Cos'è la scultura di file?
L'eliminazione del file è una tecnica utilizzata nella forense del computer per estrarre un file formattato o dati da un'unità disco o altro dispositivo di archiviazione senza l'assistenza del filesystem che ha creato originariamente il file. Esistono diversi metodi e algoritmi che possono essere utilizzati, ma il processo comporta essenzialmente la scansione attraverso i dati disponibili su un dispositivo di archiviazione e quindi, in un modo o nell'altro, verificando se tali informazioni sono un file o contiene alcune informazioni predefinite di importanza. Un filesystem non è presente durante il processo di intaglio dei file, quindi tutte le informazioni su un disco devono essere valutate per il suo contesto, il che significa che il processo può richiedere molto tempo e, a seconda dello stato del dispositivo di archiviazione, può avere una bassa velocità di successo. È incredibilmente difficile, ma possibile, ritagliare i file da unità che hanno una grande quantità di frammentazione dei file. Il risultato finale di un file intagliato di successo è la ricostruzione di un file in modo tale che il suo conteGli NT sono completamente presenti, sebbene un risultato accettabile in alcune situazioni possa essere un file parzialmente ricostruito se vengono recuperate informazioni pertinenti sufficienti.
In alcuni casi, tramite guasto hardware, errore umano o attacco dannoso, il file system di un dispositivo di archiviazione e tutte le informazioni su di esso possono essere cancellate. A seconda di come sono state rimosse le informazioni, il disco stesso potrebbe ancora contenere tutte le informazioni che in precedenza erano presenti, ma in un flusso di byte non ordinato e disorganizzato. Un meccanismo che rende possibile la scultura dei file è che, quando molti filesystem cancellano un file da un'unità, non rimuovono i dati ma segnano invece quell'area del disco come disponibile per nuovi file. I vecchi dati rimangono fino a quando non vengono sovrascritti e, anche in quel caso, c'è ancora la possibilità che possano essere recuperati.
Una tecnica molto semplice utilizzata nella scultura di file implica passare attraversoblocchi di informazioni su un disco in cerca di firme di file. Questi sono pezzi strutturati che indicano l'inizio di un file di un tipo particolare. Un esempio è l'inizio di un file di immagine che potrebbe contenere la larghezza e l'altezza dell'immagine e alcuni dati della tavolozza dei colori. Se si trova un blocco di dati che corrisponde in modo pulito all'intestazione di un tipo di file, quindi un tentativo di interpretare i dati seguendo l'intestazione viene effettuato per vedere se in realtà sono i dati del file. In caso di successo, ciò potrebbe portare alla ricostruzione del file originale.
Una complicazione che si verifica nella scultura di file ha a che fare con i file frammentati, il che significa che il file viene archiviato in due o più posizioni fisiche diverse su un disco. Alcune tecniche non tentano di ricostruire questi tipi di file. Altri metodi utilizzano la conoscenza esistente dei filesystem per tentare di approssimare laddove le altre parti di un file potrebbero essere individuate, sebbene questo processo sia molto difficile.