Filskæring er en teknik, der bruges i computerforensik til at udtrække en formateret fil eller data fra et diskdrev eller anden lagerenhed uden hjælp fra det filsystem, der oprindeligt oprettede filen.Der er en række forskellige metoder og algoritmer, der kan bruges, men processen involverer i det væsentlige scanning gennem de data, der er tilgængelige på en lagerenhed, og derefter på en eller anden måde kontrollerer det, om disse oplysninger er en fil eller indeholderNogle foruddefinerede oplysninger af betydning.Et filsystem er ikke til stede under processen med udskæring af filer, så al information om en disk skal evalueres for dens kontekst, hvilket betyder, at processen kan tage lang tid, og afhængigt af lagerenheden kan have enLav succesrate.Det er utroligt vanskeligt, men muligt at skære filer fra drev, der har en høj mængde filfragmentering.Slutresultatet af vellykket filskæring er rekonstruktionen af en fil på en sådan måde, at dens indhold er fuldt ud til stede, skønt et acceptabelt resultat i nogle situationer kan være en delvist rekonstrueret fil, hvis der gendannes nok information.Uanset om det er gennem hardwarefejl, menneskelig fejl eller ondsindet angreb, kan filsystemet for en lagerenhed og al information om den slettes.Afhængig af hvordan oplysningerne blev fjernet, kan disken i sig selv stadig indeholde alle de oplysninger, der tidligere var til stede, men i en uordnet, uorganiseret strøm af bytes.En mekanisme, der muliggør filskæring, er, at når mange filsystemer sletter en fil fra et drev, fjerner de ikke dataene, men markerer i stedet dette område på disken som værende tilgængeligt for nye filer.De gamle data forbliver, indtil de overskrives, og selv i dette tilfælde er der stadig en chance for, at de kan gendannes.

En meget grundlæggende teknik, der bruges i filudskæring, involverer at træde gennem informationsblokke på en disk på udkig efter filunderskrifter.Dette er strukturerede data, der angiver starten på en fil af en bestemt type.Et eksempel er starten på en billedfil, der kan indeholde bredden og højden af billedet og nogle farvepaletdata.Skulle en blok af data, der rent matcher overskriften på en filtype, findes, er der et forsøg på at fortolke dataene efter overskriften for at se, om det faktisk er fildataene.Hvis det lykkes, kan dette føre til rekonstruktion af den originale fil.

En komplikation, der opstår i filskæring, har at gøre med filer, der er fragmenteret, hvilket betyder, at filen gemmes på to eller flere forskellige fysiske placeringer på en disk.Nogle teknikker forsøger ikke at rekonstruere disse typer filer.Andre metoder bruger eksisterende viden om filsystemer til at forsøge at tilnærme sig, hvor de andre dele af en fil muligvis er placeret, selvom denne proces er meget vanskelig.