Il Data Carving, conosciuto anche come file carving, è una tecnica avanzata di recupero dati utilizzata principalmente in ambito forense digitale. A differenza dei metodi tradizionali, il data carving permette di estrarre informazioni da supporti danneggiati, formattati o parzialmente sovrascritti anche quando il file system è assente o compromesso.
In questo articolo esploreremo in dettaglio cos'è il data carving, come funziona, le sue applicazioni principali e gli strumenti più utilizzati nel campo della sicurezza informatica e dell'analisi forense.
Il processo di data carving avviene generalmente in tre fasi:
Il software analizza byte per byte il contenuto binario alla ricerca di firme note (magic numbers) che identificano l'inizio e la fine di un file. Ad esempio:
JPEG: FFD8 all'inizio, FFD9 alla fine
PDF: %PDF e %%EOF
ZIP: 504B0304
Una volta trovate le firme, il sistema estrae la sequenza di byte compresa tra header e footer, copiandola in un nuovo file.
Alcuni strumenti avanzati tentano di ricostruire i file corrotti o parziali, effettuando una verifica sulla consistenza del contenuto (checksum, struttura interna, ecc.).
Nel contesto delle indagini digitali, il data carving è essenziale per recuperare prove anche da dispositivi danneggiati, formattati o volutamente manomessi.
Molti software di recupero dati per utenti comuni impiegano tecniche di file carving per ripristinare documenti, foto e archivi cancellati.
Durante la risposta a un incidente, il data carving può aiutare a recuperare file esfiltrati, modificati o nascosti da malware.
Assenza di Metadati: I file recuperati spesso non includono nomi originali, timestamp o directory.
Frammentazione: Se i blocchi di un file sono sparsi non contigui, il carving potrebbe fallire.
Falsi Positivi: La presenza di pattern casuali può generare file corrotti o falsi.
Ecco alcuni tra gli strumenti open source più noti e affidabili:
Scalpel – Leggero, rapido e configurabile.
PhotoRec – Estremamente potente e compatibile con diversi formati.
Foremost – Sviluppato dalla US Air Force, ideale per contesti forensi.
bulk_extractor – Per analisi avanzate su grandi volumi di dati.
Se sei un professionista della sicurezza informatica o uno sviluppatore interessato a creare strumenti di data carving, ecco alcune raccomandazioni:
Automatizza la scansione delle firme in ambienti Linux con script in Python.
Combina il carving con hash analysis per verificare l’integrità dei file.
Sperimenta con file system virtuali (es. EWF, AFF) per test su immagini forensi.
Tieni aggiornati i database di firme, specie se sviluppi software di carving personalizzati.
Il Data Carving rappresenta uno degli strumenti più potenti nel toolkit della digital forensics. Nonostante le sue limitazioni, resta fondamentale quando l'accesso ai metadati è impossibile. Che tu sia un analista forense, un esperto in cyber security o un programmatore curioso, comprendere il funzionamento di queste tecniche può fare la differenza tra un’analisi incompleta e una scoperta decisiva.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
