Vad är kriminalteknisk dataåterställning?
Forensic Data Recovery är en process som används för att hämta data som kommer att användas för juridiska ändamål. Denna teknik används klassiskt i kriminella eller civila utredningar som är utformade för att ge information som kan användas i domstol, även om kriminalteknisk återhämtning också kan användas av revisionsföretag och under en mängd andra omständigheter. Denna process utförs av utbildade tekniker som har studerat datavetenskap, informationsteknologi och kriminaltekniker.
Behovet av dataåterställning är inte ovanligt; Många har upplevt förlorade eller skadade filer vid någon tidpunkt i sina liv, och vissa är bekanta med de tekniker som kan användas för att återställa eller bygga om sådana data. Kriminalteknisk dataåterställning är liknande, men lite mer komplex, eftersom den också inkluderar åtkomst till områden på en dator som normalt inte skulle ses eller användas för att kontrollera om de specifika aktiviteter av intresse, tillsammans med dataåterställning som syftar till att återställa data som medvetet raderades, DAMAged eller skadad.
Ibland är återhämtning av kriminalteknisk data så enkel som att försöka rekonstruera informationen på en skadad hårddisk, skiva eller minneskort. Vid andra tillfällen kan det inkludera uppståndelsen av data som anses gå förlorade eller raderas, förbikoppling av säkerhetssystem eller studien av ett datorsystem för att leta efter spår av olaglig aktivitet. Kriminalteknisk dataåterställning kan tillämpas på situationer som sträcker sig från misstänkta fall av kreativ redovisning till analys av en dator som tros tillhöra ett sexuellt rovdjur för att leta efter kriminell eller identifierande information.
I stället för att leta specifikt efter filer, vilket är vad de flesta gör när de engagerar sig i dataåterställning, är specialister på kriminalteknisk återhämtning främst intresserade av information. De bryr sig inte nödvändigtvis vilken form informationen presenteras i, och de kan använda en mängd olika tekniker för att fylla i saknade bitar ellerGör information meningsfull. Till exempel kan en tekniker avslöja och återställa en skadad eller raderad partition och leta efter spår av information som kan avslöja hur och när partitionen användes.
Eftersom specialister i återhämtning av kriminalteknisk data kan arbeta med datorer som har utsetts med säkerhetsåtgärder för att förhindra juridiska utredningar, måste de använda speciella förfaranden för att undvika att utlösa misslyckanden som kan kompromissa eller radera uppgifterna. De måste också kunna arbeta med information på ett sätt som inte kommer att förändra eller kompromissa med den. Till exempel kan en tekniker kopiera uppgifterna från en hårddisk som finns på en brottsplats till en annan hårddisk, återställa den ursprungliga hårddisken som bevis och arbeta med kopian av uppgifterna.