[GUIDA]L'odissea dei dati persi. Ecco come recuperarli!
Inviato: venerdì 26 ottobre 2012, 8:59
L'Odissea e la disperazione
Quante volte abbiamo sentito parlare di backup e quante volte abbiamo pensato di farlo! Ebbene, è il caso di smettere di pensare e mettersi all'opera. Il prima possibile! Non avere un backup del proprio archivio digitale, che siano foto di famiglia o documenti importanti poco conta, se improvvisamente perdete tutto pensate e come potreste sentirvi.
A me è capitato che quasi di colpo il disco rigido usato come archivio smettesse di funzionare ed ho passato 4 giorni di semi-disperazione. Sul disco c'erano tutte le foto e i video degli ultimi tre anni che ricordano gli eventi più importanti della mia vita, documenti fiscali e progetti, recensioni e fogli di calcolo usati per i grafici che pubblico sul sito ed una macchina virtuale sulla quale sviluppo.
Non che io non faccia i backup... Li faccio e pure regolarmente solo che nell'ultimo mese ancora non l'avevo fatto mentre di lavori ne avevo portati avanti davvero tanti, scaricato una marea di foto e redattto diversi articoli.
Questa esperienza mi ha insegnato che i backup vanno fatti ogni giorno non "ogni tanto". Ma oggi voglio raccontarvi tutta la trafila fatta per tentare di recuperare i dati.
La scorsa settimana, giovedi per la precisione, noto che la macchina virtuale va un po' a rilento e poi di colpo si blocca! Penso che ci sia qualche problema nel sistema operativo installato oppure negli applicativi che uso perché riavviandola tutto torna a funzionare egregiamente. Non do' peso più di tanto alla cosa...
Venerdi succede nuovamente, perciò penso di indagare. Soprattutto noto un utilizzo anomalo delle risorse del disco e cercando trovo qualcuno che ha problemi simili quando mette il PC in stand-by lasciando la macchina virtuale accesa. Faccio un po' di prove e sembra essere quello anche il mio problema. Penso: "Bene, ho risolto. Basta spegnere la macchina virtuale e killare il processo che resta in background".
Purtroppo però venerdi sera non è solo la macchina virtuale ad avere problemi ma l'intero PC. Premetto che la mia workstation è un notebook HP con due vani per dischi da 2,5 pollici ove ho un SSD come disco primario ed un HDD Samsung Spinpoint Da 500GB come disco secondario sul quale risiedono tutti i dati.
Mentre cerco di capire cosa può essere l'elenco delle cartelle sul disco rigido secondario sparisce. Allora penso che il problema sia legato al disco. Apro il notebook, controllo che i cavi siano ben collegati (e lo sono), provo a riavviare la macchina e riesco ad accedere a Windows solo dopo un'ora circa di caricamento.
Spengo, stacco completamente il disco secondario, lo inserisco in un cassettino SATA / USB e provo a vedere se riesco a leggerlo da porta USB ma nulla. Il disco non si vede proprio!
Da Windows provo ad utilizzare dd (http://www.chrysocome.net/dd). Chiedo la lista delle periferiche:
e nell'elenco trovo pure il disco incriminato. Penso menomale, dunque c'è ed esiste. D'altro canto il bios del computer lo rileva correttamente e sento che il disco fa spin up e spin down.
Quando provo però a recuperare la tavola delle partizioni
Ho un errore che indica che dd non è in grado di leggere dal disco.
Provo dunque a cercare un software di recupero dati. Va bene anche a pagamento, ovviamente! Scelgo quello di Kroll On Track (dopo aver avuto in passato alcune esperienze negative con software e aziende sconosciute preferisco sempre affidarmi a soluzioni meglio note), OnTrack Easy Recovery http://www.ontrackdatarecovery.it/recup ... yrecovery/ disponibile in più versioni. Prendo la demo per vedere se riesce a trovare qualcosa: la comprerò di sicuro se dovesse permettere il recupero. Dopo averlo fatto passare sul disco, però, noto solo un recupero parziale (si vede l'elenco delle cartelle, alcune sono accessibili, altre no. Lo stesso per i file). Questa non è una soluzione accettabile.
Ci dormo su una giornata e domenica mattina mi alzo con l'ascia di guerra in mano. Vi anticipo solo che il recupero completo è avvenuto solo dopo ben sei giorni, ma finalmente ce l'ho fatta. Ecco dunque tutto quello che ho fatto in maniera seria da domenica 21 Ottobre a venerdi 26 Ottobre.
