ファイルカービングは、ファイルを作成したファイルシステムの支援なしに、フォーマットされたファイルまたはその他のストレージデバイスからフォーマットされたファイルまたはデータを抽出するためのコンピューターフォレンジックで使用される手法です。使用できる多くの異なる方法とアルゴリズムがありますが、このプロセスには基本的にストレージデバイスで利用可能なデータをスキャンし、その後、その情報がファイルであるか、含まれているかを確認するために確認することが含まれます。重要性の事前定義された情報。ファイルシステムはファイルカービングのプロセス中に存在しないため、ディスク上のすべての情報をそのコンテキストについて評価する必要があります。つまり、プロセスには長い時間がかかり、ストレージデバイスの状態に応じて、低成功率。非常に困難ですが、可能なことは、ファイルの断片化が多いドライブからファイルを彫ることができます。ファイルカービングの成功の最終結果は、コンテンツが完全に存在するようにファイルの再構成ですが、十分な関連情報が回復された場合、一部の状況で許容可能な結果は部分的に再構築されたファイルになります。ハードウェアの障害、ヒューマンエラー、悪意のある攻撃のいずれを介して、ストレージデバイスのファイルシステム、およびそのすべての情報を消去できます。情報の削除方法に応じて、ディスク自体には以前に存在していたすべての情報が含まれていますが、バイトの順序付けられていない混乱したストリームが含まれている可能性があります。ファイルカービングを可能にするメカニズムの1つは、多くのファイルシステムがドライブからファイルを消去する場合、データを削除せず、代わりにディスクの領域を新しいファイルで使用できるとマークすることです。古いデータは上書きされるまで残り、その場合でも、回復できる可能性があります。これらは、特定のタイプのファイルの開始を示す構造化されたデータです。1つの例は、画像の幅と高さといくつかのカラーパレットデータを含む可能性のある画像ファイルの開始です。ファイルタイプの見出しときれいに一致するデータのブロックが見つかった場合、ヘッダーに続くデータを解釈しようとすると、実際にファイルデータであるかどうかを確認します。成功した場合、これは元のファイルの再構成につながる可能性があります。一部の手法では、これらのタイプのファイルの再構築を試みません。他の方法では、ファイルシステムの既存の知識を使用して、このプロセスは非常に困難ですが、ファイルの他の部分がどこにあるかを概算しようとします。