Quando sotto Linux l'utilizzo del comando rm vi porta a cancellare il file o la directory più “sacra” che avete, ci sono buone possibilità che l'ansia prenda il sopravvento. Se però siete sotto file system Ext3 (o Ext2) avete a disposizione un'ultima chance, grazie ad una raccolta di script denominata ext3undel.

Per l'installazione sono necessarie le dipendenze dei seguenti pacchetti disponibili in quasi tutti i repository delle maggiori distribuzioni Linux: Sleuthkit, PhotoRec (già visto in un precedente articolo) e Foremost. Gli script invece sono disponibili nel formato tarball, RPM e DEB.

Quando creiamo un file sotto Ext3 i suoi metadati - nome, dimensione, data di creazione e di accesso - vengono registrati nella struttura dati di UNIX chiamata inode mentre il suo contenuto viene suddiviso in tanti blocchi memorizzati sul disco di destinazione. Con l'eliminazione di un file viene persa l'associazione tra metadati e blocchi, che vengono contrassegnati come liberi per future assegnazioni. Quindi finché non avviene una sovrascrittura o una particolare frammentazione dei file, queste aree possono essere recuperate.

Lo script ext3undel in realtà non fa altro che richiamare altre due utility: GABI (Get All Back Immediately) e RALF (Recover A Lost File). La funzionalità sta tutta nel nome; con gabi infatti una volta indicata la partizione da recuperare, il disco di lavoro e i tipi di file su cui focalizzarsi verranno scansionati tutti i blocchi liberi della partizione sorgente alla ricerca della “firma” lasciata dal file cancellato. Visto che i dati dell'inode non possono essere recuperati è l'utente stesso che manualmente se li deve riordinare per trovare specificatamente quello che stava cercando. Con ralf invece lavoriamo su file specifici interrogando direttamente l'inode per poi richiedere al file system la lista di quei blocchi, che un tempo avevano un'associazione diretta.

Come era facile intuire dalle dipendenze, entrambi gli script utilizzano programmi esterni famosi soprattutto nell'ambito della Computer Forensics. Per gabi abbiamo Foremost e PhotoRec mentre per ralf Sleuthkit.