Rzeźbienie plików to technika stosowana w kryminalistyce komputerowej do wyodrębnienia sformatowanego pliku lub danych z dysku dysku lub innego urządzenia pamięci bez pomocy systemu plików, który pierwotnie utworzył plik.Istnieje wiele różnych metod i algorytmów, które można użyć, ale proces ten zasadniczo obejmuje skanowanie danych, które są dostępne na urządzeniu pamięci masowej, a następnie, w taki czy inny sposób, sprawdzanie, czy ta informacja jest plik lub zawiera plik lub zawieraNiektóre predefiniowane ważne informacje.System plików nie jest obecny podczas procesu rzeźbienia plików, więc wszystkie informacje na dysku należy ocenić pod kątem jego kontekstu, co oznacza, że proces może potrwać dużo czasu i, w zależności od stanu urządzenia pamięci, mogą mieć aNiski wskaźnik sukcesu.Jest to niezwykle trudne, ale możliwe, rzeźbienie plików z napędów, które mają dużą fragmentację plików.Niezależnie od tego, czy poprzez awarię sprzętu, błąd ludzki czy złośliwy atak, system plików urządzenia pamięci i wszystkie informacje o nim można usunąć.W zależności od sposobu usunięcia informacji sam dysk może nadal zawierać wszystkie informacje, które wcześniej były obecne, ale w nieorganizowanym, niezorganizowanym strumieniu bajtów.Jednym z mechanizmów, który umożliwia rzeźbienie plików, jest to, że gdy wiele systemów plików usuwa plik z dysku, nie usuwa danych, ale oznaczają ten obszar dysku jako dostępny dla nowych plików.Stare dane pozostają, dopóki nie zostaną zastąpione, a nawet w takim przypadku nadal istnieje szansa, że można je odzyskać.

Bardzo podstawowa technika stosowana w rzeźbieniu plików polega na przejściu przez bloki informacji na dysku szukających podpisów plików.Są to ustrukturyzowane dane, które wskazują na początek pliku określonego typu.Jednym z przykładów jest początek pliku obrazu, który może zawierać szerokość i wysokość obrazu oraz niektóre dane palety kolorów.W przypadku znalezienia bloku danych, które czysto pasuje do nagłówka typu pliku, wówczas wykonana jest próba interpretacji danych po nagłówku, aby sprawdzić, czy faktycznie są to dane pliku.Jeśli się powiedzie, może to prowadzić do rekonstrukcji oryginalnego pliku.

Komplikacja występująca w rzeźbieniu plików ma związek z fragmentowanymi plikami, co oznacza, że plik jest przechowywany w dwóch lub więcej różnych lokalizacjach fizycznych na dysku.Niektóre techniki nie próbują odtworzyć tego typu plików.Inne metody wykorzystują istniejącą wiedzę na temat systemów plików, aby spróbować przybliżyć, gdzie mogą być zlokalizowane inne części pliku, chociaż proces ten jest bardzo trudny.