Hvad er udskæring af filer?
File carving er en teknik, der bruges i computerforensics til at udtrække en formateret fil eller data fra et diskdrev eller anden lagerenhed uden hjælp fra filsystemet, der oprindeligt oprettede filen. Der er en række forskellige metoder og algoritmer, der kan bruges, men processen involverer i det væsentlige scanning gennem de data, der er tilgængelige på en lagerenhed, og derefter på en eller anden måde kontrollere for at se, om disse oplysninger er en fil eller indeholder nogle foruddefinerede oplysninger af betydning. Et filsystem er ikke til stede under processen med udskæring af filer, så alle oplysninger på en disk skal evalueres for dens kontekst, hvilket betyder at processen kan tage lang tid og afhængigt af lagringsenhedens tilstand kan have en lav succesrate. Det er utroligt vanskeligt, men muligt, at skære filer fra drev, der har en stor mængde fil fragmentering. Slutresultatet af vellykket udskæring af filer er genopbygningen af en fil på en sådan måde, at dens indhold er fuldt ud til stede, selvom et acceptabelt resultat i nogle situationer kan være en delvist rekonstrueret fil, hvis der er gendannet tilstrækkelig relevant information.
I nogle tilfælde, uanset om det drejer sig om hardwarefejl, menneskelig fejl eller ondsindet angreb, kan filsystemet på en lagerenhed og alle oplysninger på det slettes. Afhængigt af hvordan informationen blev fjernet, kan selve disken stadig indeholde alle de oplysninger, der tidligere var til stede, men i en uordnet, uorganiseret bytesstrøm. En mekanisme, der gør udskæring af filer mulig, er, at når mange filsystemer sletter en fil fra et drev, fjerner de ikke dataene, men markerer i stedet det område af disken som værende tilgængeligt for nye filer. De gamle data forbliver, indtil de er overskrevet, og selv i dette tilfælde er der stadig en chance for, at de kan gendannes.
En meget grundlæggende teknik, der bruges i udskæring af filer, involverer at gå gennem blokke med information på en disk på udkig efter filsignaturer. Dette er strukturerede stykker data, der angiver starten på en fil af en bestemt type. Et eksempel er starten på en billedfil, der muligvis indeholder bredden og højden på billedet og nogle farvepalettedata. Hvis der findes en blok af data, der rent matcher overskriften for en filtype, foretages der et forsøg på at fortolke dataene efter overskriften for at se, om det faktisk er fildataene. Hvis det lykkes, kan dette føre til genopbygning af den originale fil.
En komplikation, der opstår i udskæringen af filer, har at gøre med filer, der er fragmenterede, hvilket betyder, at filen gemmes to eller flere forskellige fysiske placeringer på en disk. Nogle teknikker forsøger ikke at rekonstruere disse filtyper. Andre metoder bruger eksisterende viden om filsystemer til at forsøge at tilnærme sig, hvor de andre dele af en fil muligvis er placeret, selvom denne proces er meget vanskelig.