La sculpture de fichiers est une technique utilisée dans la criminalistique informatique pour extraire un fichier formaté ou des données à partir d'un lecteur de disque ou d'un autre périphérique de stockage sans l'aide du système de fichiers qui a initialement créé le fichier.Il existe un certain nombre de méthodes et d'algorithmes différents qui peuvent être utilisés, mais le processus implique essentiellement de numériser les données disponibles sur un périphérique de stockage, puis, d'une manière ou d'une autre, de vérifier si ces informations sont un fichier ou contientquelques informations prédéfinies d'importance.Un système de fichiers n'est pas présent pendant le processus de sculpture de fichiers, de sorte que toutes les informations sur un disque doivent être évaluées pour son contexte, ce qui signifie que le processus peut prendre beaucoup de temps et, selon l'état du dispositif de stockage, peut avoir unfaible taux de réussite.Il est incroyablement difficile, mais possible, de sculpter des fichiers à partir de disques qui ont une grande quantité de fragmentation de fichiers.Que ce soit par une défaillance matérielle, une erreur humaine ou une attaque malveillante, le système de fichiers d'un périphérique de stockage et toutes les informations à ce sujet peuvent être effacés.Selon la façon dont les informations ont été supprimées, le disque lui-même pourrait encore contenir toutes les informations qui étaient auparavant présentes, mais dans un flux d'octets désorganisé non ordonné.Un mécanisme qui rend la sculpture de fichiers possible est que, lorsque de nombreux systèmes de fichiers effacent un fichier à partir d'un lecteur, ils ne suppriment pas les données mais marquent à la place cette zone du disque comme étant disponible pour de nouveaux fichiers.Les anciennes données restent jusqu'à ce qu'elles soient écrasées et, même dans ce cas, il est toujours possible qu'il puisse être récupéré.

Une technique très basique utilisée dans la sculpture de fichiers implique de parcourir des blocs d'informations sur un disque à la recherche de signatures de fichiers.Ce sont des données structurées qui indiquent le début d'un fichier d'un type particulier.Un exemple est le début d'un fichier image qui pourrait contenir la largeur et la hauteur de l'image et certaines données de palette de couleurs.Si un bloc de données qui correspond proprement à l'en-tête d'un type de fichier est trouvé, une tentative d'interpréter les données suivant l'en-tête est faite pour voir si c'est réellement les données de fichier.En cas de succès, cela pourrait conduire à la reconstruction du fichier d'origine.

Une complication qui se produit dans la sculpture de fichiers est liée aux fichiers fragmentés, ce qui signifie que le fichier est stocké à deux ou plusieurs emplacements physiques différents sur un disque.Certaines techniques n'essaient pas de reconstruire ces types de fichiers.D'autres méthodes utilisent les connaissances existantes des systèmes de fichiers pour tenter de se rapprocher de la localisation des autres parties d'un fichier, bien que ce processus soit très difficile.