Dalam forensik komputer, pemeriksa forensik (CFE) mencari dan melalui data yang ada dan yang sudah ada sebelumnya, atau yang dihapus. Melakukan e-discovery semacam ini, seorang ahli forensik terkadang menangani perangkat keras yang rusak, meskipun hal ini relatif jarang terjadi. Prosedur pemulihan data dapat dilakukan untuk memulihkan file yang terhapus secara utuh. Namun seringkali CFE harus berurusan dengan upaya yang disengaja untuk menyembunyikan atau menghancurkan data yang memerlukan keterampilan di luar yang ditemukan dalam industri pemulihan data.
Saat berurusan dengan email, CFE sering mencari ruang yang tidak terisi untuk data sekitar – data yang tidak lagi ada sebagai file yang dapat dibaca oleh pengguna. Ini dapat mencakup pencarian kata atau frasa tertentu (“pencarian kata kunci”) atau alamat email di ruang yang tidak terisi. Ini dapat mencakup peretasan file Outlook untuk menemukan email yang dihapus. Ini dapat mencakup melihat ke dalam cache atau file log, atau bahkan ke file riwayat Internet untuk sisa-sisa data. Dan tentu saja, sering kali menyertakan pencarian melalui file aktif untuk data yang sama.
Praktiknya serupa ketika mencari dokumen spesifik yang mendukung suatu kasus atau dakwaan. Pencarian kata kunci dilakukan baik pada dokumen yang aktif atau terlihat, dan pada data sekitar. Pencarian kata kunci harus dirancang dengan hati-hati. Dalam satu kasus seperti itu, Schlinger Foundation v Blair Smith penulis menemukan lebih dari satu juta kata kunci “hits” pada dua disk drive.
Terakhir, ahli forensik komputer juga sering dipanggil untuk bersaksi sebagai saksi ahli dalam deposisi atau di pengadilan. Akibatnya, metode dan prosedur CFE dapat dilihat di bawah mikroskop dan ahli dapat diminta untuk menjelaskan dan mempertahankan hasil dan tindakannya. CFE yang juga merupakan saksi ahli mungkin harus membela hal-hal yang dikatakan di pengadilan atau dalam tulisan yang diterbitkan di tempat lain.
Paling sering, pemulihan data berhubungan dengan satu disk drive, atau data dari satu sistem. Rumah pemulihan data akan memiliki standar dan prosedurnya sendiri dan bekerja berdasarkan reputasi, bukan sertifikasi. Penemuan elektronik sering kali berhubungan dengan data dari sejumlah besar sistem, atau dari server yang mungkin berisi banyak akun pengguna. Metode E-discovery didasarkan pada kombinasi perangkat lunak dan perangkat keras yang telah terbukti dan paling baik direncanakan jauh sebelumnya (walaupun kurangnya pra-perencanaan sangat umum). Forensik komputer dapat menangani satu atau banyak sistem atau perangkat, mungkin cukup lancar dalam lingkup tuntutan dan permintaan yang dibuat, sering kali berurusan dengan data yang hilang, dan harus dapat dipertahankan – dan dipertahankan – di pengadilan.