Buongiorno, devo clonare un disco Linux (Ext4) appartenente a un raid mirror all'interno di un NAS Qnap. Deve essere una copia identica, in cui sfrucugliare alla ricerca improbabile di residui di alcuni file sovrascritti. Non ho alcuna esperienza con Linux, per ora voglio limitarmi a creare la copia, utilizzando un Pc Windows 7. Potete darmi un vostro parere se sia meglio:

-utilizzare Clonezilla, che da quello che capisco crea una copia del filesystem

-utilizzare il comando dd, che da quello che capisco va usato con attenzione per non creare danni e che però fa una clonazione bit per bit anche dello spazio vuoto (non ho necessità forensiche-legali, devo solo cercare ogni possibile traccia)

-utilizzare dd da Clonezilla?

se c'è qualcuno che può darmi un consiglio... grazie!

Potresti usare dd per fare un'immagine perfetta della partizione, ma se i dati che cerchi li hai proprio sovrascritti non credo che riuscirai a trovarne traccia.

Inviato dal mio LG-H815 utilizzando Tapatalk

se c'è qualcuno che può darmi un consiglio... grazie!

non ti so' dire un sw di recupero usavo stellar phoenix tempo fa'.. ma...

devi cercare di recuperarli sull'HD esistente, se fai una copia, la fai dei file attuali, ma non potrai mai trovare file sovrascritti perche non vengono replicati sulla copia
;)

grazie delle risposte!

beh devo fare una copia perchè essendo parte di un array raid non posso permettermi che il disco originale venga compromesso durante le ricerche

so che le possibilità sono poche , però qualcuno mi ha detto che essendo file copiati, spostati, cancellati, sovrascritti molte volte, può darsi che qualche residuo si trovi

adesso devo capire se devo proprio usare dd oppure se clonezilla può essere sufficiente, visto che i settori vuoti non mi servono

Esatto
Ma i sw di recupero leggono i dati dal l'hd originale che se cancello un file non è detto venga sovrascritto

una copia troverebbero solo la copia scritta sul disco visto che c'è solo quello scritto
I sw di recupero non scrivono su l'hd originale lo leggono e basta
travasano i dati su un altro hd per recuperare file
' idea di avere un altro hd e' giusta e' il metodo che vuoi usare sbagliato

Ti serve un sw di recupero dati non uno per duplicare partizioni
;)

Inoltre se è in raid 1 se metti un disco nuovo nel nas riparando il volume si duplica automaticamente, è fatto apposta in caso di guasto di uno dei due dischi
;)

ok adesso ho capito, cerco sull'originale e salvo su un altro disco

rimane questo problema: sono costretto ugualmente a fare prima la copia su un disco, perchè si tratta di file persi ma di archivio, che non devo tentare di recuperare con urgenza, e preferisco tenere lì la copia ferma e rimettere subito al lavoro il disco originale nel raid, non ho possibilità adesso di organizzare una ricerca (trovare il software come dici tu, o darlo a qualcuno che sappia il fatto suo)

ma dimmi secondo te clonezilla è sufficiente, o ha senso che io faccia la coppia esattissima con dd anche dei settori vuoti?? nel senso che, essendo quelli da ritrovare semplici file .txt, mi andrebbero bene anche frammenti di file sparsi, e vorrei che il programma di clonazione non li lasciasse fuori considerandoli vuoti... tu cosa faresti, andresti di dd bit per bit?

preferisco tenere lì la copia ferma e rimettere subito al lavoro il disco originale nel raid,
fai il contrario metti il disco nuovo nel nas e ripara il volume e tieni l'hd da recuperare fermo

Non hai capito
il sw che clona la partizione non legge i file cancellati sotto, ma solo i dati attuali scritti
La cosa che vuoi fare è inutile, non recuperi niente da una copia,
se non vuoi fare un recupero sul hd originale considerali persi per sempre
;)

Solitamente uso dd (sii cosciente che il disco potrebbe già soccombere a questo, potenzialmente molto lungo, passo).
Esempio di recupero di disco appartente a NAS Raid1 con un disco perso:
sertan ~ # dd bs=1M if=/dev/sdd of=/mnt/archive/nas1.img
sertan ~ # fdisk -lu /mnt/archive/nas1.img
Disk /mnt/archive/nas1.img: 500 GiB, 536870912000 bytes, 1048576000 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x30f5662d

Dispositivo Avvio Start Fine Settori Size Id Tipo
/mnt/archive/nas1.img * 2048 973092863 973090816 464G 83 Linux
Notare il valore evidenziato in fdisk:

settore in cui inizia la partizione: 2048
dimensione settore: 512 bytes

Offset in byte 2048 * 512 = 1048576

Nota: solitamente prima di iniziare ad accedere e modificare l'immagine ne faccio una copia.

sertan ~ # losetup -o 1048576 --show -f /mnt/archive/nas/nas.disk
/dev/loop0
Se tutto va bene a questo punto si dovrebbe avere la partizione montata su un loop device.
Solitamente il passo successivo è un check del file system (in questo caso era una partizione ext3, fosse stata NTFS avrei forse provato a darla in pasto ad una macchina virtuale Win, ma non mi sono ancora trovato in una situazione simile...)sertan ~ # fsck -y /dev/loop0
Se il disco ha reso dati danneggiati si vedranno anche molti messaggi di correzione...
Incrociare le dita e via!
sertan ~ # mount /dev/loop0 /mnt/nas

Questi i passi base per una situazione non drammatica.
Se mancassero dati importanti si potrebbe tentare un recupero diretto sull'immagine iniziale con software di tipo forense che analizzano l'intera immagine, spazio definito in uso dal file system o no (primo esempio che mi viene in mente: foremost (https://www.mankier.com/8/foremost)).

Altro programma molto utile per l'eventuale ricostruzione della tabella delle partizioni se fosse andata persa TestDisk (https://www.mankier.com/8/testdisk).