Come fare seriamente il recupero
1. Ho scaricato la distribuzione Linux Parted Magic, nella versone Live per chiavetta USB
2. Come indicato qui ho creato un drive USB avviabile con Parted Magic
3. Ho preso un computer desktop, vi ho collegato il disco incriminato, inserito la chiavetta USB con il sistema operativo, un secondo disco USB da 1TB sul quale salverò quello che potrò recuperare e l'ho avviato con Parted Magic
4. Parted Magic dispone di numerosi strumenti già pronti per diagnosi e recupero dei dati. Ho aperto Partition Editor per capire quale fosse il nome assegnato al disco rotto. Nel mio caso è /dev/sda. Il nome del disco USB da 1TB per il salvataggio dei dati si chiama invece /dev/sdb
5. La prima cosa che voglio fare è salvare in qualche modo tutto il contenuto del disco per avere un backup e poi lavorarci sopra. Ho perciò aperto una console e usato ddrescue (http://www.forensicswiki.org/wiki/Ddrescue) digitando (recupera tutti i dati dai settori integri):
L'operazione ha impiegato tutta la giornata per essere portata a termine. Alla fine ho digitato nuovamente (tenta il recupero anche dei dati dai settori danneggiati):
A questo punto ho guardato all'interno del disco USB da 1TB con Partition Editor. Quello che ho visto è solo una partizione RAW senza alcun formato (io so che il disco di partenza era formattato NTFS). Per ripristinare la partizione ho utilizzato testdisk. Sulla console basta scrivere:
A schermo saranno visualizzate le opzioni, tutte facilmente comprensibili (occorre indicare di quale disco si vogliano recuperare le partizioni, di che tipo di partizione si tratta e che tipo di ricerca deve essere effettuata (veloce o in profondità). L'ho avviato e anche qui ho dovuto attendere tutta la notte. La mattina seguente ho trovato il disco con tutto l'albero delle cartelle e i file! Evviva!
Ma, andando a guardare meglio ho notato che molte cartelle non erano state recuperate. Avevo un errore nell'accedervi e un indicazione sulla dimensione (0 byte). Purtroppo il problema era proprio sulle cartelle più recenti!
Vista però la situazione ho provato ad utilizzare testdisk anche sul disco rigido rovinato. In questo caso il risultato non è stato molto entusiasmante! Il disco lo si vede sempre come "da formattare". Ho tentato dunque il recupero con Photorec, questa volta da Windows.
Dopo un'altra giornata di lavoro Photorec aveva tirato fuori di tutto e di più ma con tutti i file sparsi in giro in varie cartelle, con nomi a caso e file di testo spezzati in più parti. Insomma, fatti salvi alcuni file il tutto è poco utilizzabile.
Tento perciò l'ultima strada. Prima faccio però un'altra immagine del disco rovinato (seguendo ancora la procedura con ddrescue) su un secondo HDD USB per avere un ulteriore backup in caso di problemi. Poi procedo utilizzando il comando checkdisk di Windows 7 sul disco USB da 1TB con l'immagine del disco rovinato. Collego il disco USB ad un computer Windows e da una console aperta da Amministratore digito (al disco USB era stata assegnata la lettera di unità e):
Altra giornata più nottata di scansione e correzione del disco ma finalmente venerdi mattina provo ad accedere alle cartelle rovinate ... et voila!!! Ragazzi non sapete che sollievo!!!
Quante volte abbiamo sentito parlare di backup e quante volte abbiamo pensato di farlo! Ebbene, è il caso di smettere di pensare e mettersi all'opera. Il prima possibile! Non avere un backup del proprio archivio digitale, che siano foto di famiglia o documenti importanti poco conta, se improvvisamente perdete tutto pensate e come potreste sentirvi.
A me è capitato che quasi di colpo il disco rigido usato come archivio smettesse di funzionare ed ho passato 4 giorni di semi-disperazione. Sul disco c'erano tutte le foto e i video degli ultimi tre anni che ricordano gli eventi più importanti della mia vita, documenti fiscali e progetti, recensioni e fogli di calcolo usati per i grafici che pubblico sul sito ed una macchina virtuale sulla quale sviluppo.
Non che io non faccia i backup... Li faccio e pure regolarmente solo che nell'ultimo mese ancora non l'avevo fatto mentre di lavori ne avevo portati avanti davvero tanti, scaricato una marea di foto e redattto diversi articoli.
Questa esperienza mi ha insegnato che i backup vanno fatti ogni giorno non "ogni tanto". Ma oggi voglio raccontarvi tutta la trafila fatta per tentare di recuperare i dati.
La scorsa settimana, giovedi per la precisione, noto che la macchina virtuale va un po' a rilento e poi di colpo si blocca! Penso che ci sia qualche problema nel sistema operativo installato oppure negli applicativi che uso perché riavviandola tutto torna a funzionare egregiamente. Non do' peso più di tanto alla cosa...
Venerdi succede nuovamente, perciò penso di indagare. Soprattutto noto un utilizzo anomalo delle risorse del disco e cercando trovo qualcuno che ha problemi simili quando mette il PC in stand-by lasciando la macchina virtuale accesa. Faccio un po' di prove e sembra essere quello anche il mio problema. Penso: "Bene, ho risolto. Basta spegnere la macchina virtuale e killare il processo che resta in background".
