La scultura del file è una tecnica utilizzata nella forense del computer per estrarre un file formattato o dati da un'unità disco o altro dispositivo di archiviazione senza l'assistenza del filesystem che ha creato originariamente il file.Esistono diversi metodi e algoritmi che possono essere utilizzati, ma il processo comporta essenzialmente la scansione attraverso i dati disponibili su un dispositivo di archiviazione e quindi, in un modo o nell'altro, verificando se tali informazioni sono un file o contieneAlcune informazioni predefinite di importanza.Un filesystem non è presente durante il processo di intaglio dei file, quindi tutte le informazioni su un disco devono essere valutate per il suo contesto, il che significa che il processo può richiedere molto tempo e, a seconda dello stato del dispositivo di archiviazione, può avere unbasso tasso di successo.È incredibilmente difficile, ma possibile, ritagliare i file da unità che hanno una grande quantità di frammentazione dei file.Il risultato finale di un file intagliato di successo è la ricostruzione di un file in modo tale che i suoi contenuti siano completamente presenti, sebbene un risultato accettabile in alcune situazioni possa essere un file parzialmente ricostruito se vengono recuperate informazioni pertinenti sufficienti.

in alcuni casi,Sia attraverso il guasto hardware, l'errore umano o l'attacco dannoso, il file system di un dispositivo di archiviazione e tutte le informazioni su di esso possono essere cancellate.A seconda di come sono state rimosse le informazioni, il disco stesso potrebbe ancora contenere tutte le informazioni che in precedenza erano presenti, ma in un flusso di byte non ordinato e disorganizzato.Un meccanismo che rende possibile la scultura dei file è che, quando molti filesystem cancellano un file da un'unità, non rimuovono i dati ma segnano invece quell'area del disco come disponibile per nuovi file.I vecchi dati rimangono fino a quando non vengono sovrascritti e, anche in quel caso, c'è ancora la possibilità che possano essere recuperati.

Una tecnica molto semplice utilizzata nella scultura di file implica un passo attraverso i blocchi di informazioni su un disco in cerca di firme di file.Questi sono pezzi strutturati che indicano l'inizio di un file di un tipo particolare.Un esempio è l'inizio di un file di immagine che potrebbe contenere la larghezza e l'altezza dell'immagine e alcuni dati della tavolozza dei colori.Se si trova un blocco di dati che corrisponde in modo pulito all'intestazione di un tipo di file, quindi un tentativo di interpretare i dati seguendo l'intestazione viene effettuato per vedere se in realtà sono i dati del file.In caso di successo, ciò potrebbe portare alla ricostruzione del file originale.

Una complicazione che si verifica nella scultura di file ha a che fare con i file frammentati, il che significa che il file viene archiviato in due o più diverse posizioni fisiche su un disco.Alcune tecniche non tentano di ricostruire questi tipi di file.Altri metodi utilizzano la conoscenza esistente dei filesystem per tentare di approssimare laddove le altre parti di un file potrebbero essere individuate, sebbene questo processo sia molto difficile.