


Suggerimento: leggere How to recognize primary and logical partitions? Nota: Se una partizione è elencata come *(avviabile) ma non la si usa come tale (non c'è sistema operativo), è possibile cambiarne lo status in Primary. Premere Invio per proseguire.

Recupero della tabella delle partizioni

Ora è possibile scrivere la struttura delle partizioni. Note: La partizione estesa è settata automaticamente da TestDisk, che ne riconosce la differente struttura. Solo nel caso in cui nella lista compaiono tutte le partizioni, posizionarsi per la conferma su Write e premere Invio, y e OK. Ora le partizioni sono registrate nella tabella delle partizioni.

Recupero del Boot sector NTFS

Il boot sector della prima partizione (Partition 1) è ancora danneggiato: ora è il momento di ripararlo. Lo status del boot sector NTFS è bad ma la sua copia è valida. I due settori di avvio non sono identici.

Per copiare la copia del boot sector sul boot sector, selezionare Backup BS, confermare con Invio, y e infine OK. Maggiori informazioni sul recupero si possono trovare in TestDisk Menu Items. Sarà mostrato il seguente messaggio: Il boot sector e la sua copia ora sono ambedue OK ed identici: il boot sector NTFS è stato recuperato con successo. Premere invio per uscire.

TestDisk mostra il messaggio You have to restart your Computer to access your data (riavviare il computer per avere accesso ai dati), perciò premete Invio un'ultima volta per riavviare il compurter.

Recuperare i file cancellati

TestDisk può recuperare files e directory dai filesystem FAT12, FAT16 and FAT32, files da filesystem ext2,files da una partizione NTFS dalla versione 6.11. Se non risolvete o per filesystem diversi, provate ad usare PhotoRec, un'utility di recupero basata sulle signature dei file.