Computação Forense, recuperação de dados e E-Discovery Differ

Qual é a diferença entre a recuperação de dados, computação forense e e-discovery?

Todos os três campos lidar com dados e dados especificamente digital. É tudo sobre elétrons em forma de zeros e uns. E é tudo sobre a tomada de informações que podem ser difíceis de encontrar e apresentá-lo de forma legível. Mas mesmo que não haja sobreposição, os conjuntos de habilidades necessárias ferramentas diferentes, especializações diferentes, ambientes de trabalho diferentes e maneiras diferentes de ver as coisas.

Recuperação de dados geralmente envolve coisas que estão quebradas - seja de hardware ou software. Quando um computador trava e não vai começar a voltar-se, quando um disco rígido externo, pen drive ou cartão de memória se torna ilegível, em seguida, de recuperação de dados pode ser necessária. Frequentemente, um aparelho digital, que precisa de seus dados recuperados terá danos electrónico, danos físicos, ou uma combinação dos dois. Se tal for o caso, de reparação de hardware vai ser uma grande parte do processo de recuperação de dados. Isso pode envolver a reparação de eletrônicos do drive, ou mesmo substituir a pilha de leitura / gravação de cabeças no interior da parte selada da unidade de disco.

Se o hardware está intacta, a estrutura do arquivo ou partição é susceptível de ser danificado. Algumas ferramentas de recuperação de dados vai tentar reparar partição ou estrutura de arquivo, enquanto outros olhar para a estrutura do arquivo danificado e tentar puxar os arquivos para fora. Partições e diretórios podem ser reconstruído manualmente com um editor hexadecimal, bem como, mas dado o tamanho das unidades de disco modernas e da quantidade de dados sobre eles, isso tende a ser impraticável.

Em geral, recuperação de dados é um tipo de processo "macro". O resultado final tende a ser uma grande população de dados salvos sem a atenção tanto para os arquivos individuais. Trabalhos de recuperação de dados são frequentemente discos individuais ou outras mídias digitais que prejudicaram hardware ou software. Não há determinados padrões no setor aceites em recuperação de dados.

Descoberta eletrônica geralmente lida com hardware e software que está intacto. Desafios no e-descoberta incluem "de duping". A pesquisa pode ser realizada através de um volume muito grande de e-mails existentes ou de backup e documentos.

Devido à natureza de computadores e de e-mail, não é provável que sejam muito muitos duplicados idêntico ("dupes") de vários documentos e e-mails. E-descoberta ferramentas são projetadas para peneirar para baixo o que de outro modo seria uma torrente incontrolável de dados a um tamanho administrável por indexação e remoção de duplicatas, também conhecida como de-duping.

E-descoberta, muitas vezes lida com grandes quantidades de dados de hardware danificado, e os procedimentos abrangidos pelas Normas Federais de Processo Civil ("FRCP").

Informática forense tem aspectos de ambos os e-descoberta e recuperação de dados.

Em computação forense, os examinador forense (CFE) para pesquisas e através de dados existentes e anteriormente existente, ou excluído. Fazer esse tipo de e-discovery, um perito forense, por vezes, lida com hardware danificado, embora este é relativamente incomum. Procedimentos de recuperação de dados podem ser colocados em jogo para recuperar arquivos apagados intacta. Mas freqüentemente o CFE tem de lidar com as tentativas propositais para esconder ou destruir dados que exigem habilidades fora aqueles encontrados na indústria de recuperação de dados.

Ao lidar com e-mail, o CFE é muitas vezes buscando espaço não alocado para os dados ambientais - dados que não existe mais como um arquivo legível para o usuário. Isso pode incluir o uso de palavras ou frases específicas ("buscas de palavras-chave") ou endereços de e-mail no espaço não alocado. Isso pode incluir os arquivos do Outlook hackers para encontrar e-mail excluído. Isso pode incluir a olhar para os arquivos de cache ou de registro, ou mesmo em arquivos de Internet de história para remanescentes de dados. E, claro, que muitas vezes inclui uma pesquisa através de arquivos ativos para os mesmos dados.

Práticas são semelhantes quando se olha para os documentos específicos de apoio de um caso ou de carga. Palavra-chave pesquisas são realizadas tanto em documentos ativos ou visível, e em dados ambientais. Pesquisas de palavras-chave devem ser projetados com cuidado. Em um caso, o Schlinger Fundação v Blair Smith, et al o autor, computador forense especialista Steve Burgess descobriu mais de um milhão de palavras-chave "hits" em duas unidades de disco.

Por fim, o especialista em computação forense também é muitas vezes chamado a depor como testemunha no depoimento ou no tribunal. Como resultado, os métodos do CFE e procedimentos podem ser colocadas sob um microscópio eo perito pode ser chamado para explicar e defender os seus resultados e ações. A CFE que também é um perito pode ter de defender coisas ditas no tribunal ou em escritos publicados em outros lugares.

Na maioria das vezes, os dados de ofertas de recuperação com uma unidade de disco, ou os dados de um sistema. A casa de recuperação de dados terá suas próprias normas e procedimentos e obras sobre a reputação, não a certificação. Descoberta eletrônica freqüentemente lida com dados de um grande número de sistemas, ou de servidores com que pode conter muitas contas de usuário. E-descoberta métodos são baseados em software de qualidade comprovada e combinações de hardware e são melhor planejadas para antecedência (embora a falta de pré-planejamento é muito comum). Computação forense pode lidar com um ou muitos sistemas ou dispositivos, pode ser bastante fluido no âmbito das demandas e solicitações feitas, muitas vezes lida com dados faltantes, e deve ser defensável - e defendeu - em tribunal.

EZ...