Computer Forensics, Data Recovery et E-Discovery Differ

Quelle est la différence entre la récupération de données, l'informatique judiciaire et de l'e-discovery?

Les trois champs de traiter des données, et spécifiquement données numériques. Il est tout au sujet des électrons sous la forme de zéros et de uns. Et il est tout au sujet de prendre des informations qui peuvent être difficiles à trouver et à le présenter d'une manière lisible. Mais même s'il ya chevauchement, les compétences ont besoin d'outils différents, des spécialisations différentes, des environnements de travail différents, et différentes façons de voir les choses.

La récupération de données implique généralement des choses qui sont cassées - que ce soit matériel ou logiciel. Quand un ordinateur se bloque et ne démarre pas remonter, quand un disque dur externe, clé USB ou une carte mémoire devient illisible, puis la récupération de données peut être nécessaire. Souvent, un appareil numérique qui a besoin de ses données récupérées auront endommager les circuits électroniques, les dommages physiques, ou une combinaison des deux. Si tel est le cas, la réparation du matériel sera une grande partie du processus de récupération de données. Il peut s'agir de réparer l'électronique du lecteur, ou même de remplacer la pile de têtes lecture / écriture à l'intérieur de la partie scellée du disque.

Si le matériel est intact, la structure de fichiers ou la partition est susceptible d'être endommagé. Certains outils de récupération de données va tenter de réparer la partition ou de la structure de fichiers, tandis que d'autres se pencher sur la structure du fichier endommagé et tenter de tirer des fichiers sur. Partitions et répertoires peut être reconstruit manuellement avec un éditeur hexadécimal ainsi, mais vu la taille des disques modernes et la quantité de données à leur sujet, ce qui tend à ne pas être pratique.

Dans l'ensemble, la récupération de données est une sorte de "macro" processus. Le résultat final a tendance à être une grande population de données enregistrées sans autant d'attention aux fichiers individuels. Les travaux de récupération de données sont souvent des disques individuels ou d'autres supports numériques qui ont endommagé le matériel ou le logiciel. Il n'y a pas particuliers normes de l'industrie reconnues dans la récupération de données.

Électronique découverte traite habituellement avec le matériel et le logiciel qui est intacte. Les défis de l'e-discovery include "de dédoublonnage." Une recherche peut être effectuée par un très grand volume d'e-mails existants ou sauvegardé et documents.

En raison de la nature des ordinateurs et du courrier électronique, il ya des chances d'être très nombreux doublons identiques («dupes») de divers documents et e-mails. E-discovery outils sont conçus pour vanner le bas ce qui pourrait autrement être un torrent ingérable de données à une taille gérable par l'indexation et la suppression des doublons, également connu sous le nom de dédoublonnage.

E-discovery traite souvent de grandes quantités de données du matériel en bon état, et les procédures relèvent des Règles fédérales de procédure civile («FRCP»).

L'informatique judiciaire a des aspects à la fois de l'e-discovery et de récupération de données.

Dans l'informatique judiciaire, les légistes Examiner (CFE) Recherches pour et par les données existantes et déjà existant ou supprimé. Faire ce genre de e-discovery, un expert en médecine légale traite parfois avec du matériel endommagé, même si elles sont relativement rares. Procédures de récupération de données peut être mise en jeu pour récupérer des fichiers supprimés intacte. Mais souvent la CFE doit faire face aux tentatives intentionnelles de cacher ou de détruire des données qui exigent des compétences en dehors de ceux qu'on trouve dans l'industrie de la récupération de données.

Lorsque vous traitez avec le courrier électronique, la CFE est souvent à la recherche d'espace non alloué pour les données ambiantes - les données qui n'existe plus en tant que fichier lisible pour l'utilisateur. Cela peut inclure la recherche de mots ou de phrases spécifiques ("recherches par mots clés») ou adresses e-mail dans l'espace non alloué. Cela peut inclure des fichiers Outlook piratage pour trouver e-mails supprimés. Cela peut inclure la recherche dans les fichiers de cache ou un journal, ou même dans des fichiers historiques d'Internet pour restes de données. Et bien sûr, il inclut souvent une recherche dans les dossiers actifs pour les mêmes données.

Pratiques sont similaires lorsque vous cherchez des documents spécifiques de soutien d'une cause ou une charge. Recherches par mots clés sont effectuées tant sur les documents actifs ou visibles, et sur les données ambiantes. Recherches par mots clés doivent être conçues avec soin. Dans un tel cas, la Fondation Schlinger v Blair Smith, et al de l'auteur, expert en criminalistique informatique Steve Burgess a découvert plus d'un million de mot-clé "hits" sur deux disques.

Enfin, l'expert en informatique judiciaire est également souvent appelé à témoigner comme témoin expert dans le dépôt ou le tribunal. En conséquence, les méthodes de la CFE et les procédures peuvent être mis sous un microscope et l'expert peut être appelé à expliquer et à défendre ses résultats et les actions. Un CFE, qui est aussi un témoin expert peut avoir à défendre des choses dit en cour ou dans les écrits publiés ailleurs.

Le plus souvent, les données de récupération offres avec un seul disque dur, ou les données d'un système. La maison de récupération de données a ses propres normes et procédures et les travaux sur la réputation, pas de certification. Électronique découverte traite régulièrement avec des données provenant de grands nombres de systèmes ou de serveurs avec qui peut contenir des comptes d'utilisateurs. E-discovery méthodes sont basées sur le logiciel éprouvé et combinaisons de matériel et sont mieux planifiés longtemps à l'avance pour (bien que le manque de pré-planification est très fréquent). L'informatique judiciaire peut traiter avec un ou plusieurs systèmes ou dispositifs, peut-être assez de liquide dans le cadre des demandes et des demandes formulées, traite souvent des données manquantes, et doit être défendable - et défendu - en cour.

EZ...