Vad är File Carving?
File carving är en teknik som används i datorens kriminaltekniker för att extrahera en formaterad fil eller data från en hårddisk eller annan lagringsenhet utan hjälp av filsystemet som ursprungligen skapade filen. Det finns ett antal olika metoder och algoritmer som kan användas, men processen innebär i huvudsak att skanna igenom de data som finns tillgängliga på en lagringsenhet och sedan på ett eller annat sätt kontrollera om informationen är en fil eller innehåller viss fördefinierad information av betydelse. Ett filsystem finns inte under processen med att snida, så all information på en disk måste utvärderas med avseende på dess sammanhang, vilket innebär att processen kan ta lång tid och, beroende på lagringsenhetens tillstånd, kan ha en låg framgångsgrad. Det är oerhört svårt, men möjligt, att snida filer från enheter som har en stor mängd filfragmentering. Slutresultatet av framgångsrik filsnidering är rekonstruktionen av en fil på ett sådant sätt att dess innehåll är fullt närvarande, även om ett acceptabelt resultat i vissa situationer kan vara en delvis rekonstruerad fil om tillräckligt relevant information återvinns.
I vissa fall, vare sig det är hårdvarufel, mänskligt fel eller skadlig attack, filsystemet för en lagringsenhet och all information på den kan raderas. Beroende på hur informationen togs bort, kanske själva disken fortfarande innehåller all information som tidigare fanns, men i en oordnad, disorganiserad bytesström. En mekanism som möjliggör snidning av filer är att när många filsystem raderar en fil från en enhet tar de inte bort data utan markerar istället det området på disken som tillgängligt för nya filer. De gamla uppgifterna kvarstår tills de skrivs över och även i så fall finns det fortfarande en chans att de kan återvinnas.
En mycket grundläggande teknik som används vid snidning av filer innebär att gå igenom block av information på en disk som letar efter filsignaturer. Dessa är strukturerade data som indikerar början på en fil av en viss typ. Ett exempel är början på en bildfil som kan innehålla bredd och höjd på bilden och viss färgpalettdata. Om ett block med data som stämmer överens med rubriken för en filtyp hittas, görs ett försök att tolka uppgifterna efter rubriken för att se om det verkligen är fildata. Om det lyckas, kan detta leda till rekonstruktionen av den ursprungliga filen.
En komplikation som inträffar i snidning av filer har att göra med filer som är fragmenterade, vilket innebär att filen lagras på två eller flera olika fysiska platser på en disk. Vissa tekniker försöker inte rekonstruera dessa typer av filer. Andra metoder använder befintlig kunskap om filsystem för att försöka approximera var de andra delarna av en fil kan befinna sig, även om denna process är mycket svår.