Forensisk dataåterställning är en process som används för att hämta data som kommer att användas för lagliga ändamål. Denna teknik används klassiskt i kriminella eller civila utredningar som är utformade för att ge information som kan användas i domstol, även om rättsmedicinsk dataåterställning också kan användas av revisionsbyråer och under en mängd andra omständigheter. Denna process utförs av utbildade tekniker som har studerat datavetenskap, informationsteknologi och kriminalteknik.
Behovet av dataåterställning är inte ovanligt; många människor har upplevt förlorade eller skadade filer någon gång i livet, och en del känner till de tekniker som kan användas för att återställa eller bygga om sådan data. Rättsmedicinsk dataåterställning är liknande, men lite mer komplex, eftersom den också inkluderar åtkomst till områden på en dator som normalt inte skulle ses eller användas för att leta efter specifika aktiviteter av intresse, tillsammans med dataåterställning som syftar till att återställa data som var avsiktligt raderade, skadade eller korrupta.
Ibland är rättsmedicinsk dataåterställning så enkelt som att försöka rekonstruera informationen på en skadad hårddisk, skiva eller minneskort. Vid andra tillfällen kan det inkludera återupplivande av data som tros ha gått förlorade eller raderade, förbikoppling av säkerhetssystem eller studier av ett datorsystem för att leta efter spår av olaglig aktivitet. Det kan tillämpas på situationer som sträcker sig från misstänkta fall av kreativ bokföring till analys av en dator som tros tillhöra ett sexuellt rovdjur för att leta efter inkriminerande eller identifierande information.
Istället för att leta specifikt efter filer, vilket är vad de flesta människor gör när de ägnar sig åt dataåterställning, är kriminaltekniska dataåterställningsspecialister främst intresserade av information. De bryr sig inte nödvändigtvis i vilken form informationen presenteras, och de kan använda en mängd olika tekniker för att fylla i saknade delar eller göra information meningsfull. Till exempel kan en tekniker avslöja och återställa en skadad eller raderad partition, leta efter spår av information som kan avslöja hur och när partitionen användes.
Eftersom specialister på rättsmedicinsk dataåterställning kan arbeta med datorer som har försetts med säkerhetsåtgärder för att förhindra rättsliga utredningar, måste de använda speciella procedurer för att undvika att utlösa felsäkerheter som kan äventyra eller radera data. De måste också kunna arbeta med information på ett sätt som inte förändrar eller äventyrar den. Till exempel kan en tekniker kopiera data från en hårddisk som hittats på en brottsplats till en annan hårddisk, återförsegla den ursprungliga hårddisken som bevis och arbeta med kopian av data.