O que é o processo de Carving?

Em computação forense, um dos desafios mais comuns é recuperar dados apagados ou danificados quando não existe um sistema de arquivos íntegro disponível. Nesses casos, entra em cena uma técnica poderosa chamada carving. Ela permite extrair arquivos diretamente de um disco, imagem de memória ou outro meio digital, mesmo quando o sistema de arquivos foi corrompido ou removido.

1. Contexto: sistemas de arquivos e perda de metadados

Os sistemas de arquivos (como NTFS, FAT, EXT, APFS) mantêm tabelas e metadados que indicam onde cada arquivo está armazenado.
Quando um arquivo é deletado ou o disco é formatado, essas estruturas podem ser sobrescritas ou removidas, tornando difícil identificar onde cada fragmento de dados começa e termina.

Em casos de corrupção de partição, uso de TRIM em SSDs ou até ataques que destroem metadados, o acesso lógico aos arquivos desaparece — mas os dados brutos ainda podem estar fisicamente presentes no disco por algum tempo.

2. O que é o Carving

O carving (ou file carving) é o processo de varrer o espaço bruto de um dispositivo em busca de padrões característicos de arquivos — chamados de assinaturas ou magic numbers — para reconstruí-los sem depender da estrutura original do sistema de arquivos.

• Função: recuperar arquivos perdidos baseando-se apenas no conteúdo binário.

• Onde atua: nível físico do disco ou imagem de memória, ignorando o sistema de arquivos.

• Benefícios: possibilita a recuperação mesmo quando partições estão danificadas ou inexistem.

Exemplo prático: ao analisar um disco formatado, uma ferramenta de carving pode identificar que um bloco contém um cabeçalho típico de arquivo JPEG (FF D8 FF) e outro contém o rodapé (FF D9). Com isso, ela reconstrói a imagem mesmo sem informações do sistema de arquivos.

3. Como o Carving funciona

O processo geralmente envolve três etapas:

1. Varredura em busca de assinaturas (headers e footers):
   A ferramenta procura padrões conhecidos no início e no fim dos arquivos (ex.: PDF começa com %PDF, JPEG começa com FFD8FF e termina com FFD9).

2. Reconstrução dos dados:
   Após encontrar um cabeçalho válido, a ferramenta lê blocos subsequentes até identificar um rodapé ou um limite predefinido.

3. Validação e correção:
   Algumas ferramentas verificam a integridade do arquivo (checksums, tamanhos declarados, estruturas internas) para descartar resultados falsos ou corrompidos.

4. Limitações do Carving

Embora seja uma técnica poderosa, o carving possui desafios:

• Fragmentação: se o arquivo estiver espalhado em vários blocos não contíguos, a reconstrução pode falhar ou resultar em arquivos corrompidos.

• Falsos positivos: padrões binários podem aparecer por acaso, gerando arquivos inválidos.

• Criptografia: dados criptografados não podem ser identificados por assinaturas conhecidas.

• SSD com TRIM: blocos liberados podem já ter sido sobrescritos ou zerados, inviabilizando a recuperação.

5. Ferramentas populares de Carving

• Scalpel – Rápido e altamente configurável.

• Foremost – Um dos primeiros e mais conhecidos no ambiente forense.

• PhotoRec – Especializado em recuperação de imagens e documentos.

• Autopsy/The Sleuth Kit – Interface gráfica que integra técnicas de carving.

• X-Ways Forensics – Ferramenta comercial avançada para análises complexas.

6. Impacto para Blue Team e Perícia Digital

• Blue Team: entender o processo de carving ajuda a avaliar riscos de vazamento de dados em dispositivos descartados. Apenas apagar ou formatar não é suficiente — é preciso sobrescrever ou destruir fisicamente a mídia.

• Perícia Forense: permite recuperar evidências em casos de exclusão proposital, formatação ou corrupção do sistema de arquivos. Saber como o carving funciona ajuda a planejar a coleta e preservar a integridade da prova.

7. Boas práticas relacionadas

• Preservar a mídia original: sempre trabalhar com cópias forenses (imagens bit a bit).

• Usar ferramentas confiáveis: preferir soluções reconhecidas no meio forense.

• Documentar todo o processo: cada passo deve ser registrado para validade legal.

• Atuar rápido em SSDs: TRIM e Garbage Collection podem destruir evidências rapidamente.

• Entender a estrutura dos formatos mais comuns: melhora a análise manual quando a ferramenta automática falha.

O carving é uma técnica essencial para recuperação e análise forense quando os metadados do sistema de arquivos estão ausentes ou corrompidos. Ele funciona identificando padrões binários e reconstruindo arquivos diretamente do espaço bruto de armazenamento. Para profissionais de segurança e perícia digital, dominar o conceito é crucial tanto para investigações quanto para definir políticas seguras de descarte de mídia.