Hva er filskjæring?
File carving er en teknikk som brukes i datamaskinens rettsmedisiner for å trekke ut en formatert fil eller data fra en diskstasjon eller annen lagringsenhet uten hjelp fra filsystemet som opprinnelig opprettet filen. Det er en rekke forskjellige metoder og algoritmer som kan brukes, men prosessen innebærer i hovedsak skanning gjennom dataene som er tilgjengelige på en lagringsenhet, og deretter på en eller annen måte sjekke for å se om den informasjonen er en fil eller inneholder noe forhåndsdefinert informasjon av betydning. Et filsystem er ikke til stede under prosessen med utskjæring av filer, så all informasjon på en disk må evalueres for sin kontekst, noe som betyr at prosessen kan ta lang tid, og avhengig av tilstanden til lagringsenheten, kan lav suksessrate. Det er utrolig vanskelig, men mulig, å hugge filer fra stasjoner som har en stor mengde filfragmentering. Sluttresultatet av vellykket filskjæring er rekonstruksjon av en fil på en slik måte at innholdet er fullt til stede, selv om et akseptabelt resultat i noen situasjoner kan være en delvis rekonstruert fil hvis nok relevant informasjon blir gjenvunnet.
I noen tilfeller, enten gjennom maskinvarefeil, menneskelig feil eller ondsinnet angrep, kan filsystemet til en lagringsenhet og all informasjonen på den slettes. Avhengig av hvordan informasjonen ble fjernet, kan selve disken fortsatt inneholde all informasjonen som tidligere var til stede, men i en uordnet, uorganisert bytestrøm. En mekanisme som gjør filskjæring mulig er at når mange filsystemer sletter en fil fra en stasjon, fjerner de ikke dataene, men i stedet markerer det området på disken som tilgjengelig for nye filer. De gamle dataene forblir til de blir overskrevet, og selv i det tilfellet er det fortsatt en sjanse for at de kan gjenopprettes.
En veldig grunnleggende teknikk som brukes i arkivering innebærer å gå gjennom blokker med informasjon på en disk som leter etter filsignaturer. Dette er strukturerte dataoppgaver som indikerer starten på en fil av en bestemt type. Et eksempel er starten på en bildefil som kan inneholde bredden og høyden på bildet og noen fargepalettdata. Skulle det funnet en blokk med data som stemmer godt overens med overskriften til en filtype, blir det gjort et forsøk på å tolke dataene etter overskriften for å se om det faktisk er fildataene. Hvis det lykkes, kan dette føre til gjenoppbygging av den opprinnelige filen.
En komplikasjon som oppstår ved utskjæring av filer har å gjøre med filer som er fragmentert, noe som betyr at filen er lagret på to eller flere forskjellige fysiske steder på en disk. Noen teknikker prøver ikke å rekonstruere denne typen filer. Andre metoder bruker eksisterende kunnskap om filsystemer for å forsøke å tilnærme hvor de andre delene av en fil kan befinne seg, selv om denne prosessen er veldig vanskelig.