Sculpture de fichiers et récupération de données

Le processus de récupération de données inaccessibles, formatées ou endommagées ou corrompues à partir d'un support de stockage lorsqu'elles ne sont pas accessibles par des méthodes normales est appelé Récupération de données. Les informations sont généralement récupérées à partir des supports de stockage ; par exemple, les disques durs internes et externes (HDD) ; disques à semi-conducteurs (SSD) ; lecteurs flash; stockage magnétique, comme les CD et les DVD ; sous-systèmes RAID ; et autres gadgets électroniques. La récupération peut être nécessaire en raison d'un dommage physique aux périphériques de stockage ou d'un dommage légitime au système de fichiers, empêchant le système d'être monté par le système d'exploitation (OS) de travail hôte. Un objectif définitif est de dupliquer tous les enregistrements fondamentaux du support endommagé sur un nouveau lecteur. Il est possible de sauvegarder rapidement des informations à l'aide d'un Live CD ou d'un DVD, en démarrant légitimement à partir de la ROM, plutôt que d'utiliser le lecteur ou le périphérique corrompu pour glaner des informations sur le système.

Les Live CD ou DVD offrent un moyen de démarrer le lecteur système, ainsi que le lecteur de support amovible ou fixe, vous permettant d'utiliser le gestionnaire de fichiers ou le logiciel pour charger le fichier. Un serveur de disque peut corrompre ces cas et stocker des fichiers de données précieux ou propriétaires dans des compartiments séparés dans les fichiers du système d'exploitation.

Fichier de sculpture est une procédure utilisée dans les enquêtes sur les scènes de crime sur PC pour extraire des informations d'un disque dur ou d'autres périphériques de stockage sans l'aide de la table du système de fichiers qui a créé le fichier d'origine en premier lieu. File Carving est une stratégie qui assume le contrôle des documents dans un espace non alloué sans données et est utilisée pour récupérer des informations pour jouer un examen clinique informatisé. Ce processus était initialement appelé « conception », qui est un terme général pour supprimer les informations organisées des informations brutes, à la lumière des attributs particuliers du modèle d'organisation des informations stockées.

Une méthode médico-légale qui récupère les documents dépend de la structure et du contenu des fichiers sans les métadonnées appropriées du système de fichiers. La sculpture de fichiers vous permet de récupérer des fichiers à partir d'un espace non alloué dans n'importe quel lecteur. La zone du lecteur indiquée par la structure du système de fichiers (table de fichiers) qui ne contient aucune information sur le système de fichiers est appelée espace non alloué.

Les structures de système de fichiers manquantes ou endommagées peuvent affecter l'ensemble du lecteur. En termes simples, de nombreux systèmes de fichiers ne suppriment pas les données lorsqu'elles sont supprimées. Au lieu de cela, il élimine simplement la connaissance d'où il vient. L'analyse des octets bruts et leur mise en ordre est le processus de base de File Carving. Ce processus est effectué par examiner l'en-tête (premiers octets) et le pied de page (derniers octets) d'un fichier.

La gravure de fichiers est un excellent moyen de récupérer des fichiers et des fragments de fichiers lorsque le texte est endommagé ou manquant. Il est souvent utilisé par les professionnels du dépannage pour réexaminer les preuves. Un exemple de l'interdiction et de la possibilité d'évacuer les médias s'est produit lorsque l'information a été retirée des camps d'Oussama Ben Laden lors de l'attaque de l'US Seals Navy. Les enquêteurs judiciaires ont utilisé des méthodes de récupération de fichiers pour récupérer les données des lecteurs et des systèmes utilisés dans les camps.

Présentation des systèmes de fichiers

UNE système de fichiers jes un type de base de données utilisé pour stocker, mettre à jour et récupérer des fichiers ou plusieurs nombres de fichiers. C'est un moyen par lequel les fichiers sont archivés logiquement et nommés pour l'archivage et la récupération. Il existe différents types de systèmes de fichiers mentionnés ci-dessous :

Système de fichiers Windows: Microsoft Windows n'utilise que deux types de FAT et NTFS.

• GROS, qui signifie "table d'allocation de fichiers", est le type de système de fichiers le plus simple contenant un secteur de démarrage, une table d'allocation de fichiers et un espace de stockage simple pour stocker des fichiers et des dossiers. Récemment, FAT est venu en FAT16, FAT12 et FAT32. FAT32 est compatible avec les périphériques de stockage Windows. Windows ne peut pas créer un système de fichiers FAT32 avec un fichier de plus de 32 Go.
• NTFS, L'abréviation de "New Technology File System" est désormais un système de fichiers par défaut pour les fichiers de plus de 32 Go. Le cryptage et le contrôle d'accès sont quelques propriétés principales de ce système de fichiers.

Système de fichiers Linux: Linux est un système d'exploitation open source largement utilisé et a été développé pour les tests et le développement. Ce système d'exploitation était destiné à utiliser différents concepts de système de fichiers. Sous Linux, il existe plusieurs types de systèmes de fichiers.

• Poste2, Poste3, Poste4 - Il s'agit du système de fichiers Linux local ou par défaut. Le système de fichiers racine est généralement mcapé à l'ensemble de la distribution Linux. Le système de fichiers Ext3 est une excellente mise à jour du système de fichiers Ext2 précédemment utilisé ; il utilise l'opération d'écriture de fichier transactionnel.  Ext4 est un fichier d'extension qui prend en charge les informations Ext3 et l'attribution de fichier.
• ReiserFS - Le problème du système de fichiers est résolu en enregistrant un grand nombre de petits fichiers à la fois. Il y a un bon rire du gestionnaire de fichiers, et l'autorisation du fichier compatible, le stockage du code du fichier, le fichier contient des métadonnées dans le mode de ne pas utiliser le système de fichiers volumineux en raison de sa taille.
•  XFS - Le système de fichiers XFS fonctionne bien et est largement utilisé pour l'archivage de fichiers. Ce type de système de fichiers est populaire sur les serveurs IRIX.
• JFS - IBM a développé ce système de fichiers, et il est devenu un système de fichiers utilisé sur presque toutes les distributions Linux

Système de fichiers macOS : Le système d'exploitation Apple Macintosh utilise uniquement le HFS + système de fichiers sans l'extension de système de fichiers HFS. MacOS, iPhones, iPads et tous les autres produits Apple utilisent le HFS + système de fichiers. Certains produits Apple Server utilisent le système de fichiers Hscan. Ce système de fichiers renommé garde une trace des informations relatives à l'affichage des répertoires, à l'emplacement des fenêtres, etc.

Techniques de gravure de fichiers

Lors de l'investigation numérique, il est nécessaire d'analyser les différents types de médias. Les informations applicables peuvent être trouvées sur plusieurs périphériques de stockage et dans la mémoire du PC. Divers types d'informations peuvent être ventilés, par exemple, des e-mails, des rapports électroniques, des journaux de structure et des enregistrements multimédias. La gravure de fichier est une technique de récupération où seuls le contenu et la structure du fichier sont pris en compte plutôt que les métadonnées du fichier utilisées dans l'organisation des données sur le support de stockage.

Vous trouverez ci-dessous quelques terminologies de sculpture de fichiers à retenir :

• Bloquer - La plus petite taille d'unités de données pouvant être écrites dans le stockage
• Entête - Le point de départ du dossier.
• Bas de page - Les derniers octets du fichier.
• Fragment - Un ou plusieurs blocs appartiennent à un même fichier.
• Fragment de base - Premier fragment du conteneur de fichiers, l'en-tête du fichier.
• Point de fragmentation - Le dernier bloc juste avant la fragmentation. Plusieurs fragments dans n'importe quel fichier entraînent plusieurs points de fragmentation.

