R-Studio è uno dei software più avanzati e completi nel panorama del data recovery professionale. Attualmente, è uno degli strumenti più completi per il recupero dati, in particolar modo grazie alla sua capacità di supportare un’ampia gamma di file system, inclusi NTFS, FAT/exFAT, HFS/HFS+, APFS, Ext2/3/4, ReFS e molti altri. D’altro canto, l’interfaccia e la struttura operativa possono risultare estremamente complesse, soprattutto per utenti non specializzati e, talvolta, anche per professionisti senza esperienza specifica nel recupero dati.
R-Studio consente operazioni avanzate come la ricostruzione di RAID danneggiati o disallineati (anche in modalità manuale), il recupero di file da dischi formattati, partizioni corrotte o cancellate, e l’analisi esadecimale del contenuto dei dischi. Inoltre, integra funzionalità di imaging forense, supporta il recupero remoto dei dati in rete TCP/IP e permette di lavorare direttamente su dump di memoria o immagini disco in formato raw, E01, o affini. Grazie al suo motore di scansione altamente configurabile, è possibile anche intervenire su supporti gravemente compromessi settando parametri specifici per l’analisi di aree danneggiate. Insomma: un vero coltellino svizzero per il recupero dati, se saputo usare correttamente (e qui mi ripeto: in certi versi è davvero macchinoso e complicato, ma è proprio grazie alla sua versatilità che permette di fare ciò che è in grado di fare!).
Nel processo di recupero dei dati, R-Studio utilizza un sistema basato sul riconoscimento delle firme dei file, ovvero sequenze specifiche di byte (dette magic numbers) che caratterizzano l’inizio, ed alcune volte anche la fine, di un determinato formato di file. Nella pratica, ogni tipologia di file ha sempre un inizio ben delineato ed identico, qualunque sia il contenuto del file stesso.
Queste firme, uniche per ciascun tipo di file, permettono al software di identificare e ricostruire i dati anche in assenza di un file system integro, analizzando direttamente il contenuto grezzo del disco.
R-Studio include di default un vasto database di firme, capace di riconoscere centinaia (se non migliaia) di estensioni diverse. Tuttavia, non tutti i formati sono supportati nativamente: per alcuni file meno comuni o specifici, il software non è in grado di effettuare un recupero autonomo. In questi casi, l’utente è costretto ha creare manualmente nuove firme personalizzate, “insegnando” a R-Studio a riconoscere i file che non sono previsti all’interno del database originale.
L’idea di scrivere questo articolo mi è venuta proprio a causa dell’assenza, all’interno del database, della firma necessaria ad individuare i file di tipo “.p7m”, utilizzati per firmare digitalmente i documenti. Un file con estensione “.p7m” è un documento firmato digitalmente secondo lo standard PKCS#7. In pratica, si tratta di un file (ad esempio PDF, XML o altro) che è stato racchiuso in un contenitore crittografico che garantisce l’integrità e la provenienza del documento tramite firma digitale.
Individuare la firma di un file
Come primo step, è necessario individuare la firma della tipologia di file che vogliamo recuperare. È quindi opportuno ottenere un file con la medesima estensione di cui vogliamo effettuare il recupero. Se abbiamo necessità, come nel mio caso, di recuperare un documento “.p7m”, è opportuno ottenere (magari anche con una semplice ricerca su Google o generandolo ex novo) un file con tale estensione.
Fatto ciò, dovremmo utilizzare un editor esadecimale al fine di leggere il contenuto del file. Uno dei più famosi editor in tal senso è “HxD“, disponibile gratuitamente e più che sufficiente per il nostro scopo.
Dopo aver installato ed avviato HxD, trasciniamo all’interno dello stesso il file del quale vogliamo estrarre la firma e voilà… dovremmo ritrovarci con una situazione simile a quella riportata nello screenshot qui sopra.
Ciò di cui abbiamo bisogno è la prima riga che vediamo all’interno di HxD, ovvero i primi 16 byte che compongono l’inizio del file che abbiamo analizzato e che possono essere considerati la firma digitale di quella specifica estensione. Nella pratica, qualsiasi documento con la medesima estensione presenta 16 coppie esadecimali identiche.
Trovati i primi 16 byte, dobbiamo procedere ora all’inserimento degli stessi all’interno di un nuovo “Know File Types” in R-Studio. Per fare ciò, rechiamoci nelle impostazioni del software (Tools-> Settings) e nella scheda “Know File Types” facciamo click sul bottone “Edit User’s File Types“. A questo punto dovremmo ritrovarci davanti una finestra come quella qui sotto riportata.
A questo punto siamo quasi giunti al termine dell’operazione. Dopo aver indicato sulla parte destra una descrizione del file e la relativa estensione (dove, ovviamente, dovrete andare a scrivere l’estensione del file al quale la firma fa riferimento), potrete aggiungere alla voce “Begin” la stringa relativa ai primi 16 byte che avete individuato in precedenza mediante HxD.
L’inserimento della firma in conclusione del file non è obbligatoria e per tale motivo, nel nostro esempio, non è stata inserita.
Potrete ora salvare l’estensione personalizzata ed utilizzarla per il recupero dati!