Adli Bilişim, Veri Kurtarma ve E-Keşif Farklıdır

Veri kurtarma, adli bilişim ve e-keşif arasındaki fark nedir?

Her üç alan da verilerle ve özellikle dijital verilerle ilgilenir. Her şey sıfırlar ve birler biçimindeki elektronlarla ilgili. Ve bu, bulunması zor olabilecek bilgileri alıp okunabilir bir şekilde sunmakla ilgilidir. Ancak örtüşmeler olsa da, beceri setleri farklı araçlar, farklı uzmanlıklar, farklı çalışma ortamları ve olaylara farklı bakış açıları gerektirir.

Veri kurtarma, ister donanım ister yazılım olsun, genellikle bozuk olan şeyleri içerir. Bir bilgisayar çöktüğünde ve yeniden başlamadığında, harici bir sabit disk, flash sürücü veya bellek kartı okunamaz hale geldiğinde, veri kurtarma gerekebilir. Sıklıkla, verilerinin kurtarılması gereken bir dijital cihazda elektronik hasar, fiziksel hasar veya ikisinin bir kombinasyonu olur. Böyle bir durumda, donanım onarımı veri kurtarma sürecinin büyük bir parçası olacaktır. Bu, sürücünün elektroniğinin onarılmasını veya hatta disk sürücüsünün kapalı kısmı içindeki okuma/yazma kafaları yığınının değiştirilmesini içerebilir.

Donanım sağlamsa, dosya veya bölüm yapısının zarar görmesi muhtemeldir. Bazı veri kurtarma araçları, bölümü veya dosya yapısını onarmaya çalışırken, diğerleri hasarlı dosya yapısına bakıp dosyaları çıkarmaya çalışır. Bölmeler ve dizinler de bir onaltılık düzenleyiciyle manuel olarak yeniden oluşturulabilir, ancak modern disk sürücülerinin boyutu ve üzerlerindeki veri miktarı göz önüne alındığında, bu pratik olmama eğilimindedir.

Genel olarak, veri kurtarma bir tür “makro” işlemdir. Nihai sonuç, tek tek dosyalara çok fazla dikkat edilmeden kaydedilen büyük bir veri popülasyonu olma eğilimindedir. Veri kurtarma işleri, genellikle, donanım veya yazılıma zarar veren bireysel disk sürücüleri veya diğer dijital ortamlardır. Veri kurtarmada endüstri çapında kabul edilen belirli standartlar yoktur.

Elektronik keşif, genellikle bozulmamış donanım ve yazılımlarla ilgilenir. E-keşifteki zorluklar arasında “de-duping” yer alır. Çok sayıda mevcut veya yedeklenmiş e-posta ve belge üzerinden bir arama yapılabilir.

Bilgisayarların ve e-postanın doğası gereği, çeşitli belge ve e-postaların birbirinin aynısı çok sayıda kopyası (“dupe”) olması muhtemeldir. E-keşif araçları, kopyaların indekslenmesi ve kaldırılması yoluyla yönetilebilir bir boyuta yönetilemez bir veri selinin ne olabileceğini, aynı zamanda tekilleştirme olarak da bilinir.

E-keşif genellikle hasarsız donanımdan gelen büyük miktardaki verilerle ilgilenir ve prosedürler Federal Hukuk Usulü Muhakemeleri Usul Kuralları (“FRCP”) kapsamına girer.

Adli bilişim, hem e-keşif hem de veri kurtarma yönlerine sahiptir.

Adli bilişimde, adli denetçi (CFE) hem mevcut hem de önceden var olan veya silinmiş verileri arar ve bu veriler aracılığıyla arama yapar. Bu tür bir e-keşif yaparken, bir adli tıp uzmanı bazen hasarlı donanımlarla ilgilenir, ancak bu nispeten nadirdir. Silinen dosyaları bozulmadan kurtarmak için veri kurtarma prosedürleri devreye alınabilir. Ancak sıklıkla CFE, veri kurtarma endüstrisinde bulunanların dışında beceriler gerektiren verileri gizlemeye veya yok etmeye yönelik amaçlı girişimlerle uğraşmak zorundadır.

E-posta ile uğraşırken, CFE genellikle ortam verileri için ayrılmamış alan arar – artık kullanıcı tarafından okunabilir bir dosya olarak mevcut olmayan veriler. Bu, ayrılmamış alanda belirli kelimeleri veya cümleleri (“anahtar kelime aramaları”) veya e-posta adreslerini aramayı içerebilir. Bu, silinen e-postayı bulmak için Outlook dosyalarını hacklemeyi içerebilir. Bu, önbelleğe veya günlük dosyalarına veya hatta veri kalıntıları için İnternet geçmişi dosyalarına bakmayı içerebilir. Ve elbette, genellikle aynı veriler için aktif dosyalar arasında bir arama içerir.

Bir davayı veya suçlamayı destekleyen belirli belgeleri ararken uygulamalar benzerdir. Anahtar kelime aramaları hem aktif hem de görünür belgelerde ve ortam verileri üzerinde gerçekleştirilir. Anahtar kelime aramaları dikkatli bir şekilde tasarlanmalıdır. Böyle bir durumda, yazar Schlinger Foundation v Blair Smith, iki disk sürücüsünde bir milyondan fazla anahtar kelime “isabetini” ortaya çıkardı.

Son olarak, bilgisayar adli tıp uzmanından da ifade verme veya mahkemede bilirkişi olarak tanıklık etmesi istenmektedir. Sonuç olarak, CFE’nin yöntem ve prosedürleri bir mikroskop altına konulabilir ve uzmandan sonuçlarını ve eylemlerini açıklaması ve savunması istenebilir. Aynı zamanda uzman tanık olan bir AKK, mahkemede söylenenleri veya başka bir yerde yayınlanan yazıları savunmak zorunda kalabilir.

Çoğu zaman, veri kurtarma, bir disk sürücüsü veya bir sistemdeki verilerle ilgilenir. Veri kurtarma evinin kendi standartları ve prosedürleri olacak ve sertifikalandırma değil itibar üzerine çalışacak. Elektronik keşif, sıklıkla çok sayıda sistemden veya çok sayıda kullanıcı hesabı içerebilen sunuculardan gelen verilerle ilgilenir. E-keşif yöntemleri, kanıtlanmış yazılım ve donanım kombinasyonlarına dayanır ve en iyi şekilde çok önceden planlanır (önceden planlama eksikliği çok yaygın olmasına rağmen). Adli bilişim, bir veya daha fazla sistem veya cihazla ilgilenebilir, yapılan talepler ve talepler kapsamında oldukça akıcı olabilir, genellikle eksik verilerle ilgilenir ve mahkemede savunulabilir – ve savunulabilir – olmalıdır.

EZ

Leave a Comment

Your email address will not be published. Required fields are marked *