Hvad er filskæring?
Filudskæring er en teknik, der bruges i computerforensik til at udtrække en formateret fil eller data fra et diskdrev eller anden lagerenhed uden hjælp fra det filsystem, der oprindeligt oprettede filen. Der er en række forskellige metoder og algoritmer, der kan bruges, men processen involverer i det væsentlige scanning gennem de data, der er tilgængelige på en lagerenhed, og derefter på en eller anden måde kontrollerer, om disse oplysninger er en fil eller indeholder nogle foruddefinerede oplysninger af betydning. Et filsystem er ikke til stede under processen med udskæring af filer, så al information om en disk skal evalueres for dens kontekst, hvilket betyder, at processen kan tage lang tid, og afhængigt af lagerenheden, kan det have en lav succesrate. Det er utroligt vanskeligt, men muligt at skære filer fra drev, der har en høj mængde filfragmentering. Slutresultatet af vellykket filskæring er genopbygningen af en fil på en sådan måde, at dens ConteNTS er fuldt ud til stede, selvom et acceptabelt resultat i nogle situationer kan være en delvist rekonstrueret fil, hvis nok relevante oplysninger er gendannet.
I nogle tilfælde, hvad enten det er gennem hardwarefejl, menneskelig fejl eller ondsindet angreb, kan filsystemet for en lagerenhed og al information om det slettes. Afhængig af hvordan oplysningerne blev fjernet, kan disken i sig selv stadig indeholde alle de oplysninger, der tidligere var til stede, men i en uordnet, uorganiseret strøm af bytes. En mekanisme, der muliggør filskæring, er, at når mange filsystemer sletter en fil fra et drev, fjerner de ikke dataene, men markerer i stedet dette område på disken som værende tilgængeligt for nye filer. De gamle data forbliver, indtil de overskrives, og selv i dette tilfælde er der stadig en chance for, at de kan gendannes.
En meget grundlæggende teknik, der bruges i filudskæring, involverer at træde ThroUGH -blokke af information på en disk på udkig efter filunderskrifter. Dette er strukturerede data, der angiver starten på en fil af en bestemt type. Et eksempel er starten på en billedfil, der kan indeholde bredden og højden af billedet og nogle farvepaletdata. Skulle en blok af data, der rent matcher overskriften på en filtype, findes, er der et forsøg på at fortolke dataene efter overskriften for at se, om det faktisk er fildataene. Hvis det lykkes, kan dette føre til genopbygning af den originale fil.
En komplikation, der forekommer i filskæring, har at gøre med filer, der er fragmenterede, hvilket betyder, at filen gemmes på to eller flere forskellige fysiske placeringer på en disk. Nogle teknikker forsøger ikke at rekonstruere disse typer filer. Andre metoder bruger eksisterende viden om filsystemer til at forsøge at tilnærme sig, hvor de andre dele af en fil muligvis er placeret, selvom denne proces er meget vanskelig.