File 파일 조각은 컴퓨터 법의학에 사용되는 기술로, 원래 파일을 만든 파일 시스템의 도움없이 디스크 드라이브 또는 기타 저장 장치에서 형식화 된 파일 또는 데이터를 추출합니다.사용할 수있는 여러 가지 방법과 알고리즘이 있지만 프로세스에는 기본적으로 저장 장치에서 사용할 수있는 데이터를 통해 스캔 한 다음 해당 정보가 파일인지 또는 포함 된 지 확인하기 위해일부 미리 정의 된 중요한 정보.파일 조각 과정에서 파일 시스템이 존재하지 않으므로 디스크의 모든 정보를 컨텍스트에 대해 평가해야합니다. 즉, 프로세스가 오랜 시간이 걸리고 저장 장치의 상태에 따라낮은 성공률.파일 조각화가 많은 드라이브에서 파일을 조각하는 것은 엄청나게 어렵지만 가능합니다.성공적인 파일 조각의 최종 결과는 내용이 완전히 존재하는 방식으로 파일의 재구성입니다. 그러나 일부 상황에서 허용 가능한 결과는 충분한 관련 정보가 복구되면 부분적으로 재구성 된 파일이 될 수 있습니다.하드웨어 고장, 사람 오류 또는 악의적 인 공격을 통해 저장 장치의 파일 시스템 및 이에 대한 모든 정보를 지울 수 있습니다.정보가 어떻게 제거되었는지에 따라, 디스크 자체에는 이전에 존재했던 모든 정보가 여전히 포함되어있을 수 있지만, 정렬되지 않은 무질서한 바이트 스트림에 포함될 수 있습니다.파일 조각을 가능하게하는 메커니즘 중 하나는 많은 파일 시스템이 드라이브에서 파일을 지우면 데이터를 제거하지 않고 대신 디스크 영역을 새 파일에 사용할 수있는 것으로 표시한다는 것입니다.이전 데이터는 덮어 쓰기 전까지는 남아 있으며,이 경우에도 여전히 복구 될 수있는 기회가 있습니다.

파일 조각에 사용되는 매우 기본적인 기술은 파일 서명을 찾는 디스크에 대한 정보 블록을 밟는 것입니다.이들은 특정 유형의 파일의 시작을 나타내는 구조화 된 데이터입니다.한 가지 예는 이미지의 너비와 높이와 일부 색상 팔레트 데이터를 포함 할 수있는 이미지 파일의 시작입니다.파일 유형의 제목과 깨끗하게 일치하는 데이터 블록이 발견되면 헤더 다음 데이터를 해석하려는 시도가 실제로 파일 데이터인지 확인합니다.성공하면 원본 파일의 재구성으로 이어질 수 있습니다.

파일 조각에서 발생하는 합병증은 조각화 된 파일과 관련이 있어야합니다. 즉, 파일이 디스크의 두 개 이상의 다른 물리적 위치에 저장됩니다.일부 기술은 이러한 유형의 파일을 재구성하려고 시도하지 않습니다.다른 방법은 파일 시스템에 대한 기존 지식을 사용하여 파일의 다른 부분이 위치 할 수있는 위치를 근사화하려고 시도하지만이 프로세스는 매우 어렵습니다.