Filnistning är en teknik som används i datorforensik för att extrahera en formaterad fil eller data från en diskenhet eller annan lagringsenhet utan hjälp av filsystemet som ursprungligen skapade filen.Det finns ett antal olika metoder och algoritmer som kan användas, men processen innebär i huvudsak att skanna igenom de data som finns tillgängliga på en lagringsenhet och sedan, på ett eller annat sätt, kontrollera om den informationen är en fil eller innehållerEn del fördefinierad information av betydelse.Ett filsystem finns inte under processen för filstoppning, så all information på en disk måste utvärderas för dess sammanhang, vilket innebär att processen kan ta lång tid och beroende på lagringsenhetens tillstånd kan ha enlåg framgångsgrad.Det är oerhört svårt, men möjligt att snida filer från enheter som har en hög mängd filfragmentering.Slutresultatet av framgångsrik filhuggning är rekonstruktionen av en fil på ett sådant sätt att dess innehåll är helt närvarande, även om ett acceptabelt resultat i vissa situationer kan vara en delvis rekonstruerad fil om tillräckligt relevant information återvinns.

I vissa fall,Oavsett om det är genom hårdvarufel, mänskligt fel eller skadlig attack, filsystemet för en lagringsenhet och all information om den kan raderas.Beroende på hur informationen togs bort kan skivan i sig fortfarande innehålla all information som tidigare var närvarande, men i en oordnad, oorganiserad ström av byte.En mekanism som möjliggör filning som är möjlig är att när många filsystem raderar en fil från en enhet tar de inte bort data utan i stället markerar det området på disken som tillgänglig för nya filer.De gamla uppgifterna kvarstår tills de skrivs över och även i så fall finns det fortfarande en chans att de kan återställas.

En mycket grundläggande teknik som används i filhuggning involverar steg genom block av information på en disk som letar efter filsignaturer.Dessa är strukturerade data som indikerar starten på en fil av en viss typ.Ett exempel är början på en bildfil som kan innehålla bildens bredd och höjd och vissa färgpalettdata.Om ett block med data som rent matchar rubriken för en filtyp hittas, görs ett försök att tolka data efter rubriken för att se om det faktiskt är fildata.Om det lyckas kan detta leda till rekonstruktion av den ursprungliga filen.

En komplikation som inträffar i filhuggning har att göra med filer som är fragmenterade, vilket innebär att filen lagras på två eller flera olika fysiska platser på en disk.Vissa tekniker försöker inte rekonstruera dessa typer av filer.Andra metoder använder befintlig kunskap om filsystem för att försöka närma sig där de andra delarna av en fil kan vara belägen, även om denna process är mycket svår.