Go to Top

Investigazione privata: i file system

Investigazione privata file system

La struttura logica dei dati su disco viene gestita dal file system. FAT (File Allocation Tables) è un file system molto popolare conosciuto fin dai tempi del DOS. Al giorno d’oggi i sistemi FAT sono stati quasi completamente sostituiti dai più avanzati NTFS (New Technology File System). FAT e NTFS sono per la maggior parte utilizzati sui sistemi operativi Microsoft. I sistemi operativi open source si basano invece principalmente su file system extendedeEXT (versione quattro – ext4) e sul meno conosciuto Reiser File System (ReiserFS), il cui sviluppo viene costantemente monitorato, forse perché il suo ideatore, Hans Reiser, sta scontando una condanna all’ergastolo per l’omicidio della moglie. Ma ora basta parlare di gossip e andiamo al punto in questione!

Indipendentemente da quale sia il produttore del vostro hard drive, le funzioni di scrittura e lettura sono gestite dal file system utilizzato dal vostro sistema operativo. Per iniziare ad utilizzare un disco nuovo appena acquistato dovete scegliere voi il file system, altrimenti il sistema operativo non sarà in grado di usarlo (oggi, in realtà quasi tutti gli hard disk sono pre-formattati). Questo processo prende il nome di “formattazione”. Potete successivamente suddividere il drive in strutture più piccole chiamate partizioni. Le informazioni relative alle partizioni si trovano nel settore denominato Master Boot Record (MBR), nella parte iniziale del disco. Vale la pena sottolineare che una delle partizioni contiene le informazioni necessarie per l’avvio del sistema operativo (archiviata nel settore denominato BIOS Parameter Block – BPB che esiste sulla partizione FAT e NTFS e conserva importanti informazioni sulla struttura logica delle partizioni stesse).

Di solito un normale utente non fa attenzione a questi dettagli, anche se gli vengono mostrati con frequenza durante l’installazione di un nuovo sistema operativo o quando effettua il ridimensionamento della partizione. Danni al settore di avvio del disco (boot sector) non rimuoveranno i vostri dati in maniera permanente ma il seguente messaggio potrebbe farvi saltare sulla sedia!

No bootable device — insert boot disk and press any key 

(Il dispositivo non è di avvio – inserire un disco di avvio e premere un tasto)

Dove sono i file?

“Contrariamente a quanto si possa pensare, il sistema operativo non salva i file in segmenti contigui. Perché? Perchè una soluzione del genere non sarebbe sicura, anche lievi danni al disco aumenterebbero la probabilità di non essere più in grado di leggere determinati file. Infatti i segmenti creano i cluster e i cluster che contengono tutte le informazioni relative ad un file vengono sparpagliati su tutto il disco e la loro distribuzione è determinata dal file system.”

Robin England, Senior Research and Development Engineer at Kroll Ontrack

FAT – File Allocation Tables

FAT ha iniziato la sua carriera su MS-DOS. Esso si basa su tabelle di allocazione che contengono informazioni su come sono distribuiti i vari segmenti del file nella partizione. Tutti i file sul disco vengono descritti nella directory utilizzando un numero di cluster che è memorizzato all’inizio del file. Il sistema poi calcola il numero di allocazione fisica del cluster utilizzando le coordinate testina, traccia e settore. Una partizione FAT contiene le informazioni per identificare i segmenti successivi alla prima parte del file ma anche le informazioni con il numero ID del cluster successivo che contiene la parte rimanente del file fino a quando anche l’ultimo cluster viene localizzato (questo viene marcato con un tag end-of-file)

NTFS – New Technology File System

Il più moderno NTFS si basa anch’esso sulle tabelle di allocazione. Le informazioni sulla disposizione dei dati nella partizione sono memorizzate sul Master File Table (MFT), le copie delle tabelle (MFT Mirrors), però, sono allocate in spazi diversi rispetto all’originale MFT quindi si riduce la probabilità di un funzionamento non corretto in contemporanea.  , che ha cataloghi separati che memorizzano tutte le modifiche apportate ai file. Quando salvate i dati, questi vengono prima memorizzati nel log e in seguito nel drive. Questo metodo riduce in maniera significativa il rischio di perdita di file durante il processo di memorizzazione, che, sfortunatamente, è il lato negativo del file system FAT. Come è possibile notare dall’immagine sopra, l’utilizzo di NTFS aumenta significativamente il volume di metadati, informazioni che non sono direttamente collegate ai nostri file ma che sono necessarie per l’operatività del file system. I metadati consentono di tracciare con precisione la cronistoria di ciò che accade sul computer.

File system vs dimensioni del file e capacità del supporto

La differenza tra i file system si vede anche nella dimensione massima dei supporti e dei file che sono in grado di gestire. Ad esempio, il più vecchio FAT12 supportava drive fino a 32MB ma oggi FAT32 può gestire fino a 16 TB di capacità, la dimensione massima dei file è di 4 GB meno 1 byte.

A confronto, l’NTFS è teoricamente in grado di gestire sia file che media di dimensioni pari a 16 EB (1EB holds 1,000 petabytes)!   meno un 1KB! In pratica, Windows 8 e Windows Server 2012 supportano una dimensione massima di file di 256TB meno 64 KB.

I media corrotti contengono quindi un volume di informazioni extra che devono essere lette e interpretate in maniera corretta in modo da consentire un recupero dati di successo. In questo contesto la procedura di data recovery ricorda una sorta di caccia al tesoro nella quale si cercano i frammenti della mappa e degli indizi per scoprire dove è sepolto il tesoro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *