Cos'è il File Carving?
La scultura di file è una tecnica utilizzata nella medicina legale per estrarre un file o dati formattati da un'unità disco o altro dispositivo di archiviazione senza l'assistenza del filesystem che ha originariamente creato il file. Esistono diversi metodi e algoritmi che possono essere utilizzati, ma il processo prevede essenzialmente la scansione dei dati disponibili su un dispositivo di archiviazione e quindi, in un modo o nell'altro, verificare se tali informazioni sono un file o contengono alcune informazioni predefinite di importanza. Un filesystem non è presente durante il processo di intaglio dei file, quindi tutte le informazioni su un disco devono essere valutate per il suo contesto, il che significa che il processo può richiedere molto tempo e, a seconda dello stato del dispositivo di archiviazione, può avere un basso tasso di successo. È incredibilmente difficile, ma possibile, scolpire i file da unità che presentano un'elevata frammentazione dei file. Il risultato finale di un intaglio riuscito del file è la ricostruzione di un file in modo tale che il suo contenuto sia pienamente presente, sebbene un risultato accettabile in alcune situazioni possa essere un file parzialmente ricostruito se vengono recuperate sufficienti informazioni pertinenti.
In alcuni casi, sia in caso di guasto hardware, errore umano o attacco dannoso, è possibile cancellare il file system di un dispositivo di archiviazione e tutte le informazioni su di esso. A seconda di come sono state rimosse le informazioni, il disco stesso potrebbe contenere ancora tutte le informazioni precedentemente presenti, ma in un flusso di byte non ordinato e disorganizzato. Un meccanismo che rende possibile il carving dei file è che, quando molti filesystem cancellano un file da un'unità, non rimuovono i dati ma contrassegnano invece l'area del disco come disponibile per i nuovi file. I vecchi dati rimangono fino a quando non vengono sovrascritti e, anche in quel caso, esiste ancora la possibilità che possano essere recuperati.
Una tecnica di base utilizzata nella scultura di file prevede il passaggio attraverso blocchi di informazioni su un disco alla ricerca di firme di file. Questi sono pezzi strutturati di dati che indicano l'inizio di un file di un tipo particolare. Un esempio è l'inizio di un file di immagine che potrebbe contenere la larghezza e l'altezza dell'immagine e alcuni dati della tavolozza dei colori. Se viene trovato un blocco di dati che corrisponde perfettamente all'intestazione di un tipo di file, viene eseguito un tentativo di interpretare i dati seguendo l'intestazione per vedere se sono effettivamente i dati del file. In caso di successo, ciò potrebbe portare alla ricostruzione del file originale.
Una complicazione che si verifica nella scultura di file ha a che fare con file frammentati, il che significa che il file viene archiviato in due o più posizioni fisiche diverse su un disco. Alcune tecniche non tentano di ricostruire questi tipi di file. Altri metodi usano la conoscenza esistente dei filesystem per tentare di approssimare dove potrebbero trovarsi le altre porzioni di un file, sebbene questo processo sia molto difficile.