By | March 26, 2022

Sự khác biệt giữa khôi phục dữ liệu, pháp y máy tính và khám phá điện tử là gì?

Cả ba trường đều xử lý dữ liệu, và cụ thể là dữ liệu kỹ thuật số. Đó là tất cả về các electron ở dạng số 0 và số một. Và tất cả là về việc lấy thông tin có thể khó tìm và trình bày nó theo cách dễ đọc. Nhưng mặc dù có sự trùng lặp, các bộ kỹ năng đòi hỏi các công cụ khác nhau, chuyên môn khác nhau, môi trường làm việc khác nhau và cách nhìn nhận mọi thứ khác nhau.

Phục hồi dữ liệu thường liên quan đến những thứ bị hỏng – cho dù là phần cứng hay phần mềm. Khi máy tính gặp sự cố và không khởi động lại được, khi đĩa cứng ngoài, ổ cứng hoặc thẻ nhớ không thể đọc được, thì việc khôi phục dữ liệu có thể được yêu cầu. Thông thường, một thiết bị kỹ thuật số cần được khôi phục dữ liệu sẽ có hư hỏng điện tử, hư hỏng vật lý hoặc kết hợp cả hai. Nếu đúng như vậy, sửa chữa phần cứng sẽ là một phần quan trọng của quá trình khôi phục dữ liệu. Điều này có thể liên quan đến việc sửa chữa thiết bị điện tử của ổ đĩa, hoặc thậm chí thay thế chồng đầu đọc / ghi bên trong phần kín của ổ đĩa.

Nếu phần cứng còn nguyên vẹn, thì có thể cấu trúc tệp hoặc phân vùng đã bị hỏng. Một số công cụ khôi phục dữ liệu sẽ cố gắng sửa chữa phân vùng hoặc cấu trúc tệp, trong khi những công cụ khác xem xét cấu trúc tệp bị hỏng và cố gắng kéo tệp ra. Các phân vùng và thư mục cũng có thể được tạo lại theo cách thủ công bằng trình chỉnh sửa hex, nhưng với kích thước của ổ đĩa hiện đại và số lượng dữ liệu trên chúng, điều này có xu hướng không thực tế.

Nói chung, khôi phục dữ liệu là một loại quá trình “vĩ mô”. Kết quả cuối cùng có xu hướng là một lượng lớn dữ liệu được lưu mà không cần quan tâm nhiều đến các tệp riêng lẻ. Các công việc khôi phục dữ liệu thường là các ổ đĩa riêng lẻ hoặc các phương tiện kỹ thuật số khác đã bị hỏng phần cứng hoặc phần mềm. Không có tiêu chuẩn cụ thể được chấp nhận trong toàn ngành trong việc khôi phục dữ liệu.

Khám phá điện tử thường xử lý phần cứng và phần mềm còn nguyên vẹn. Những thách thức trong khám phá điện tử bao gồm “khử lừa đảo”. Việc tìm kiếm có thể được thực hiện thông qua một khối lượng rất lớn các email và tài liệu hiện có hoặc đã được sao lưu.

Do bản chất của máy tính và của email, có thể có rất nhiều bản sao giống hệt nhau (“bản sao”) của các tài liệu và email khác nhau. Các công cụ khám phá điện tử được thiết kế để xác định những gì có thể là một tập tin dữ liệu không thể quản lý đến kích thước có thể quản lý được bằng cách lập chỉ mục và loại bỏ các bản sao, còn được gọi là de-duping.

Khám phá điện tử thường xử lý số lượng lớn dữ liệu từ phần cứng không bị hư hại và các thủ tục thuộc Quy tắc tố tụng dân sự liên bang (“FRCP”).

Pháp y máy tính có các khía cạnh của cả khám phá điện tử và khôi phục dữ liệu.

Trong pháp y máy tính, giám định viên pháp y (CFE) tìm kiếm và thông qua cả dữ liệu hiện có và trước đây hoặc đã bị xóa. Thực hiện loại khám phá điện tử này, một chuyên gia pháp y đôi khi xử lý phần cứng bị hư hỏng, mặc dù điều này tương đối không phổ biến. Quy trình khôi phục dữ liệu có thể được thực hiện để khôi phục nguyên vẹn các tệp đã xóa. Nhưng thường thì CFE phải đối phó với những nỗ lực có chủ đích để che giấu hoặc phá hủy dữ liệu đòi hỏi các kỹ năng bên ngoài những kỹ năng được tìm thấy trong ngành khôi phục dữ liệu.

Khi xử lý email, CFE thường tìm kiếm không gian chưa được phân bổ cho dữ liệu xung quanh – dữ liệu không còn tồn tại dưới dạng tệp mà người dùng có thể đọc được. Điều này có thể bao gồm tìm kiếm các từ hoặc cụm từ cụ thể (“tìm kiếm từ khóa”) hoặc địa chỉ email trong không gian chưa được phân bổ. Điều này có thể bao gồm việc hack các tệp Outlook để tìm email đã xóa. Điều này có thể bao gồm việc xem xét bộ nhớ cache hoặc tệp nhật ký, hoặc thậm chí vào tệp lịch sử Internet để tìm phần còn lại của dữ liệu. Và tất nhiên, nó thường bao gồm một tìm kiếm thông qua các tệp đang hoạt động cho cùng một dữ liệu.

Thực tiễn tương tự khi tìm kiếm các tài liệu cụ thể hỗ trợ cho một trường hợp hoặc khoản phí. Tìm kiếm từ khóa được thực hiện trên cả tài liệu hiện hoạt hoặc tài liệu hiển thị và trên dữ liệu xung quanh. Các tìm kiếm từ khóa phải được thiết kế cẩn thận. Trong một trường hợp như vậy, tác giả của Schlinger Foundation v Blair Smith đã phát hiện ra hơn một triệu từ khóa “truy cập” trên hai ổ đĩa.

Cuối cùng, chuyên gia pháp y máy tính cũng thường được kêu gọi để làm chứng với tư cách là một nhân chứng chuyên môn trong việc hạ bệ hoặc trước tòa. Do đó, các phương pháp và quy trình của CFE có thể được soi dưới kính hiển vi và chuyên gia có thể được yêu cầu để giải thích và bảo vệ kết quả và hành động của mình. CFE cũng là một nhân chứng chuyên môn có thể phải bảo vệ những điều đã nói trước tòa hoặc trong các bài viết được xuất bản ở nơi khác.

Thông thường, phục hồi dữ liệu xử lý với một ổ đĩa hoặc dữ liệu từ một hệ thống. Nhà phục hồi dữ liệu sẽ có các tiêu chuẩn và quy trình riêng và hoạt động dựa trên danh tiếng, không phải chứng nhận. Khám phá điện tử thường xử lý dữ liệu từ số lượng lớn hệ thống hoặc từ các máy chủ có thể chứa nhiều tài khoản người dùng. Các phương pháp khám phá điện tử dựa trên sự kết hợp giữa phần mềm và phần cứng đã được chứng minh và tốt nhất nên được lên kế hoạch từ trước (mặc dù việc thiếu lập kế hoạch trước là rất phổ biến). Pháp y máy tính có thể xử lý một hoặc nhiều hệ thống hoặc thiết bị, có thể khá linh hoạt trong phạm vi các yêu cầu và yêu cầu được đưa ra, thường xử lý các dữ liệu bị thiếu và phải có khả năng bảo vệ – và được bảo vệ – trước tòa.

EZ