O que é recuperação de dados forense?
A recuperação de dados forense é um processo usado para recuperar dados que serão usados para fins legais. Essa técnica é usada classicamente em investigações criminais ou civis, projetadas para produzir informações que podem ser usadas no tribunal, embora a recuperação de dados forense também possa ser usada pelas empresas de auditoria e em várias outras circunstâncias. Esse processo é realizado por técnicos treinados que estudaram ciência da computação, tecnologia da informação e forense.
A necessidade de recuperação de dados não é incomum; Muitas pessoas experimentaram arquivos perdidos ou corrompidos em algum momento de suas vidas, e algumas estão familiarizadas com as técnicas que podem ser usadas para restaurar ou reconstruir esses dados. A recuperação de dados forense é semelhante, mas um pouco mais complexa, porque também inclui o acesso a áreas de um computador que normalmente não seria visto ou usado para verificar se há atividades específicas de interesse, juntamente com a recuperação de dados, que visa recuperar dados que foram deliberadamente apagados, Damaged, ou corrompido.
Às vezes, a recuperação de dados forense é tão simples quanto tentar reconstruir as informações em um disco rígido, disco ou cartão de memória danificado. Em outros momentos, pode incluir a ressurreição de dados que se pensam ser perdidos ou excluídos, o desvio dos sistemas de segurança ou o estudo de um sistema de computador para procurar traços de atividade ilegal. A recuperação de dados forense pode ser aplicada a situações que variam de casos suspeitos de contabilidade criativa à análise de um computador que se acredita pertencer a um predador sexual para procurar informações incriminatórias ou identificadoras.
Em vez de procurar especificamente arquivos, que é o que a maioria das pessoas faz quando se envolve na recuperação de dados, os especialistas em recuperação de dados forenses estão interessados principalmente em informações. Eles não se importam necessariamente em que forma a informação é apresentada e podem usar uma variedade de técnicas para preencher peças ausentes ouTorne a informação significativa. For example, a technician might uncover and restore a damaged or deleted partition, looking for traces of information which could reveal how and when the partition was used.
Because specialists in forensic data recovery may be working with computers which have been seeded with safety measures to prevent legal investigations, they must use special procedures to avoid triggering failsafes which could compromise or erase the data. Eles também devem ser capazes de trabalhar com informações de uma maneira que não a alterarão ou comprometê -las. For example, a technician might copy the data from a hard drive found at a crime scene to another hard drive, resealing the original hard drive in evidence and working with the copy of the data.