Les techniques suprêmes de gravure de fichiers universels d'entreprise sont les suivantes :

• Technique en-tête-pied de page (ou en-tête-"taille maximale du fichier") - La stratégie de base ici consiste à créer des fichiers en fonction du titre et de l'écriture manuscrite ou du nombre total de fichiers.

1. Fichiers d'extension JPG ou JPEG - "\xFF\xD8" et "\xFF\xD9."
2. GIF - intitulé « \ x47 \ x49 \ x46 \ x38 \ x37 \ x61 » et pied de page « \ x00 \ x3B ».
3. TVP: "! BDN" en-tête sans pied de page.
4. Si le système de fichiers n'a pas de base, le nombre maximum de fichiers utilisés dans le programme de sculpture.

• Sculpture basée sur la structure des fichiers

1. La mise en page interne du fichier est utilisée comme technique de base.
2. L'en-tête, le pied de page, les chaînes d'identification et les informations sur la taille sont des éléments de base.

• Sculpture basée sur le contenu

La structure du contenu est libre (MBOX, HTML, XML)

• Caractéristiques du matériau

1. Compter les caractères
2. Reconnaissance de texte/langue
3. Liste de données en noir et blanc
4. Entropie de l'information
5. Caractéristiques statistiques (Chi²)

Sculpter un fichier (sans utiliser d'outil)

Ensuite, nous verrons comment tailler un .jpeg sans utiliser d'outil. Tout d'abord, nous devons connaître la structure de la .fichier jpeg (en-tête et pied de page, etc.). Pour ce faire, nous ouvrirons un .image jpeg dans le Hex éditeur pour examiner ce que l'en-tête et le pied de page du .le fichier jpeg ressemble à.

Ici, nous avons trouvé l'en-tête du fichier ( FFD8FFE0). Maintenant, pour trouver le pied de page, nous allons examiner les derniers octets du fichier.

Ici, nous avons le pied de page ou la bande-annonce du fichier (FFD9).

Si vous avez un document contenant une image, vous pouvez sculpter l'image en connaissant son en-tête et son pied de page.

Maintenant, nous avons un fichier word avec une image dedans. Nous allons découper l'image en utilisant cette technique.

La première chose que nous devons faire est d'ouvrir ce document Word avec le Hex éditeur en cliquant Fichier >> Ouvrir.

Ici, nous pouvons voir une figure montrant les données du fichier Word sous forme hexadécimale. Comme nous le savons déjà, le .jpeg a une valeur d'en-tête de FFD8FFE0, nous allons donc rechercher l'en-tête du fichier en appuyant sur Ctrl + F ou alors Rechercher >> Fichier et en entrant la valeur d'en-tête connue (la sélection du type de données de valeur hexadécimale est très importante dans cette étape).

On va trouver une valeur de signature chez Offset 14FD.

Ensuite, nous devons rechercher un pied de page ou une bande-annonce. Nous savons que le .jpeg a une valeur de pied de page de FFD9, nous allons donc rechercher le pied de fichier en appuyant sur Ctrl + F ou alors Rechercher >> Fichier et en entrant la valeur de pied de page connue (la sélection du type de données de valeur hexadécimale est très importante.

Nous trouverons une valeur de pied de page à Offset 2ADB.

Actuellement, nous avons l'en-tête et le pied de page d'un document jpeg, et, comme nous l'avons récemment déclaré, entre l'en-tête et le pied de page se trouvent les informations d'un enregistrement jpeg. Ici, nous dupliquons tout le carré d'informations avec l'en-tête et le pied de page et le stockons dans un autre fichier.

