A fájlfaragás egy olyan technika, amelyet a számítógépes kriminalisztikában használnak egy formázott fájl vagy adatok kinyerésére egy lemezmeghajtóról vagy más tárolóeszközről anélkül, hogy az eredetileg létrehozó fájlrendszer segítséget nyújtana.Számos különféle módszer és algoritmus létezik, amelyek használhatók, de a folyamat lényegében magában foglalja a tárolóeszközön elérhető adatok átkutatását, majd úgy vagy úgy, hogy ellenőrizze, hogy ez az információ fájl -e vagy tartalmaz -e, vagy tartalmaz -eNéhányan előre meghatározott információk.A fájlrendszer nem jelen van a fájlfaragások során, tehát a lemezen lévő összes információt a kontextusában kell kiértékelni, ami azt jelenti, hogy a folyamat hosszú időt vehet igénybe, és a tárolóeszköz állapotától függően lehet.Alacsony sikerességi arány.Hihetetlenül nehéz, de lehetséges, ha olyan meghajtókból fakad, amelyek nagy mennyiségű fájlfészekedéssel rendelkeznek.A sikeres fájlfaragás végeredménye egy fájl rekonstrukciója oly módon, hogy a tartalma teljes mértékben jelen legyen, bár egyes helyzetekben elfogadható eredmény részben rekonstruált fájl lehet, ha elegendő releváns információ kerül vissza.Akár hardverhiba, emberi hiba vagy rosszindulatú támadás révén, a tárolóeszköz fájlrendszere és a rajta lévő összes információ törlhető.Az információk eltávolításától függően maga a lemez továbbra is tartalmazza az összes olyan információt, amely korábban volt jelen, de egy rendezetlen, rendezetlen bájtáramban.Az egyik mechanizmus, amely lehetővé teszi a fájlfaragást, az, hogy amikor sok fájlrendszer törli a fájlt egy meghajtóról, akkor nem távolítja el az adatokat, hanem a lemez azon területét jelöli, mint amely új fájlokhoz elérhető.A régi adatok addig maradnak, amíg felülírják őket, és még ebben az esetben is van esély arra, hogy helyreállítható.Ezek strukturált adatok, amelyek jelzik egy adott típusú fájl kezdetét.Példa erre egy képfájl kezdete, amely tartalmazhatja a kép szélességét és magasságát, valamint néhány színpaletta adatait.Ha egy olyan adatblokkot, amely tisztán megegyezik a fájltípus irányításával, akkor a fejléc utáni adatok értelmezésének megkísérlése megtudja, hogy valójában ez a fájl adatok.Sikeres siker esetén ez az eredeti fájl rekonstrukciójához vezethet.Egyes technikák nem próbálják rekonstruálni az ilyen típusú fájlokat.Más módszerek használják a fájlrendszerek meglévő ismereteit annak érdekében, hogy megkíséreljék megközelíteni, ha a fájl többi részét megtalálhatják, bár ez a folyamat nagyon nehéz.