Filskjæring er en teknikk som brukes i datamaskinens rettsmedisinske for å trekke ut en formatert fil eller data fra en diskstasjon eller annen lagringsenhet uten hjelp fra filsystemet som opprinnelig opprettet filen.Det er en rekke forskjellige metoder og algoritmer som kan brukes, men prosessen innebærer i hovedsak skanning gjennom dataene som er tilgjengelige på en lagringsenhet, og deretter på en eller annen måte å sjekke om denne informasjonen er en fil eller inneholderNoe forhåndsdefinert informasjon av betydning.Et filsystem er ikke til stede under prosessen med filoppskjæring, så all informasjon på en disk må evalueres for sin kontekst, noe som betyr at prosessen kan ta lang tid og, avhengig av tilstanden til lagringsenheten, kan ha enLav suksessrate.Det er utrolig vanskelig, men mulig, å hugge filer fra stasjoner som har en høy mengde filfragmentering.Sluttresultatet av vellykket filutskjæring er gjenoppbyggingen av en fil på en slik måte at innholdet er fullt til stede, selv om et akseptabelt resultat i noen situasjoner kan være en delvis rekonstruert fil hvis nok relevant informasjon blir gjenopprettet.

i noen tilfeller.Enten gjennom maskinvarefeil, menneskelig feil eller ondsinnet angrep, kan filsystemet til en lagringsenhet og all informasjon om den slettes.Avhengig av hvordan informasjonen ble fjernet, kan selve disken fremdeles inneholde all informasjonen som tidligere var til stede, men i en uordnet, uorganisert strøm av byte.En mekanisme som gjør filutskjæring mulig, er at når mange filsystemer sletter en fil fra en stasjon, fjerner de ikke dataene, men i stedet markerer det området på disken som tilgjengelig for nye filer.De gamle dataene gjenstår til de blir overskrevet, og selv i så fall er det fortsatt en sjanse for at de kan gjenvinnes. En veldig grunnleggende teknikk som brukes i filskjæring innebærer å gå gjennom blokker med informasjon på en disk som leter etter filsignaturer.Dette er strukturerte data som indikerer starten på en fil av en bestemt type.Et eksempel er starten på en bildefil som kan inneholde bredden og høyden på bildet og noen fargepalettdata.Skulle en blokk med data som samsvarer med overskriften til en filtype bli funnet, blir et forsøk på å tolke dataene etter overskriften gjort for å se om det faktisk er fildataene.Hvis det lykkes, kan dette føre til rekonstruksjon av den opprinnelige filen. En komplikasjon som oppstår i filutskjæring har å gjøre med filer som er fragmentert, noe som betyr at filen er lagret på to eller flere forskjellige fysiske steder på en disk.Noen teknikker prøver ikke å rekonstruere denne typen filer.Andre metoder bruker eksisterende kunnskap om filsystemer for å forsøke å tilnærme hvor de andre delene av en fil kan være lokalisert, selv om denne prosessen er veldig vanskelig.