Aller à EDIT >> Sélectionnez Bloquer et saisissez les deux termes suivants :

Décalage d'en-tête de fichier : 14FD

Décalage du pied de page du fichier :  2ADB

Après avoir entré ces valeurs, l'ensemble .le fichier jpeg sera marqué en bleu. Pour l'enregistrer en tant que fichier, copiez-le en cliquant avec le bouton droit et en sélectionnant Copie, ou en appuyant sur Ctrl + C. Ensuite, nous collerons les informations dans un nouveau fichier. Une boîte de dialogue apparaîtra et nous cliquerons sur d'accord. Maintenant, nous sommes prêts à enregistrer le fichier en cliquant sur Fichier >> Enregistrer sous ou en appuyant sur Ctrl + S. Si vous ouvrez ce fichier copié, vous verrez la même image que dans le document original. C'est la technique de base pour graver des fichiers multimédias.

Outils de sculpture de données

Les outils de récupération de données jouent un rôle important dans la plupart des enquêtes médico-légales, car les attaquants intelligents essaient toujours d'effacer les preuves de leurs crimes. Vous trouverez ci-dessous quelques outils de récupération de données importants dans Linux et les fenêtres.

• Foremost (outil de sculpture de fichier)

Pour récupérer des fichiers perdus en raison de leurs structures de données internes, en-têtes et pieds de page, avant toute chose, peut être utilisé. Foremost prend généralement en entrée divers formats d'image, tels que les formats AFF ou bruts, qui peuvent être générés à l'aide de divers outils, tels que FTK Imager, DD, encase, etc.  Vous pouvez accéder à la page d'aide de Before pour apprendre et explorer ses puissantes commandes à l'aide de la commande suivante :

[email protected]:~$ before -h Récupérer des fichiers à partir d'une image disque en fonction des types de fichiers spécifiés par le
utilisateur utilisant le commutateur -t.
jpg Prise en charge des formats JFIF et Exif, y compris les implémentations
utilisé dans les appareils photo numériques modernes.
gif
png
bmp Prise en charge du format Windows bmp.
avi
exe La prise en charge des binaires Windows PE extraira les fichiers DLL et EXE
avec leurs temps de compilation.
mpg Prise en charge de la plupart des fichiers MPEG (doit commencer par 0x000001BA)
wav
riff Cela extraira AVI et RIFF car ils utilisent le même fichier pour‐
tapis (RIFF). note plus rapide que d'exécuter chacun séparément.
wmv Note peut également extraire les fichiers wma car ils ont un format similaire.
ole Cela récupérera n'importe quel fichier en utilisant la structure de fichier OLE. Cette
inclut PowerPoint, Word, Excel, Access et StarWriter
doc Notez qu'il est plus efficace d'exécuter OLE car vous obtenez plus d'avantages pour
votre argent. Si vous souhaitez ignorer tous les autres fichiers ole, utilisez
cette.
zip Notez qu'il extraira .jar également car ils utilisent un
format. Les documents Open Office ne sont que des fichiers XML compressés, ils
sont également extraits. Ceux-ci incluent SXW, SXC, SXI et SX? pour
fichiers OpenOffice indéterminés. Les fichiers Office 2007 sont également XML
basé (PPTX, DOCX, XLSX)
rar
htm
détection du code source cpp C, notez qu'il s'agit d'un élément primitif et
documents autres que le code C.
mp4 Prise en charge des fichiers MP4.
tous Exécuter toutes les méthodes d'extraction prédéfinies. [Par défaut si non -t est
spécifié]

• BinWalk

BinWalk est utilisé pour gérer les bibliothèques binaires et extraire les données importantes des images du firmware. Cet outil est idéal pour ceux qui savent s'en servir. BinWalk est considéré comme l'un des meilleurs outils disponibles pour la rétro-ingénierie et l'extraction d'images de firmware. BinWalk est facile à utiliser et offre d'énormes capacités. Vous pouvez accéder à la page d'aide de binwalk pour en savoir plus à l'aide de la commande suivante :

