Negli ultimi anni, abbiamo assistito a un gran numero di strumenti commercializzati come soluzioni per il recupero dati. Tuttavia, testando alcuni di questi strumenti, abbiamo scoperto che non tutti sono adatti al compito. Il fattore principale di differenziazione è il tipo (o i tipi) di algoritmi di recupero dati utilizzati in questi strumenti. Ma prima di tutto, vediamo cosa succede quando Windows elimina un file.
Contenuti
Perché è possibile recuperare file cancellati
In Windows (e in molti altri sistemi operativi che non utilizzano file system criptati o altri contenitori sicuri), eliminare un file non significa che il suo contenuto effettivo venga sovrascritto (l’eccezione qui sarebbero i dischi SSD, che rappresentano un caso particolare). Invece, Windows si limita a contrassegnare un record del file system appartenente a quel file come “eliminato”. In pratica, questo libera lo spazio su disco che era utilizzato dal file eliminato, rendendolo nuovamente disponibile come spazio libero. Da questo momento in poi, Windows può reclamare – e utilizzare! – quello spazio per memorizzare informazioni appartenenti a qualsiasi altro file. Utilizzare lo spazio liberato per memorizzare un file diverso sovrascriverà effettivamente il contenuto originale e renderà impossibile il recupero successivo del file eliminato originale.
Tuttavia, ciò di solito non avviene immediatamente. Con dischi rigidi di grandi dimensioni, Windows ottimizza le sue operazioni di scrittura scrivendo nuovi dati nei blocchi di spazio libero più grandi. Questo aiuta a evitare la frammentazione e permette ai file di crescere senza frammentarsi. Di conseguenza, lo spazio su disco appartenente a un file eliminato può rimanere inutilizzato per molto tempo. Il contenuto originale del file eliminato sarà disponibile per il recupero se si utilizza lo strumento giusto.
Recupero file tramite il file system
Il modo in cui la maggior parte degli strumenti di recupero e ripristino dei file funziona è scansionando il file system alla ricerca di record che puntano a file eliminati. Analizzando questi record, uno strumento di recupero può determinare quali blocchi fisici o settori sul disco appartengono al file che è stato eliminato, leggere le informazioni da quei blocchi e salvare il file originale.
O almeno questo è il modo in cui gli strumenti di recupero dati funzionavano in passato. Oggi, abbiamo la possibilità di utilizzare un altro algoritmo in aggiunta (o in sostituzione) al file system. Leggi Come Funziona il Data Carving per saperne di più.
