Il recupero dei dati forensi è un processo utilizzato per recuperare dati che verranno utilizzati per scopi legali. Questa tecnica è classicamente utilizzata nelle indagini penali o civili progettate per fornire informazioni che possono essere utilizzate in tribunale, sebbene il recupero dei dati forensi possa essere utilizzato anche dalle società di revisione e in una varietà di altre circostanze. Questo processo viene eseguito da tecnici qualificati che hanno studiato informatica, tecnologia dell’informazione e medicina legale.
La necessità di recuperare i dati non è rara; molte persone hanno sperimentato file persi o corrotti ad un certo punto della loro vita e alcuni hanno familiarità con le tecniche che possono essere utilizzate per ripristinare o ricostruire tali dati. Il recupero dati forense è simile, ma un po’ più complesso, perché comprende anche l’accesso ad aree di un computer che normalmente non verrebbero viste o utilizzate per verificare specifiche attività di interesse, insieme al recupero dati che ha lo scopo di recuperare dati che sono stati volutamente cancellato, danneggiato o corrotto.
A volte, il recupero dei dati forensi è semplice come provare a ricostruire le informazioni su un disco rigido, un disco o una scheda di memoria danneggiati. Altre volte, può includere la resurrezione di dati ritenuti persi o cancellati, l’aggiramento dei sistemi di sicurezza o lo studio di un sistema informatico per cercare tracce di attività illegali. Può essere applicato a situazioni che vanno dai casi sospetti di contabilità creativa all’analisi di un computer che si ritiene appartenga a un predatore sessuale per cercare informazioni incriminanti o identificative.
Invece di cercare specificamente i file, che è ciò che fa la maggior parte delle persone quando si dedica al recupero dei dati, gli specialisti del recupero dei dati forensi sono principalmente interessati alle informazioni. Non si preoccupano necessariamente della forma in cui vengono presentate le informazioni e possono utilizzare una varietà di tecniche per riempire i pezzi mancanti o rendere le informazioni significative. Ad esempio, un tecnico potrebbe scoprire e ripristinare una partizione danneggiata o cancellata, cercando tracce di informazioni che potrebbero rivelare come e quando è stata utilizzata la partizione.
Poiché gli specialisti nel recupero dei dati forensi possono lavorare con computer che sono stati dotati di misure di sicurezza per prevenire indagini legali, devono utilizzare procedure speciali per evitare l’attivazione di sistemi di sicurezza che potrebbero compromettere o cancellare i dati. Devono anche essere in grado di lavorare con le informazioni in modo tale da non modificarle o comprometterle. Ad esempio, un tecnico potrebbe copiare i dati da un disco rigido trovato sulla scena del crimine su un altro disco rigido, risigillando il disco rigido originale come prova e lavorando con la copia dei dati.