[email protected]:~$ binwalk --help Options d'analyse des signatures :
-B, --signature Analyse le(s) fichier(s) cible(s) pour les signatures de fichiers courantes
-R, --raw= Analyse le(s) fichier(s) cible(s) pour la séquence d'octets spécifiée
-A, --opcodes Analyse le(s) fichier(s) cible(s) à la recherche de signatures d'opcode exécutables courantes
-m, --magic= Spécifiez un fichier magique personnalisé à utiliser
-b, --dumb Désactiver les mots-clés de signature intelligente
-I, --invalid Afficher les résultats marqués comme invalides
-x, --exclude= Exclure les résultats qui correspondent
-y, --include= Afficher uniquement les résultats qui correspondent
Options d'extraction :
-e, --extract Extraire automatiquement les types de fichiers connus
-D, --dd= Extraire les signatures, donner aux fichiers une extension de , et exécuter
-M, --matryoshka Analyse récursivement les fichiers extraits
-d, --depth= ​​Limiter la profondeur de récursivité de la matriochka (par défaut : 8 niveaux de profondeur)
-C, --directory= Extraire les fichiers/dossiers dans un répertoire personnalisé (par défaut : répertoire de travail actuel)
-j, --size= Limite la taille de chaque fichier extrait
-n, --count= Limiter le nombre de fichiers extraits
-r, --rm Supprimer les fichiers gravés après extraction
-z, --carve Sculpte les données des fichiers, mais n'exécute pas les utilitaires d'extraction
Options d'analyse d'entropie :
-E, --entropy Calcule l'entropie du fichier
-F, --fast Utiliser une analyse d'entropie plus rapide, mais moins détaillée
-J, --save Enregistrer le tracé au format PNG
-Q, --nlegend Omettre la légende du graphique du tracé d'entropie
-N, --nplot Ne pas générer de graphique entropique
-H, --high= Définit le seuil de déclenchement de l'entropie sur front montant (par défaut : 0.95)
-L, --low= Définit le seuil de déclenchement de l'entropie du front descendant (par défaut : 0.85)
Options de différence binaire :
-W, --hexdump Effectuer un hexdump / diff d'un ou plusieurs fichiers
-G, --green Afficher uniquement les lignes contenant des octets identiques dans tous les fichiers
-i, --red Afficher uniquement les lignes contenant des octets différents parmi tous les fichiers
-U, --blue Afficher uniquement les lignes contenant des octets différents parmi certains fichiers
-w, --terse Diff tous les fichiers, mais n'affiche qu'un vidage hexadécimal du premier fichier
Options de compression brute :
-X, --deflate Rechercher les flux de compression bruts deflate
-Z, --lzma Rechercher les flux de compression LZMA bruts
-P, --partial Effectue une analyse superficielle, mais plus rapide
-S, --stop Arrête après le premier résultat
Options générales:
-l, --length= Nombre d'octets à analyser
-o, --offset= Lancer l'analyse à ce décalage de fichier
-O, --base= Ajouter une adresse de base à tous les offsets imprimés
-K, --block= Définir la taille du bloc de fichier
-g, --swap= Inverser tous les n octets avant l'analyse
-f, --log= Enregistrer les résultats dans un fichier
-c, --csv Enregistrer les résultats dans un fichier au format CSV
-t, --term Formater la sortie pour l'adapter à la fenêtre du terminal
-q, --quiet Supprime la sortie vers la sortie standard
-v, --verbose Activer la sortie détaillée
-h, --help Afficher la sortie d'aide
-a, --finclude=Scanner uniquement les fichiers dont les noms correspondent à cette expression régulière
-p, --fexclude= Ne pas analyser les fichiers dont les noms correspondent à cette expression régulière
-s, --status= Activer le serveur d'état sur le port spécifié

Récupération de données à partir de disques formatés

Les outils de récupération de données doivent être sélectionnés avec soin pour récupérer des informations à partir de disques formatés, de clés USB et de cartes mémoire. Les outils conçus pour effectuer diverses activités peuvent produire des résultats inattendus. Ci-dessous, nous examinerons certaines des différences entre les différents outils de récupération de données pour la correction des données dans les lecteurs formatés.

