Recupero dei dati cancellati

Tra i quesiti che vengono posti ad un esperto di Digital Forensics il più comune riguarda il “recupero dei dati cancellati”. Ogni volta che si parla di dati cancellati una delle domande che mi sento rivolgere più frequentemente è: “ma se sono cancellati com’è possibile che si riesca a recuperarli?”. La risposta a questa domanda è piuttosto semplice e forse un po’ deludente: – (quando) si riescono a recuperare i dati cancellati (è) perché, di fatto, non sono cancellati! Facciamo il solito esempio: io scrivo una bella relazione utilizzando Word, la memorizzo sul mio computer, la conservo per il tempo necessario poi la metto nel cestino e, successivamente, svuoto il cestino. A questo punto, per me, la relazione è cancellata in quanto io non ne posso più disporre ma, un’analisi forense del mio computer riuscirebbe a recuperarla. Perché? Consideriamo il nostro Hard Disk come un grande cassetto vuoto nel quale inseriamo tutti i nostri documenti. Ci saranno documenti di una pagina, altri di tre pagine, altri di 100 pagine. Se noi li riversiamo tutti nel cassetto uno sopra l’altro andrà a finire che, per recuperare, un domani, il documento di 30 pagine scritto 3 mesi fa, dovremmo esaminarli foglio per foglio a causa della confusione che si sarà creata. Per ovviare a questo inconveniente possiamo allora suddividere il nostro cassetto in tante piccole caselle numerate, ognuna delle quali potrà contenere solo un foglio. Avremmo così “formattato” il nostro cassetto, proprio come accade per l’Hard Disk. Ora inseriamo nelle caselle i nostri documenti: nelle prime 5 caselle un documento di 5 pagine, nelle successive 10 caselle un documento di 10 pagine e così via. Nel fare ciò provvederemo anche a scrivere un piccolo indice, come quello dei libri, dove riporteremo in quali caselle c’è il primo documento, in quali il secondo, in quali l’ennesimo. Il nostro computer si comporta esattamente così: memorizza i file spezzettandoli in tanti piccoli frammenti ognuno dei quali occupa una “casella” dell’Hard Disk e poi scrive, in un indice separato, in quali caselle c’è il primo file, in quali il secondo e in quali l’ennesimo. Quando cancelliamo un file, quindi, non lo eliminiamo fisicamente dalle sue caselle, ma semplicemente ne eliminiamo il suo riferimento nell’indice creato separatamente. Non trovando più il file nell’indice il computer lo considera cancellato ma, di fatto, il file è ancora nell’Hard Disk: all’interno delle caselle che gli erano state assegnate. Questa condizione permarrà fino a quando un nuovo file non occuperà quelle caselle che per l’indice erano libere e, di conseguenza, il file cancellato a quel punto diverrà irrecuperabile. Un file cancellato, dunque, non viene eliminato fisicamente dall’Hard Disk, ma ne viene eliminato il suo riferimento dall’indice creato per individuarlo in mezzo agli altri file. Fino a quando un nuovo file non andrà ad occupare le caselle di quello da noi cancellato (e dal computer eliminato dall’indice), il file originale, che occupa fisicamente l’hard disk, sarà recuperabile proprio perché ancora presente.

CrimeLab – Via delle medaglie d’oro 44, 00136 Roma
+39 335 355167
Tel. 06 397 51336
info@crimelab.it
www.crimelab.it