Recuperarea datelor criminalistice este un proces care este utilizat pentru a prelua date care vor fi utilizate în scopuri legale. Această tehnică este utilizată în mod clasic în anchetele penale sau civile, care sunt concepute pentru a furniza informații care pot fi utilizate în instanță, deși recuperarea datelor criminalistice poate fi utilizată și de firmele de audit și într-o varietate de alte circumstanțe. Acest proces este realizat de tehnicieni instruiți care au studiat informatica, tehnologia informației și criminalistica.
Necesitatea de recuperare a datelor nu este neobișnuită; mulți oameni s-au confruntat cu fișiere pierdute sau corupte la un moment dat în viața lor, iar unii sunt familiarizați cu tehnicile care pot fi folosite pentru a restaura sau reconstrui astfel de date. Recuperarea datelor criminalistice este similară, dar puțin mai complexă, deoarece include și accesarea unor zone ale unui computer care în mod normal nu ar fi văzute sau utilizate pentru a verifica activități specifice de interes, împreună cu recuperarea datelor care are ca scop recuperarea datelor care au fost în mod deliberat. șterse, deteriorate sau corupte.
Uneori, recuperarea datelor criminalistice este la fel de simplă ca încercarea de a reconstrui informațiile de pe un hard disk, disc sau card de memorie deteriorat. Alteori, poate include renașterea datelor despre care se crede că au fost pierdute sau șterse, ocolirea sistemelor de securitate sau studiul unui sistem informatic pentru a căuta urme de activitate ilegală. Poate fi aplicat în situații variind de la cazuri suspectate de contabilitate creativă până la analiza unui computer despre care se crede că aparține unui prădător sexual pentru a căuta informații incriminatoare sau de identificare.
În loc să caute în mod specific fișierele, ceea ce fac majoritatea oamenilor atunci când se angajează în recuperarea datelor, specialiștii în recuperarea datelor criminalistice sunt interesați în primul rând de informații. Nu le pasă neapărat în ce formă sunt prezentate informațiile și pot folosi o varietate de tehnici pentru a completa piesele lipsă sau pentru a face informațiile semnificative. De exemplu, un tehnician ar putea descoperi și restaura o partiție deteriorată sau ștearsă, căutând urme de informații care ar putea dezvălui cum și când a fost utilizată partiția.
Deoarece specialiștii în recuperarea datelor criminalistice pot lucra cu computere care au fost însămânțate cu măsuri de siguranță pentru a preveni investigațiile legale, aceștia trebuie să utilizeze proceduri speciale pentru a evita declanșarea failsafe-urilor care ar putea compromite sau șterge datele. De asemenea, trebuie să poată lucra cu informații într-un mod care să nu le schimbe sau să le compromită. De exemplu, un tehnician ar putea copia datele de pe un hard disk găsit la locul crimei pe un alt hard disk, resigilant hard disk-ul original ca dovezi și lucrând cu copia datelor.