Déformater

La première erreur fatale que de nombreux utilisateurs d'ordinateurs commettent lors du formatage accidentel de leurs disques est de rechercher, d'installer et d'utiliser des outils « non formatés ». Il existe plusieurs de ces outils sur le marché ; certains sont commerciaux, et d'autres sont des biens gratuits. Le but de ces outils est de reconstruire ou de recréer le disque préformaté en restaurant le système de fichiers.

Bien que cela puisse sembler être une approche viable pour les inexpérimentés, cela pourrait finir par être une erreur plus grave que de perdre les fichiers en premier lieu. Le formatage du disque vide le système de fichiers d'origine, le remplaçant au moins en partie, généralement au début. Lorsque vous essayez de restaurer votre ancien système de fichiers, le mieux que vous puissiez obtenir est un disque lisible avec certains de vos fichiers. Tout ne peut pas être récupéré exactement comme c'était le cas, et les fichiers les plus précieux pourraient être compromis, avec seulement des échantillons aléatoires des fichiers originaux sur le disque. Lorsque vous pensez à « formater » un lecteur système, oubliez-le ; au moins certains fichiers système auront disparu. Même si vous pouvez démarrer le système d'exploitation, vous n'obtiendrez jamais un système stable.

Annuler la suppression

La deuxième erreur que de nombreux utilisateurs d'ordinateurs feront est d'utiliser des outils de récupération. Bien que ces outils existent et tendent à faire leur travail de bonne foi, ils ne sont pas conçus pour gérer les disques avec un système de fichiers exclu. Même avec certains des meilleurs outils de récupération, tels que RS File Recovery, vous pouvez supprimer plusieurs fichiers, mais c'est à peu près tout.

Récupération de partition

Pour récupérer des fichiers, vous devez rechercher un outil de récupération de partition comme RS Partition Recovery. Conçu pour gérer les disques distribués, formatés et endommagés, cet outil peut analyser toute la surface d'un disque ou d'une partition pour récupérer tout ce qu'il peut trouver. Même si le système de fichiers est vide ou supprimé, cet outil peut récupérer de nombreux types de fichiers, tels que des documents, des images et des vidéos, grâce à sa fonction de signature. Cependant, bien que les outils de récupération segmentés soient de premier ordre pour la récupération de données, ils sont généralement assez chers. Si vous souhaitez uniquement récupérer un disque formaté, il peut être utile de rechercher et de sauvegarder à la place.

Récupération FAT et NTFS

Vous pouvez économiser jusqu'à 40 % sur le coût de la récupération de Partition RS en choisissant un outil qui récupère uniquement les disques au format FAT ou NTFS. N'oubliez pas que vous devrez acheter un outil adapté au système de fichiers d'origine et non à celui écrit ci-dessus. Si le lecteur d'origine est NTFS, obtenez le NTFS Recovery RS. S'il s'agit de FAT ou FAT32, procurez-vous le FAT Recovery RS. De cette façon, vous obtiendrez les mêmes outils de qualité, mais vous serez limité au formatage FAT ou NTFS. C'est le choix parfait pour un travail unique.

Fichiers de sculpture (à l'aide d'un outil)

PhotoRec est un logiciel génial utilisé pour graver des fichiers et en particulier des fichiers jpeg ou image (c'est pourquoi il s'appelle Photo Recovery). PhotoRec ignore le cadre du document et poursuit les informations de base, de sorte qu'il fonctionnera indépendamment du fait que le cadre d'enregistrement de votre média ait été gravement endommagé ou reformaté. Photorec est facilement accessible sur les systèmes d'exploitation Windows.

À titre d'exemple, nous allons récupérer des fichiers image à partir d'un lecteur flash de 8 Go à l'aide de cet outil.

Tout d'abord, exécutez le PhotoRec.EXE fichier et lancez l'application. Nous verrons un écran comme celui-ci :

Ici, nous avons toutes les partitions montrant. nous sélectionnerons /K comme notre cible souhaitée à partir de laquelle récupérer des données.

Nous pouvons voir quel système de fichiers cette partition utilise ici, et il y a quatre options en bas.

