Bestandswerkteken is een techniek die wordt gebruikt in computerforensisch onderzoek om een opgemaakt bestand of gegevens uit een schijfstation of ander opslagapparaat te extraheren zonder de hulp van het bestandssysteem dat oorspronkelijk het bestand heeft gemaakt.Er zijn een aantal verschillende methoden en algoritmen die kunnen worden gebruikt, maar het proces omvat in wezen scannen door de gegevens die beschikbaar zijn op een opslagapparaat en vervolgens op de een of andere manier controleren of die informatie een bestand is of bevatEnkele vooraf gedefinieerde belangrijkheidsinformatie.Een bestandssysteem is niet aanwezig tijdens het proces van bestandswerktuig, dus alle informatie op een schijf moet worden geëvalueerd voor zijn context, wat betekent dat het proces lang kan duren en, afhankelijk van de status van het opslagapparaat, eenLaag slagingspercentage.Het is ongelooflijk moeilijk, maar mogelijk om bestanden te snijden van schijven met een grote hoeveelheid bestandsfragmentatie.Of het nu gaat om hardwarefout, menselijke fouten of kwaadwillende aanval, het bestandssysteem van een opslagapparaat en alle informatie erop kan worden gewist.Afhankelijk van hoe de informatie werd verwijderd, kan de schijf zelf nog steeds alle informatie bevatten die eerder aanwezig was, maar in een ongeordende, ongeorganiseerde stroom bytes.Een mechanisme dat bestandsnijwerk mogelijk maakt, is dat, wanneer veel bestandssystemen een bestand uit een schijf wissen, ze de gegevens niet verwijderen, maar in plaats daarvan dat gebied van de schijf markeren als beschikbaar voor nieuwe bestanden.De oude gegevens blijven totdat ze worden overschreven en, zelfs in dat geval, is er nog steeds een kans dat deze kan worden hersteld.

Een zeer basistechniek die wordt gebruikt bij het snijden van bestandsbehoeften omvat het doorlopen van informatie over een schijf op zoek naar bestandshandtekeningen.Dit zijn gestructureerde stukjes gegevens die het begin van een bestand van een bepaald type aangeven.Een voorbeeld is het begin van een afbeeldingsbestand dat de breedte en hoogte van de afbeelding en enkele kleurenpaletgegevens kan bevatten.Als een gegevensblok dat de koers van een bestandstype net zo goed overeenkomt, wordt een poging om de gegevens te interpreteren die de koptekst volgen, wordt gedaan om te zien of dit daadwerkelijk de bestandsgegevens is.Indien succesvol, kan dit leiden tot de reconstructie van het oorspronkelijke bestand.

Een complicatie die voorkomt in bestandsnijwerk heeft te maken met bestanden die gefragmenteerd zijn, wat betekent dat het bestand wordt opgeslagen op twee of meer verschillende fysieke locaties op een schijf.Sommige technieken proberen dit soort bestanden niet te reconstrueren.Andere methoden gebruiken bestaande kennis van bestandssystemen om te proberen te benaderen waar de andere delen van een bestand kunnen worden gevonden, hoewel dit proces erg moeilijk is.