Forenzična obnovitev podatkov je postopek, ki se uporablja za pridobivanje podatkov, ki bodo uporabljeni v pravne namene. Ta tehnika se klasično uporablja v kazenskih ali civilnih preiskavah, ki so zasnovane tako, da pridobijo informacije, ki se lahko uporabijo na sodišču, čeprav lahko forenzično obnovitev podatkov uporabljajo tudi revizijska podjetja in v številnih drugih okoliščinah. Ta postopek izvajajo usposobljeni tehniki, ki so študirali računalništvo, informacijsko tehnologijo in forenziko.
Potreba po obnovitvi podatkov ni redka; veliko ljudi je v nekem trenutku svojega življenja doživelo izgubljene ali poškodovane datoteke, nekateri pa so seznanjeni s tehnikami, ki jih je mogoče uporabiti za obnovitev ali obnovo takšnih podatkov. Forenzično obnavljanje podatkov je podobno, vendar nekoliko bolj zapleteno, saj vključuje tudi dostop do področij računalnika, ki jih običajno ne bi videli ali uporabljali za preverjanje posebnih dejavnosti, ki jih zanimajo, skupaj z obnovitvijo podatkov, ki je namenjena obnovitvi podatkov, ki so bili namerno izbrisani, poškodovani ali poškodovani.
Včasih je forenzična obnovitev podatkov tako preprosta kot poskus rekonstrukcije informacij na poškodovanem trdem disku, disku ali pomnilniški kartici. V drugih primerih lahko vključuje oživitev podatkov, za katere se domneva, da so izgubljeni ali izbrisani, obhod varnostnih sistemov ali študij računalniškega sistema za iskanje sledi nezakonite dejavnosti. Uporablja se lahko za situacije, ki segajo od domnevnih primerov kreativnega računovodstva do analize računalnika, za katerega se domneva, da pripada spolnemu plenilcu, da se poiščejo obremenilne ali identifikacijske informacije.
Namesto da bi posebej iskali datoteke, kar počne večina ljudi, ko se ukvarjajo z obnovitvijo podatkov, strokovnjake za obnovo forenzičnih podatkov zanimajo predvsem informacije. Ni jim nujno vseeno, v kakšni obliki so informacije predstavljene, in lahko uporabljajo različne tehnike, da zapolnijo manjkajoče dele ali osmislijo informacije. Tehnik lahko na primer odkrije in obnovi poškodovano ali izbrisano particijo ter išče sledi informacij, ki bi lahko razkrile, kako in kdaj je bila particija uporabljena.
Ker strokovnjaki za forenzično obnovitev podatkov morda delajo z računalniki, v katerih so bili nameščeni varnostni ukrepi za preprečevanje sodnih preiskav, morajo uporabiti posebne postopke, da se izognejo sprožitvi varnostnih sistemov, ki bi lahko ogrozili ali izbrisali podatke. Prav tako morajo biti sposobni delati z informacijami na način, ki jih ne bo spremenil ali ogrozil. Tehnik lahko na primer kopira podatke s trdega diska, najdenega na kraju zločina, na drug trdi disk, pri čemer znova zapečati originalni trdi disk kot dokaz in dela s kopijo podatkov.