Rechercher - Cela recherchera la partition qui contient les fichiers pour la récupération.
Options - Utilisé pour des changements mineurs dans les options.
Option de fichier - Utilisé pour modifier les types de fichiers à récupérer.
Quitter - Quitte le processus.

nous sélectionnerons Option de fichier (Options de fichier):

Cela nous donnera des options pour sélectionner les fichiers que nous voulons récupérer à partir de la partition souhaitée. Pressage S va décocher toutes les options. nous sélectionnerons images JPG, car nous voulons uniquement récupérer les fichiers image du lecteur. Ensuite, nous allons appuyer sur B.

Pour sélectionner le Système de fichiers, revenez aux options principales et sélectionnez Autre. En ce qui concerne les options de récupération, nous avons deux choix :

• récupérer de la partition entière
• récupération de espace non alloué uniquement (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, etc.). En utilisant cette option, seuls les fichiers qui ont été supprimés seront récupérés.

Maintenant, tout ce que nous avons à faire est de définir l'emplacement où les fichiers supprimés seront récupérés. Après cela, le processus de récupération commencera et se terminera après avoir pris un certain temps.  Ensuite, nous rechercherons les fichiers récupérés à l'emplacement défini. Les fichiers image récupérés seront là.

Conclusion

Fichier de sculpture est un terme informatique judiciaire bien connu pour décrire l'identification des types de fichiers et leur suppression des clusters non subordonnés à l'aide de signatures de fichiers. Une signature de fichier, également connue sous le nom de nombre magique, est une valeur de texte numérique ou permanente utilisée pour identifier le format de fichier. Extraction de fichiers ou de données est un terme utilisé dans le domaine de l'informatique judiciaire. Un informatisé enquête médico-légale est une acquisition, une vérification, une analyse et une documentation de preuves contenues dans un système informatique, un réseau d'ordinateurs ou d'autres formes de médias numériques. L'extraction de données significatives à partir de données brutes s'appelle sculpture.

Sculpture de fichier est l'identification et la récupération de fichiers sur la base d'une analyse de format. En informatique légale, la sculpture est un moyen utile de trouver des fichiers cachés ou supprimés sur des supports numériques. FLes fichiers peuvent être masqués dans des zones telles que les clusters perdus, les clusters non alloués et la lecture de disques ou de supports numériques. Pour utiliser cette méthode d'extraction, un fichier doit avoir une signature standard, appelée un en-tête de fichier, au début du fichier. Pour obtenir l'en-tête du fichier, l'outil de récupération continuera à interroger jusqu'à ce qu'il atteigne le pied de page du fichier à la fin du fichier. Les données entre l'en-tête et le pied de page sont extraites et analysées pour garantir l'intégrité. Plusieurs méthodes de sculpture sont utilisées dans ses algorithmes, selon le type de fichier.

Les systèmes d'exploitation modernes ne suppriment pas complètement les fichiers supprimés sans l'autorisation de l'utilisateur. Les fichiers supprimés peuvent être récupérés via divers outils et tactiques médico-légales si les fichiers supprimés ne sont pas ajoutés à un autre fichier. Les fichiers endommagés peuvent être récupérés si les données ne sont pas endommagées au-delà de la reconnaissance.

Il y a beaucoup de différence entre la récupération de fichiers et la sculpture de fichiers. La récupération de fichiers utilise les informations du système de fichiers ; en utilisant ces informations, plusieurs fichiers peuvent être récupérés. Si les informations sont incorrectes, cela ne fonctionnera pas. Avec l'avènement de la gravure de fichiers, les forces de l'ordre, les professionnels de la technologie et les professionnels de la médecine légale ont trouvé un autre outil qui peut être utilisé pour récupérer les données supprimées. Bien qu'il ne soit pas toujours parfait et raffiné, des outils comme Tout d'abord, Scalpel, et Photorec ont rendu la recréation de fichiers plus facile que jamais.