La talla de archivos es una técnica utilizada en la informática forense para extraer un archivo o datos formateados de una unidad de disco u otro dispositivo de almacenamiento sin la ayuda del sistema de archivos que creó originalmente el archivo. Hay varios métodos y algoritmos diferentes que se pueden usar, pero el proceso básicamente implica escanear los datos que están disponibles en un dispositivo de almacenamiento y luego, de una forma u otra, verificar si esa información es un archivo o contiene alguna información predefinida de importancia. Un sistema de archivos no está presente durante el proceso de tallado de archivos, por lo que toda la información en un disco debe evaluarse para su contexto, lo que significa que el proceso puede llevar mucho tiempo y, dependiendo del estado del dispositivo de almacenamiento, puede tener un problema. baja tasa de éxito. Es increíblemente difícil, pero posible, tallar archivos de unidades que tienen una gran cantidad de fragmentación de archivos. El resultado final de una talla de archivo exitosa es la reconstrucción de un archivo de tal manera que su contenido esté completamente presente, aunque un resultado aceptable en algunas situaciones puede ser un archivo parcialmente reconstruido si se recupera suficiente información pertinente.
En algunos casos, ya sea por falla de hardware, error humano o ataque malintencionado, se puede borrar el sistema de archivos de un dispositivo de almacenamiento y toda la información que contiene. Dependiendo de cómo se eliminó la información, el disco en sí podría contener toda la información que estaba presente anteriormente, pero en un flujo de bytes desordenado y desorganizado. Un mecanismo que hace posible la talla de archivos es que, cuando muchos sistemas de archivos borran un archivo de una unidad, no eliminan los datos, sino que marcan esa área del disco como disponible para archivos nuevos. Los datos antiguos permanecen hasta que se sobrescriben e, incluso en ese caso, todavía existe la posibilidad de que se puedan recuperar.
Una técnica muy básica utilizada en la talla de archivos consiste en recorrer bloques de información en un disco en busca de firmas de archivos. Estos son datos estructurados que indican el inicio de un archivo de un tipo particular. Un ejemplo es el inicio de un archivo de imagen que puede contener el ancho y el alto de la imagen y algunos datos de la paleta de colores. Si se encuentra un bloque de datos que coincide claramente con el encabezado de un tipo de archivo, se intenta interpretar los datos que siguen al encabezado para ver si realmente son los datos del archivo. Si tiene éxito, esto podría conducir a la reconstrucción del archivo original.
Una complicación que ocurre en la talla de archivos tiene que ver con archivos que están fragmentados, lo que significa que el archivo se almacena en dos o más ubicaciones físicas diferentes en un disco. Algunas técnicas no intentan reconstruir este tipo de archivos. Otros métodos utilizan el conocimiento existente de los sistemas de archivos para intentar aproximarse a dónde podrían estar ubicadas las otras partes de un archivo, aunque este proceso es muy difícil.