Anche per nel recupero di file cancellati il tempo è il nemico, infatti per operazioni simili la famosa barra d'avanzamento ricompare e rimane con noi per svariate ore o giorni, anche perché i file non allocati possono esser recuperati in due modalità.
Quando un file è stato cancellato in realtà non viene eliminato dal disco, ma solamente dalla tabella d'allocazione. È come se qualcuno per cancellarci ci togliesse dal registro dell'anagrafe della nostra città: scompariamo "burocraticamente" ma esistiamo ancora, e lo stesso vale per la cancellazione dei file - a meno di non fare la cancellazione sicura che implica una sovrascrittura del file con caratteri casuali. In caso di cancellazione standard il file è quindi recuperabile tramite software che vanno a vedere i record della tabella che presentano il flag di deleted, così da ripristinare il file che era stato eliminato.
In altri casi nella tabella d'allocazione non vi è traccia del file cancellato: pensiamo ad un disco formattato (quick format) e poi riutilizzato con una nuova installazione, per esempio, di Windows. Tutti i riferimenti ai vecchi "ospiti" del disco non esistono più, c'è una nuova tabella senza tracce di ciò che vi era prima. In questo caso il recupero è più difficile.
Si può operare con una tecnica chiamata "data carving", che cerca i file tramite "magic numbers", ossia delle specie di "firme" che identificano il tipo di file. In mancanza dei metadati nella tabella d'allocazione, il file recuperato non avrà un nome, percorso e dati temporali.
Per esempio, tutte le immagini JPG iniziano con il magic number esadecimale "FF D8" e terminano con "FF D9", il software di data carving scansiona tutto il disco ed ogni volta che trova un "FF D8" inizia a scrivere un file JPG chiudendolo quando trova "FF D9". Questa tecnica recupera tutti i file presenti sul disco, anche quelli allocati, ma può spesso generare falsi positivi e file corrotti specialmente se il disco è molto frammentato.
Altro tempo che se ne va per la cernita.