Vad är kriminalteknisk dataåterhämtning?
Retensisk dataåterhämtning är en process som används för att hämta data som kommer att användas för juridiska ändamål. Denna teknik används klassiskt i straffrättsliga eller civila utredningar som är utformade för att ge information som kan användas i domstol, även om kriminalteknisk dataåterhämtning också kan användas av revisionsföretag och i en mängd andra omständigheter. Denna process utförs av utbildade tekniker som har studerat datavetenskap, informationsteknologi och kriminalteknik.
Behovet av dataåterställning är inte ovanligt; många människor har upplevt förlorade eller skadade filer någon gång i livet, och vissa känner till de tekniker som kan användas för att återställa eller bygga om sådana data. Retensisk dataåterhämtning är liknande, men lite mer komplex, eftersom den också inkluderar åtkomst till områden på en dator som normalt inte skulle ses eller användas för att kontrollera för specifika aktiviteter av intresse, tillsammans med dataåterhämtning som syftar till att återställa data som medvetet var raderat, skadat eller skadat.
Ibland är kriminalteknisk dataåterhämtning lika enkel som att försöka rekonstruera informationen på en skadad hårddisk, skiva eller minneskort. Vid andra tillfällen kan det inkludera uppståndelse av data som tros gå förlorade eller raderas, förbikoppling av säkerhetssystem eller studier av ett datorsystem för att leta efter spår av olaglig aktivitet. Återställning av kriminalteknisk data kan tillämpas på situationer som sträcker sig från misstänkta fall av kreativ redovisning till analys av en dator som tros tillhöra ett sexuellt rovdjur för att leta efter hotande eller identifierande information.
I stället för att leta specifikt efter filer, vilket är vad de flesta gör när de bedriver dataåterställning, är kriminaltekniker specialiserade på kriminaltekniker främst intresserade av information. De bryr sig inte nödvändigtvis om vilken form informationen presenteras i, och de kan använda olika tekniker för att fylla i saknade bitar eller göra information meningsfull. Till exempel kan en tekniker avslöja och återställa en skadad eller raderad partition och leta efter spår av information som kan avslöja hur och när partitionen användes.
Eftersom specialister på kriminalteknisk dataåterhämtning kanske arbetar med datorer som har setts med säkerhetsåtgärder för att förhindra juridiska utredningar, måste de använda särskilda förfaranden för att undvika att utlösa failsaféer som kan kompromissa eller radera uppgifterna. De måste också kunna arbeta med information på ett sätt som inte kommer att förändras eller äventyra den. Till exempel kan en tekniker kopiera uppgifterna från en hårddisk som finns på en brottsplats till en annan hårddisk, försluta den ursprungliga hårddisken i bevis och arbeta med kopian av data.