Come trovare Bitcoin su un vecchio hard disk

🧠 Introduzione

Molte persone hanno minato o acquistato Bitcoin tra il 2010 e il 2015, per poi dimenticarsene. Se hai un vecchio hard disk (o SSD), soprattutto da un vecchio PC/portatile, è possibile che contenga ancora file legati ai BTC.

Lo scopo di questa guida è trovare tracce di Bitcoin su un vecchio disco: wallet, chiavi private, seed phrase o file di backup criptati.

🧰 Cosa può contenere Bitcoin?

1. File wallet.dat

File del client originale Bitcoin Core. Contiene chiavi private in formato criptato o aperto.

2. Seed phrase (12/24 parole)

Frase di recupero dei wallet (Electrum, Trust Wallet, Exodus, ecc.).

3. Chiavi private (formato WIF)

Esempio: 5HueCGU8rMjxEXxiPuD5BDuRaXsv...

4. File di backup

Spesso con estensioni .bak, .json, .txt, .dat, .key.

📋 Passo 1: Preparazione

1. Estrai il disco. Collegalo tramite un adattatore SATA/USB o direttamente.

2. Fai una copia. Crea assolutamente un'immagine del disco usando Clonezilla o ddrescue per evitare la perdita di dati durante l'analisi.

3. Usa un sistema operativo Linux o Windows con diritti di amministratore.

4. Installa gli strumenti:

   • HxD o WinHex (editor esadecimali)

   • Everything (ricerca file per nome)

   • grep, strings, bulk_extractor (per Linux)

🔎 Passo 2: Ricerca di file noti

Avvia la scansione manualmente o tramite script:

1. Ricerca di wallet.dat

• Utilizza la ricerca per nome:

  • Su Windows: Everything, filtro wallet.dat

  • Su Linux/macOS:

    find /mnt/disk -name "wallet.dat"
    

• Cartelle tipiche:

  • %APPDATA%\Bitcoin\

  • C:\Users\<Nome>\AppData\Roaming\Bitcoin\

  • C:\Users\<Nome>\AppData\Roaming\Electrum\wallets\

  • /home/<user>/.bitcoin/

  • /home/<user>/.electrum/wallets/

2. Ricerca dei backup

find /mnt/disk -name "*.bak"
find /mnt/disk -name "*.json"
find /mnt/disk -name "*.key"

3. Ricerca di chiavi private in testo e seed phrase

grep -Eorh '5[HJK][1-9A-HJ-NP-Za-km-z]{49,50}' /mnt/disk > private_keys.txt
grep -Eorh '^[a-z]+ [a-z]+ [a-z]+.*' /mnt/disk | grep -Eo '\b[a-z]{3,}\b( \b[a-z]{3,}\b){11,23}' > seed_phrases.txt

🔬 Passo 3: Ricerca nel contenuto (scansione raw)

Se non trovi file ma sospetti che ci fosse qualcosa — cerca all'interno del disco:

1. Ricerca tramite bulk_extractor

bulk_extractor -o output/ -e wordlist -e base64 -e bitcoin -e email -e json /dev/sdX

Individua chiavi private, seed phrase e altri artefatti.

2. Uso di strings

strings /dev/sdX | grep -iE 'bitcoin|wallet|electrum|mnemonic|seed' > strings_output.txt

🧪 Passo 4: Verifica dei wallet e chiavi trovate

1. Electrum — apri file .dat o .wallet.

2. Bitcoin Core — sposta wallet.dat in %APPDATA%\Bitcoin\ e apri il client.

Puoi utilizzare uno script (ad esempio in Python) per controllare in massa il saldo degli indirizzi/chiavi trovati.

⚠️ Misure di sicurezza importanti

• NON caricare chiavi o wallet su siti sospetti.

• Lavora offline se le chiavi non sono criptate.

• Lavora sempre su una copia del disco.

• Cifra tutti i file trovati.

📦 Cosa fare se trovi wallet.dat ma non ricordi la password?

1. Usa btcrecover:

   python3 btcrecover.py --wallet wallet.dat --passwordlist your_wordlist.txt
   

2. Puoi tentare un attacco brute-force con GPU (tramite Hashcat, se conosci parte della password).

🧠 Livello avanzato

• Usa strumenti di digital forensics: Autopsy, FTK Imager, The Sleuth Kit.

• Prova a cercare nelle vecchie email — potresti trovare seed phrase o dati di account di exchange.

✅ Conclusione

Ritrovare un vecchio hard disk potrebbe rivelarsi una sorpresa inaspettata. L'importante è procedere con cautela e non danneggiare i dati originali. Anche se non trovi Bitcoin, farai comunque esperienza utile nel recupero e nell'analisi dei dati.