Dateischnitzer ist eine Technik, die in der Computer -Forensik verwendet wird, um eine formatierte Datei oder Daten aus einem Festplattenlaufwerk oder eines anderen Speichergeräts ohne Unterstützung des Dateisystems zu extrahieren, das die Datei ursprünglich erstellt hat.Es gibt eine Reihe verschiedener Methoden und Algorithmen, die verwendet werden können. Der Prozess umfasst jedoch im Wesentlichen das Scannen der Daten, die auf einem Speichergerät verfügbar sind, und dann auf die eine oder andere Weise überprüft, ob diese Informationen eine Datei oder eine Datei sind oder enthältEinige vordefinierte Informationen von Bedeutung.Ein Dateisystem ist während des Dateischnitzvorgangs nicht vorhanden, sodass alle Informationen auf einer Festplatte für seinen Kontext ausgewertet werden müssen, was bedeutet, dass der Prozess lange dauern kann und je nach Status des Speichergeräts eine haben kannniedrige Erfolgsrate.Es ist unglaublich schwierig, aber möglich, Dateien aus Laufwerken zu schnitzen, die eine hohe Menge an Dateifragmentierung aufweisen.Das Endergebnis erfolgreicher Dateischnitzen ist die Rekonstruktion einer Datei so, dass ihre Inhalte vollständig vorhanden sind, obwohl ein akzeptables Ergebnis in einigen Situationen eine teilweise rekonstruierte Datei sein kann, wenn genügend relevante Informationen wiederhergestellt werden.Ob durch Hardwarefehler, menschliches Fehler oder böswilliger Angriff, das Dateisystem eines Speichergeräts und alle Informationen dazu können gelöscht werden.Abhängig davon, wie die Informationen entfernt wurden, könnte die Festplatte selbst immer noch alle Informationen enthalten, die zuvor vorhanden waren, jedoch in einem ungeordneten, unorganisierten Strom von Bytes.Ein Mechanismus, der die Dateischnitzerei ermöglicht, ist, dass viele Dateisysteme eine Datei aus einem Laufwerk löschen, die Daten nicht entfernen, sondern den Bereich der Festplatte als verfügbar für neue Dateien markieren.Die alten Daten bleiben, bis sie überschrieben sind, und selbst in diesem Fall besteht immer noch die Möglichkeit, dass sie wiederhergestellt werden können.

Eine sehr grundlegende Technik, die bei der File -Schnitzerei verwendet wird, besteht darin, Informationen zu Informationen auf einer Festplatte zu durchsuchen, die nach Dateisignaturen suchen.Dies sind strukturierte Datenstücke, die den Beginn einer Datei eines bestimmten Typs anzeigen.Ein Beispiel ist der Beginn einer Bilddatei, die möglicherweise die Breite und Höhe des Bildes und einige Farbpalettendaten enthalten.Sollte ein Datenblock, der die Überschrift eines Dateityps sauber entspricht, wird ein Versuch, die Daten nach dem Header zu interpretieren, durchgeführt, um festzustellen, ob es sich tatsächlich um die Dateidaten handelt.Wenn dies erfolgreich ist, kann dies zur Rekonstruktion der Originaldatei führen.

Eine Komplikation, die in der Dateischnitzung auftritt, hat mit fragmentierten Dateien zu tun, was bedeutet, dass die Datei an zwei oder mehr unterschiedlichen physischen Stellen auf einer Festplatte gespeichert ist.Einige Techniken versuchen nicht, diese Art von Dateien zu rekonstruieren.Andere Methoden verwenden vorhandene Kenntnisse über Dateisysteme, um zu versuchen, zu approximieren, wo sich die anderen Teile einer Datei befinden könnten, obwohl dieser Prozess sehr schwierig ist.