Η σκάλισμα αρχείων είναι μια τεχνική που χρησιμοποιείται στην εγκληματολογία υπολογιστών για να εξαγάγει ένα μορφοποιημένο αρχείο ή δεδομένα από μια μονάδα δίσκου ή άλλη συσκευή αποθήκευσης χωρίς τη βοήθεια του συστήματος αρχείων που δημιούργησε αρχικά το αρχείο.Υπάρχουν διάφορες μεθόδους και αλγόριθμοι που μπορούν να χρησιμοποιηθούν, αλλά η διαδικασία περιλαμβάνει ουσιαστικά τη σάρωση μέσω των δεδομένων που είναι διαθέσιμα σε μια συσκευή αποθήκευσης και στη συνέχεια, με τον ένα ή τον άλλο τρόπο, ελέγχοντας αν αυτές οι πληροφορίες είναι ένα αρχείο ή περιέχειμερικές προκαθορισμένες πληροφορίες σχετικά με τη σημασία.Δεν υπάρχει ένα σύστημα αρχείων κατά τη διάρκεια της διαδικασίας σκάλισμα αρχείων, οπότε όλες οι πληροφορίες σε ένα δίσκο πρέπει να αξιολογηθούν για το πλαίσιο του, πράγμα που σημαίνει ότι η διαδικασία μπορεί να διαρκέσει πολύ και, ανάλογα με την κατάσταση της συσκευής αποθήκευσης, μπορεί να έχει έναχαμηλό ποσοστό επιτυχίας.Είναι απίστευτα δύσκολο, αλλά δυνατό, να χαράξουμε αρχεία από μονάδες δίσκου που έχουν υψηλό ποσό κατακερματισμού αρχείων.Το τελικό αποτέλεσμα της επιτυχημένης σκάλισμα αρχείων είναι η ανασυγκρότηση ενός αρχείου με τέτοιο τρόπο ώστε το περιεχόμενό του να είναι πλήρως παρόν, αν και ένα αποδεκτό αποτέλεσμα σε ορισμένες περιπτώσεις μπορεί να είναι ένα μερικώς ανακατασκευασμένο αρχείο εάν ανακτηθεί αρκετές σχετικές πληροφορίες.

σε ορισμένες περιπτώσεις,Είτε μέσω της αποτυχίας του υλικού, του ανθρώπινου σφάλματος ή της κακόβουλης επίθεσης, το σύστημα αρχείων μιας συσκευής αποθήκευσης και όλες οι πληροφορίες σχετικά με αυτό μπορούν να διαγραφούν.Ανάλογα με τον τρόπο απομάκρυνσης των πληροφοριών, ο ίδιος ο δίσκος μπορεί να περιέχει ακόμα όλες τις πληροφορίες που υπήρχαν προηγουμένως, αλλά σε ένα μη ταξινομημένο, αποδιοργανωμένο ρεύμα bytes.Ένας μηχανισμός που καθιστά δυνατή τη σκάλισμα αρχείων είναι ότι, όταν πολλά συστήματα αρχείων διαγράφουν ένα αρχείο από μια μονάδα δίσκου, δεν αφαιρέσουν τα δεδομένα, αλλά αντ 'αυτού σηματοδοτούν την περιοχή του δίσκου ως διαθέσιμες για νέα αρχεία.Τα παλιά δεδομένα παραμένουν μέχρι να αντικατασταθούν και, ακόμη και στην περίπτωση αυτή, εξακολουθεί να υπάρχει πιθανότητα να ανακτηθεί.

Μια πολύ βασική τεχνική που χρησιμοποιείται στην σκάλισμα αρχείων συνεπάγεται την αποχώρηση από μπλοκ πληροφοριών σχετικά με ένα δίσκο που αναζητά υπογραφές αρχείων.Αυτά είναι δομημένα κομμάτια δεδομένων που υποδεικνύουν την έναρξη ενός αρχείου ενός συγκεκριμένου τύπου.Ένα παράδειγμα είναι η αρχή ενός αρχείου εικόνας που μπορεί να περιέχει το πλάτος και το ύψος της εικόνας και ορισμένα δεδομένα παλέτας χρωμάτων.Σε περίπτωση που ένα μπλοκ δεδομένων που ταιριάζει καθαρά στην επικεφαλίδα ενός τύπου αρχείου βρέθηκε, τότε μια προσπάθεια ερμηνείας των δεδομένων ακολουθώντας την κεφαλίδα γίνεται για να διαπιστωθεί αν είναι στην πραγματικότητα τα δεδομένα αρχείου.Εάν είναι επιτυχής, αυτό θα μπορούσε να οδηγήσει στην ανασυγκρότηση του αρχικού αρχείου.

Μια επιπλοκή που εμφανίζεται στη σκάλισμα αρχείων έχει να κάνει με αρχεία που είναι κατακερματισμένα, πράγμα που σημαίνει ότι το αρχείο αποθηκεύεται σε δύο ή περισσότερες διαφορετικές φυσικές θέσεις σε ένα δίσκο.Ορισμένες τεχνικές δεν προσπαθούν να ανακατασκευάσουν αυτούς τους τύπους αρχείων.Άλλες μέθοδοι χρησιμοποιούν τις υπάρχουσες γνώσεις των συστημάτων αρχείων για να προσπαθήσουν να προσεγγίσουν πού μπορούν να εντοπιστούν τα άλλα τμήματα ενός αρχείου, αν και αυτή η διαδικασία είναι πολύ δύσκολη.