Purtroppo però venerdi sera non è solo la macchina virtuale ad avere problemi ma l'intero PC. Premetto che la mia workstation è un notebook HP con due vani per dischi da 2,5 pollici ove ho un SSD come disco primario ed un HDD Samsung Spinpoint Da 500GB come disco secondario sul quale risiedono tutti i dati.
Mentre cerco di capire cosa può essere l'elenco delle cartelle sul disco rigido secondario sparisce. Allora penso che il problema sia legato al disco. Apro il notebook, controllo che i cavi siano ben collegati (e lo sono), provo a riavviare la macchina e riesco ad accedere a Windows solo dopo un'ora circa di caricamento.
Spengo, stacco completamente il disco secondario, lo inserisco in un cassettino SATA / USB e provo a vedere se riesco a leggerlo da porta USB ma nulla. Il disco non si vede proprio!
Da Windows provo ad utilizzare dd (http://www.chrysocome.net/dd). Chiedo la lista delle periferiche:
Codice: Seleziona tutto
dd --listQuando provo però a recuperare la tavola delle partizioni
Codice: Seleziona tutto
dd if=\\?\Device\Harddisk1\Partition0 of=c:\pt.img bs=512 count=1Provo dunque a cercare un software di recupero dati. Va bene anche a pagamento, ovviamente! Scelgo quello di Kroll On Track (dopo aver avuto in passato alcune esperienze negative con software e aziende sconosciute preferisco sempre affidarmi a soluzioni meglio note), OnTrack Easy Recovery http://www.ontrackdatarecovery.it/recup ... yrecovery/ disponibile in più versioni. Prendo la demo per vedere se riesce a trovare qualcosa: la comprerò di sicuro se dovesse permettere il recupero. Dopo averlo fatto passare sul disco, però, noto solo un recupero parziale (si vede l'elenco delle cartelle, alcune sono accessibili, altre no. Lo stesso per i file). Questa non è una soluzione accettabile.
Ci dormo su una giornata e domenica mattina mi alzo con l'ascia di guerra in mano. Vi anticipo solo che il recupero completo è avvenuto solo dopo ben sei giorni, ma finalmente ce l'ho fatta. Ecco dunque tutto quello che ho fatto in maniera seria da domenica 21 Ottobre a venerdi 26 Ottobre.
Come fare seriamente il recupero
1. Ho scaricato la distribuzione Linux Parted Magic, nella versone Live per chiavetta USB
2. Come indicato qui ho creato un drive USB avviabile con Parted Magic
3. Ho preso un computer desktop, vi ho collegato il disco incriminato, inserito la chiavetta USB con il sistema operativo, un secondo disco USB da 1TB sul quale salverò quello che potrò recuperare e l'ho avviato con Parted Magic
4. Parted Magic dispone di numerosi strumenti già pronti per diagnosi e recupero dei dati. Ho aperto Partition Editor per capire quale fosse il nome assegnato al disco rotto. Nel mio caso è /dev/sda. Il nome del disco USB da 1TB per il salvataggio dei dati si chiama invece /dev/sdb
5. La prima cosa che voglio fare è salvare in qualche modo tutto il contenuto del disco per avere un backup e poi lavorarci sopra. Ho perciò aperto una console e usato ddrescue (http://www.forensicswiki.org/wiki/Ddrescue) digitando (recupera tutti i dati dai settori integri):
Codice: Seleziona tutto
ddrescue -n /dev/sda /dev/sdb log.logCodice: Seleziona tutto
ddrescue -r --max-retries=3 /dev/sda /dev/sdb rescue.logCodice: Seleziona tutto
testdiskMa, andando a guardare meglio ho notato che molte cartelle non erano state recuperate. Avevo un errore nell'accedervi e un indicazione sulla dimensione (0 byte). Purtroppo il problema era proprio sulle cartelle più recenti!
Vista però la situazione ho provato ad utilizzare testdisk anche sul disco rigido rovinato. In questo caso il risultato non è stato molto entusiasmante! Il disco lo si vede sempre come "da formattare". Ho tentato dunque il recupero con Photorec, questa volta da Windows.
Dopo un'altra giornata di lavoro Photorec aveva tirato fuori di tutto e di più ma con tutti i file sparsi in giro in varie cartelle, con nomi a caso e file di testo spezzati in più parti. Insomma, fatti salvi alcuni file il tutto è poco utilizzabile.
Tento perciò l'ultima strada. Prima faccio però un'altra immagine del disco rovinato (seguendo ancora la procedura con ddrescue) su un secondo HDD USB per avere un ulteriore backup in caso di problemi. Poi procedo utilizzando il comando checkdisk di Windows 7 sul disco USB da 1TB con l'immagine del disco rovinato. Collego il disco USB ad un computer Windows e da una console aperta da Amministratore digito (al disco USB era stata assegnata la lettera di unità e):
Codice: Seleziona tutto
chkdsk e: /f 
Grazie 