Hva er rettsmedisinsk datagjenoppretting?
Retning av rettsmedisinske data er en prosess som brukes til å hente data som vil bli brukt til juridiske formål. Denne teknikken brukes klassisk i kriminelle eller sivile etterforskninger som er designet for å gi informasjon som kan brukes i retten, selv om rettsmedisinsk datainnhenting også kan brukes av revisjonsselskaper og under en rekke andre omstendigheter. Denne prosessen blir utført av trente teknikere som har studert informatikk, informasjonsteknologi og rettsmedisin.
Behovet for gjenoppretting av data er ikke uvanlig; mange mennesker har opplevd tapte eller ødelagte filer på et tidspunkt i livet, og noen er kjent med teknikkene som kan brukes til å gjenopprette eller gjenoppbygge slike data. Rettsmedisinsk datagjenoppretting er lik, men litt mer komplisert, fordi den også inkluderer tilgang til områder på en datamaskin som normalt ikke vil bli sett eller brukes til å sjekke for spesifikke aktiviteter av interesse, sammen med datagjenoppretting som er rettet mot å gjenopprette data som bevisst var slettes, skadet eller ødelagt.
Noen ganger er rettsmedisinsk datarekonstruksjon så enkel som å prøve å rekonstruere informasjonen på en skadet harddisk, plate eller minnekort. Andre ganger kan det inkludere oppstandelse av data som antas å gå tapt eller slettes, omgåelse av sikkerhetssystemer eller undersøkelse av et datasystem for å se etter spor etter ulovlig aktivitet. Retensisk datautvinning kan brukes på situasjoner som spenner fra mistenkte tilfeller av kreativ regnskap til analyse av en datamaskin som antas å tilhøre en seksuell rovdyr for å lete etter skjellsettende eller identifiserende informasjon.
I stedet for å lete spesifikt etter filer, og det er det folk flest gjør når de driver med datagjenoppretting, er rettsmedisinske spesialister om dataoppretting først og fremst interessert i informasjon. De bryr seg ikke nødvendigvis hvilken form informasjonen blir presentert i, og de kan bruke en rekke teknikker for å fylle ut mangler eller gjøre informasjon meningsfull. For eksempel kan en tekniker avdekke og gjenopprette en skadet eller slettet partisjon, på jakt etter spor etter informasjon som kan avdekke hvordan og når partisjonen ble brukt.
Fordi spesialister i rettsmedisinsk datagjenoppretting kan jobbe med datamaskiner som har blitt satt i sikkerhetstiltak for å forhindre juridiske undersøkelser, må de bruke spesielle prosedyrer for å unngå å utløse mislykkede kafeer som kan kompromittere eller slette dataene. De må også kunne jobbe med informasjon på en måte som ikke vil endre eller kompromittere den. For eksempel kan en tekniker kopiere dataene fra en harddisk som ble funnet på et forbrytelsessted til en annen harddisk, og lukke den originale harddisken i bevis og jobbe med kopien av dataene.