File Recovery e Data Carving

Con Metadati

• I vari sistemi operativi, utilizzano i propri file system, ai fini di permettere l'accesso, la memorizzazione e la modifica dei dati
• Allo stesso modo, i supporti di memorizzazione, permettono le suddette operazioni, in accordo al file system utilizzato
• Con l'aiuto di specifici metadati, il sistema operativo è in grado di identificare la tipologia dei dati
• I metadati contengono diverse informazioni tecniche utili
• Grazie ai metadati è anche possibile migliorare l'indicizzazione e la ricerca nei sistemi operativi

Senza Metadati

• Senza considerare i metadati (poiché potrebbero non essere disponibili), ma sfruttando alcune caratteristiche della struttura dei file, è possibile effettuare un processo di recupero di dati e file, dai seguenti punti:
  • Slack space (spazio allentato)
  • Unallocated space (spazio non allocato)

Slack Space

• Il cluster (tipicamente di 4 KB) è l'unità più piccola che è possibile indirizzare da un file system
• Per la memorizzazione di un file possono servire più cluster
  • Il cluster che memorizza l'ultima parte di un file, potrebbe essere non completamente utilizzato
• Lo spazio che intercorre dalla fine del file alla fine dell'ultimo cluster è chiamato slack space

Lo slack space è importante nelle indagini forensi, poiché al suo interno possono esservi dati appartenenti a file cancellati precedentemente

Unallocated Space

• Quando un file viene eliminato, i cluster allocati per esso, divengono non allocati
  • Tali cluster sono quindi contrassegnati come liberi (unallocated) e non saranno modificati finché non saranno riallocati
• Tramite i metadati, qualora disponibili, è possibile provare a recuperare file eliminati
  • Ad esempio in NTFS, quando un file viene eliminato, la relativa entry nella Master File Table (MFT) viene contrassegnata come unallocated
  • Tuttavia, tale entry conterrà ancora i metadati relativi al file eliminato, finché non verrà sovrascritta
• L'unallocated space diviene quindi potenzialmente importante
• All'interno dell'unallocated space, i metadati dei file potrebbero non essere presenti o potrebbero essere corrotti
  • Ad esempio in NTFS i metadati sono contenuti nelle entry della MFT, le quali molto probabilmente sono state riutilizzate per altri file
• In questi scenari è comunque possibile sfruttare alcune caratteristiche strutturali del contenuto dei file (header o footer), al fine di provare a ricostruire i file eliminati