Computer Forensics, Data Recovery og E-Discovery er forskjellige

C

Hva er forskjellen mellom datagjenoppretting, dataetterforskning og e-discovery?

Alle tre feltene omhandler data, og spesifikt digitale data. Det handler om elektroner i form av nuller og enere. Og det handler om å ta informasjon som kan være vanskelig å finne og presentere den på en lesbar måte. Men selv om det er overlapping, krever ferdighetssettene ulike verktøy, ulike spesialiseringer, ulike arbeidsmiljøer og ulike måter å se ting på.

Datagjenoppretting involverer generelt ting som er ødelagte – enten det er maskinvare eller programvare. Når en datamaskin krasjer og ikke vil starte sikkerhetskopiering, når en ekstern harddisk, minnepinne eller minnekort blir uleselig, kan datagjenoppretting være nødvendig. Ofte vil en digital enhet som trenger dataene sine ha elektronisk skade, fysisk skade eller en kombinasjon av de to. Hvis dette er tilfelle, vil maskinvarereparasjon være en stor del av datagjenopprettingsprosessen. Dette kan innebære å reparere stasjonens elektronikk, eller til og med bytte ut stabelen med lese-/skrivehoder inne i den forseglede delen av stasjonen.

Hvis maskinvaren er intakt, er det sannsynlig at filen eller partisjonsstrukturen blir skadet. Noen datagjenopprettingsverktøy vil forsøke å reparere partisjon eller filstruktur, mens andre ser på den skadede filstrukturen og prøver å trekke ut filer. Partisjoner og kataloger kan også gjenoppbygges manuelt med en hex-editor, men gitt størrelsen på moderne diskstasjoner og mengden data på dem, har dette en tendens til å være upraktisk.

I det store og hele er datagjenoppretting en slags «makro»-prosess. Sluttresultatet har en tendens til å være en stor populasjon av data lagret uten like mye oppmerksomhet til de enkelte filene. Datagjenopprettingsjobber er ofte individuelle diskstasjoner eller andre digitale medier som har skadet maskinvare eller programvare. Det er ingen spesielle bransjeomfattende aksepterte standarder for datagjenoppretting.

Elektronisk oppdagelse omhandler vanligvis maskinvare og programvare som er intakt. Utfordringer innen e-discovery inkluderer «de-duping». Et søk kan utføres gjennom et veldig stort volum av eksisterende eller sikkerhetskopierte e-poster og dokumenter.

På grunn av naturen til datamaskiner og e-post, vil det sannsynligvis være svært mange identiske duplikater (“duper”) av ulike dokumenter og e-poster. E-discovery-verktøy er utviklet for å vinne ned det som ellers kunne være en uhåndterlig strøm av data til en håndterbar størrelse ved å indeksere og fjerne duplikater, også kjent som de-duping.

E-discovery omhandler ofte store mengder data fra uskadet maskinvare, og prosedyrer faller inn under Federal Rules of Civil Procedure (“FRCP”).

Dataetterforskning har aspekter av både e-oppdagelse og datagjenoppretting.

I dataetterforskning søker rettsmedisineren (CFE) etter og gjennom både eksisterende og tidligere eksisterende, eller slettede data. Ved å gjøre denne typen e-oppdagelse, håndterer en rettsmedisinsk ekspert noen ganger skadet maskinvare, selv om dette er relativt uvanlig. Datagjenopprettingsprosedyrer kan tas i bruk for å gjenopprette slettede filer intakte. Men ofte må CFE håndtere målrettede forsøk på å skjule eller ødelegge data som krever ferdigheter utenfor de som finnes i datagjenopprettingsindustrien.

Når det gjelder e-post, søker CFE ofte etter uallokert plass etter omgivelsesdata – data som ikke lenger eksisterer som en fil som kan leses for brukeren. Dette kan inkludere søk etter spesifikke ord eller setninger (“søkeordsøk”) eller e-postadresser i ikke-allokert plass. Dette kan inkludere hacking av Outlook-filer for å finne slettet e-post. Dette kan inkludere å se på cache- eller loggfiler, eller til og med i internetthistorikkfiler for datarester. Og selvfølgelig inkluderer det ofte et søk gjennom aktive filer for de samme dataene.

Praksis er lik når du ser etter spesifikke dokumenter som støtter en sak eller siktelse. Nøkkelordsøk utføres både på aktive eller synlige dokumenter, og på omgivelsesdata. Søkeordsøk må utformes nøye. I et slikt tilfelle, Schlinger Foundation mot Blair Smith forfatteren avdekket mer enn én million søkeord “treff” på to diskstasjoner.

Til slutt blir dataetterforskningseksperten også ofte innkalt til å vitne som sakkyndig vitne i deponering eller i retten. Som et resultat kan CFEs metoder og prosedyrer settes under et mikroskop og eksperten kan bli bedt om å forklare og forsvare sine resultater og handlinger. En CFE som også er sakkyndig kan måtte forsvare ting som er sagt i retten eller i skrifter publisert andre steder.

Oftest handler datagjenoppretting med én diskstasjon, eller dataene fra ett system. Datagjenopprettingshuset vil ha sine egne standarder og prosedyrer og jobber med omdømme, ikke sertifisering. Elektronisk oppdagelse omhandler ofte data fra et stort antall systemer, eller fra servere som kan inneholde mange brukerkontoer. E-oppdagelsesmetoder er basert på utprøvde programvare- og maskinvarekombinasjoner og planlegges best langt i forveien (selv om mangel på forhåndsplanlegging er svært vanlig). Dataetterforskning kan omhandle ett eller flere systemer eller enheter, kan være ganske flytende i omfanget av krav og forespørsler, omhandler ofte manglende data, og må kunne forsvares – og forsvares – i retten.

EZ

About the author

Add comment

By user

Recent Posts

Recent Comments

Archives

Categories

Meta