Некоторые современные методы, которые используются в криминалистике для восстановления информации с повреждённых носителей:

• Работа в режиме «только чтение». 23 Это требование связано с тем, что один из основополагающих принципов судопроизводства — неизменность извлекаемых улик. 2 Для этого используют специальные аппаратные блокираторы записи, которые исключают любые попытки записи на исследуемый жёсткий диск. 2
• Использование виртуальных образов диска. 23 Стандартная процедура анализа диска подразумевает снятие образа в формате Ex01, DD или SMART и последующий анализ этого образа. 2
• Поиск по сигнатурам. 12 Этот метод основан на поиске особых меток. 1 Он эффективен при разрушении файловой системы, но возможности обнаружения файлов. 1
• Алгоритмы семейства «data carving». 2 Они используют эвристику, комбинаторику и ручной труд для сборки интересующего файла из множества отдельных фрагментов. 2 Этот процесс длительный и трудоёмкий, поэтому в криминалистике его используют редко. 2

Для восстановления информации в криминалистике применяют различные программы, например EnCase Forensic, FTK (Forensic Toolkit), Autopsy Digital Forensics. 3