Forenzní obnovení dat je proces, který se používá k načtení dat, které budou použity pro právní účely.Tato technika je klasicky používána při trestním nebo civilním vyšetřování, která jsou navržena tak, aby poskytovala informace, které lze použít u soudu, ačkoli forenzní zotavení údajů lze také použít auditující firmy a za různých okolností.Tento proces provádí vyškolení technici, kteří studovali informatiku, informační technologie a forenzní.

Potřeba obnovy dat není neobvyklá;Mnoho lidí zažilo ztracené nebo zkorumpované soubory v určitém okamžiku svého života a někteří jsou obeznámeni s technikami, které lze použít k obnovení nebo přestavbě těchto údajů.Regenerace forenzních dat je podobná, ale trochu složitější, protože také zahrnuje přístup k oblastem počítače, které by normálně nebyly vidět ani nepoužívány ke kontrole konkrétních zájmových činností, spolu s obnovením dat, jejichž cílem je úmyslné obnovení údajůVymazáno, poškozené nebo poškozené.Jindy to může zahrnovat vzkříšení údajů, o kterých se předpokládá, že jsou ztraceny nebo odstraněny, obcházení bezpečnostních systémů nebo studium počítačového systému, který hledá stopy nezákonné činnosti.Regenerace forenzních dat lze použít na situace, od podezřelých případů tvůrčího účetnictví až po analýzu počítače, o kterém se předpokládá, že patří sexuálnímu predátorovi, aby hledal inkriminující nebo identifikační informace.Když se zapojují do obnovy dat, odborníci na obnovení dat se primárně zajímají o informace.Nezáleží na tom, v jaké formě je informace prezentována, a mohou použít různé techniky k vyplnění chybějících kusů nebo učinit informace smysluplnými.Například technik by mohl odhalit a obnovit poškozený nebo smazaný oddíl a hledat stopy informací, které by mohly odhalit, jak a kdy byl oddíl použit.Opatření, které zabrání právním vyšetřováním, musí používat speciální postupy, aby se zabránilo spouštění selhání, které by mohly kompromitovat nebo smazat data.Musí také být schopni pracovat s informacemi způsobem, který se nezmění ani neohrožuje.Například technik by mohl zkopírovat data z pevného disku nalezená na místě činu na jiný pevný disk, opětovným původním pevným diskem na základě důkazů a práce s kopií dat