Pemulihan data forensik adalah proses yang digunakan untuk mengambil data yang akan digunakan untuk tujuan hukum.Teknik ini secara klasik digunakan dalam investigasi kriminal atau sipil yang dirancang untuk menghasilkan informasi yang dapat digunakan di pengadilan, meskipun pemulihan data forensik juga dapat digunakan oleh perusahaan audit dan dalam berbagai keadaan lain.Proses ini dilakukan oleh teknisi terlatih yang telah mempelajari ilmu komputer, teknologi informasi, dan forensik.

Kebutuhan untuk pemulihan data tidak jarang;Banyak orang telah mengalami file yang hilang atau rusak di beberapa titik dalam kehidupan mereka, dan beberapa akrab dengan teknik yang dapat digunakan untuk memulihkan atau membangun kembali data tersebut.Pemulihan data forensik serupa, tetapi sedikit lebih kompleks, karena juga termasuk mengakses area komputer yang biasanya tidak terlihat atau digunakan untuk memeriksa kegiatan yang menarik, bersama dengan pemulihan data yang ditujukan untuk memulihkan data yang dengan sengajaDihapus, rusak, atau rusak.

Terkadang, pemulihan data forensik sesederhana mencoba merekonstruksi informasi tentang hard drive, cakram, atau kartu memori yang rusak.Di lain waktu, ini dapat mencakup kebangkitan data yang dianggap hilang atau dihapus, melewati sistem keamanan, atau studi tentang sistem komputer untuk mencari jejak aktivitas ilegal.Pemulihan data forensik dapat diterapkan pada situasi mulai dari kasus -kasus yang dicurigai dari akuntansi kreatif hingga analisis komputer yang diyakini milik pemangsa seksual untuk mencari informasi yang memberatkan atau mengidentifikasi.Ketika mereka terlibat dalam pemulihan data, spesialis pemulihan data forensik terutama tertarik pada informasi.Mereka tidak perlu peduli bentuk apa yang disajikan informasi, dan mereka dapat menggunakan berbagai teknik untuk mengisi bagian yang hilang atau membuat informasi bermakna.Misalnya, seorang teknisi dapat mengungkap dan mengembalikan partisi yang rusak atau dihapus, mencari jejak informasi yang dapat mengungkapkan bagaimana dan kapan partisi digunakan.

Karena spesialis dalam pemulihan data forensik mungkin bekerja dengan komputer yang telah diunggulkan dengan keselamatanLangkah -langkah untuk mencegah investigasi hukum, mereka harus menggunakan prosedur khusus untuk menghindari pemicu gagal yang dapat membahayakan atau menghapus data.Mereka juga harus dapat bekerja dengan informasi dengan cara yang tidak akan mengubah atau mengkompromikannya.Misalnya, seorang teknisi dapat menyalin data dari hard drive yang ditemukan di tempat kejadian ke hard drive lain, menyegarkan kembali hard drive asli sebagai bukti dan bekerja dengan salinan data.