Cos’è il data carving? In che modo il carving è di ausilio nelle attività di analisi? Quali sono i presupposti per eseguire il carving?
Il data carving è una tecnica che consente di recuperare file dallo spazio non allocato di un supporto di memorizzazione di dati digitali (ad esempio un hard disk o una chiavetta USB) anche quando non vi è più traccia di quel file nella tabella di allocazione.
Data carving: i presupposti
Quando da un hard disk vengono cancellati dei file, quello che accade realmente è che il file viene marcato come “eliminato” ma continua a rimanere memorizzato sul supporto informatico.
Facendo una metafora, è come se buttassimo nel cestino un pezzo di carta e finchè non passa il camion della spazzatura il foglio è ancora nel nostro ufficio.
Questo accade per qualsiasi file cancellato. Talvolta rimane traccia del file nell’indice del file system pertanto il recupero è anche piuttosto semplice con un semplice programma di recupero file cancellati. In altri casi si perde il riferimento al file e l’unica strada praticabile è quella del carving.
Da un punto di vista più tecnico, il data carving è l’attività di recupero file cancellati che si realizza quando si perde la entry del file (ad esempio nella MFT del file system NTFS).
Data carving: funzionamento tecnico
Per procedere al carving è necessario disporre di una copia forense completa del supporto fisico: non avrebbe infatti senso operare su una copia logica.
Il funzionamento del carving per recuperare file cancellati è il seguente:
- si scorrono tutti i bit del supporto in maniera sequenziale, dal primo all’ultimo
- si leggono i vari bit fino a quando non si rileva un header noto: ad esempio, i file PDF iniziano con i caratteri %PDF
- si scorrono i bit sino a quando non si rileva il footer associato a quell’header: sempre nel caso dei file PDF tutti i file terminano in EOF
- si interpreta la prima serie di bit (signature) per inferire se si tratta dell’inzio di un file, di una dimensione di una data struttura dati, di un parametro che determina cosa c’è dopo o di un puntatore ad un file;
- tutto ciò che è nel mezzo viene così aggregato e viene salvato un file PDF
- viceversa quando si incontra un header differente significa che il file non era continuo o era sovrascritto e quindi si ricomincia dal punto 2
Il data carving può basarsi sistono tre diversi tipi di data carving:
- Data carving basato sui cluster
- Data Carving basato sui settori
- Data Carving basato sui byte
Quando non è possibile utilizzare la tecnica del data carving?
Il data carving non consente il recupero dei file in tre casi principali:
- quando il file è stato sovrascritto (anche solo parzialmente) e quindi non è possibile recuperare il file in maniera integra
- quando il file è stato frammentato in più settori non contigui sul supporto, non potendo così ricostruire l’intero flusso di dati
- quando il file non ha un header e un footer caratterizzante, ad esempio nei file di testo, pertanto non è possibile capire quando inizia e quando finisce un file
Quando si ricorre al carving nella analisi forensi?
Il ricorso alla tecnica del data carving avviene in qualsiasi perizia ctu o ctp, ossia in qualunque analisi di informatica forense. Infatti è senza dubbio opportuno eseguire un accertamento completo che prenda in considerazione anche i file cancellati. Inoltre si ricorre al carving quando occorre recuperare dati da hard disk danneggiati.
Il recupero di un file tramite carving permette di estrarre i file ma spesso non i metadati associati quali ad esempio:
- data di creazione
- data di ultima modifica
- data di ultimo accesso
- nome del file
- percorso del file
- data di cancellazione
