Вырезание файлов - это метод, используемый в компьютерной экспертизе для извлечения отформатированного файла или данных с диска или другого устройства хранения без помощи файловой системы, которая изначально создала файл. Существует ряд различных методов и алгоритмов, которые можно использовать, но этот процесс в основном включает в себя сканирование данных, доступных на устройстве хранения, а затем, тем или иным образом, проверку, является ли эта информация файлом или содержит некоторая предопределенная информация важности. Файловая система отсутствует в процессе вырезания файла, поэтому всю информацию на диске необходимо оценивать на предмет ее контекста, а это означает, что этот процесс может занять много времени и, в зависимости от состояния устройства хранения, может иметь низкий уровень успеха Невероятно сложно, но возможно, вырезать файлы с дисков, которые содержат большое количество файловых фрагментов. Конечным результатом успешного вырезания файла является восстановление файла таким образом, чтобы его содержимое полностью присутствовало, хотя приемлемым результатом в некоторых ситуациях может быть частично восстановленный файл, если восстановлено достаточное количество соответствующей информации.

В некоторых случаях, будь то из-за аппаратного сбоя, человеческой ошибки или злонамеренной атаки, файловая система устройства хранения и вся информация на нем могут быть удалены. В зависимости от того, как информация была удалена, сам диск мог все еще содержать всю информацию, которая ранее присутствовала, но в неупорядоченном, неорганизованном потоке байтов. Один из механизмов, делающих возможным разделение файлов, состоит в том, что, когда многие файловые системы стирают файл с диска, они не удаляют данные, а вместо этого отмечают эту область диска как доступную для новых файлов. Старые данные остаются до тех пор, пока они не будут перезаписаны, и даже в этом случае все еще есть вероятность, что они могут быть восстановлены.

Очень простой метод, используемый при вырезании файлов, включает в себя пошаговое перемещение блоков информации на диске в поисках сигнатур файлов. Это структурированные фрагменты данных, которые указывают начало файла определенного типа. Одним из примеров является начало файла изображения, который может содержать ширину и высоту изображения и некоторые данные цветовой палитры. Если найден блок данных, который точно соответствует заголовку типа файла, то делается попытка интерпретировать данные, следующие за заголовком, чтобы посмотреть, действительно ли это данные файла. В случае успеха это может привести к восстановлению исходного файла.

Сложность, возникающая при вырезании файлов, связана с фрагментированными файлами, то есть файл хранится в двух или более разных физических местах на диске. Некоторые методы не пытаются восстановить эти типы файлов. Другие методы используют имеющиеся знания о файловых системах, чтобы попытаться приблизиться к тому, где могут находиться другие части файла, хотя этот процесс очень сложен.