Veri kurtarma, adli bilişim ve e-keşif arasındaki fark nedir?
Her üç alan da verilerle ve özellikle dijital verilerle ilgilenir. Her şey sıfırlar ve birler biçimindeki elektronlarla ilgili. Ve bu, bulunması zor olabilecek bilgileri alıp okunabilir bir şekilde sunmakla ilgilidir. Ancak örtüşmeler olsa da, beceri setleri farklı araçlar, farklı uzmanlıklar, farklı çalışma ortamları ve olaylara farklı bakış açıları gerektirir.
Veri kurtarma, ister donanım ister yazılım olsun, genellikle bozuk olan şeyleri içerir. Bir bilgisayar çöktüğünde ve yeniden başlamadığında, harici bir sabit disk, flash sürücü veya bellek kartı okunamaz hale geldiğinde, veri kurtarma gerekebilir. Sıklıkla, verilerinin kurtarılması gereken bir dijital cihazda elektronik hasar, fiziksel hasar veya ikisinin bir kombinasyonu olur. Böyle bir durumda, donanım onarımı veri kurtarma sürecinin büyük bir parçası olacaktır. Bu, sürücünün elektroniğinin onarılmasını veya hatta disk sürücüsünün kapalı kısmı içindeki okuma/yazma kafaları yığınının değiştirilmesini içerebilir.
Donanım sağlamsa, dosya veya bölüm yapısının zarar görmesi muhtemeldir. Bazı veri kurtarma araçları, bölümü veya dosya yapısını onarmaya çalışırken, diğerleri hasarlı dosya yapısına bakıp dosyaları çıkarmaya çalışır. Bölmeler ve dizinler de bir onaltılık düzenleyiciyle manuel olarak yeniden oluşturulabilir, ancak modern disk sürücülerinin boyutu ve üzerlerindeki veri miktarı göz önüne alındığında, bu pratik olmama eğilimindedir.
Genel olarak, veri kurtarma bir tür “makro” işlemdir. Nihai sonuç, tek tek dosyalara çok fazla dikkat edilmeden kaydedilen büyük bir veri popülasyonu olma eğilimindedir. Veri kurtarma işleri, genellikle, donanım veya yazılıma zarar veren bireysel disk sürücüleri veya diğer dijital ortamlardır. Veri kurtarmada endüstri çapında kabul edilen belirli standartlar yoktur.
Elektronik keşif, genellikle bozulmamış donanım ve yazılımlarla ilgilenir. E-keşifteki zorluklar arasında “de-duping” yer alır. Çok sayıda mevcut veya yedeklenmiş e-posta ve belge üzerinden bir arama yapılabilir.
Bilgisayarların ve e-postanın doğası gereği, çeşitli belge ve e-postaların birbirinin aynısı çok sayıda kopyası (“dupe”) olması muhtemeldir. E-keşif araçları, tekilleştirme olarak da bilinen yinelenenleri indeksleyerek ve kaldırarak yönetilemez bir veri selini yönetilebilir bir boyuta indirmek için tasarlanmıştır.
E-keşif genellikle hasar görmemiş donanımdan gelen büyük miktardaki verilerle ilgilenir ve prosedürler Federal Hukuk Usulü Muhakemeleri Usul Kuralları (“FRCP”) kapsamına girer.
Adli bilişim, hem e-keşif hem de veri kurtarma yönlerine sahiptir.
Adli bilişimde, adli denetçi (CFE) hem mevcut hem de önceden var olan veya silinmiş verileri arar ve bu veriler aracılığıyla arama yapar. Bu tür bir e-keşif yaparken, bir adli tıp uzmanı bazen hasarlı donanımlarla ilgilenir, ancak bu nispeten nadirdir. Silinen dosyaları bozulmadan kurtarmak için veri kurtarma prosedürleri devreye alınabilir. Ancak sıklıkla CFE, veri kurtarma endüstrisinde bulunanların dışında beceriler gerektiren verileri gizlemeye veya yok etmeye yönelik amaçlı girişimlerle uğraşmak zorundadır.
E-posta ile uğraşırken, CFE genellikle ortam verileri için ayrılmamış alan arar – artık kullanıcı tarafından okunabilen bir dosya olarak mevcut olmayan veriler. Bu, ayrılmamış alanda belirli kelimeleri veya kelime öbeklerini (“anahtar kelime aramaları”) veya e-posta adreslerini aramayı içerebilir. Bu, silinen e-postayı bulmak için Outlook dosyalarının hacklenmesini içerebilir. Bu, önbelleğe veya günlük dosyalarına veya hatta veri kalıntıları için İnternet geçmişi dosyalarına bakmayı içerebilir. Ve elbette, genellikle aynı veriler için aktif dosyalar arasında bir arama içerir.
Bir davayı veya suçlamayı destekleyen belirli belgeleri ararken uygulamalar benzerdir. Anahtar kelime aramaları hem aktif hem de görünür belgelerde ve ortam verileri üzerinde gerçekleştirilir. Anahtar kelime aramaları dikkatli bir şekilde tasarlanmalıdır. Böyle bir durumda, Schlinger Vakfı – Blair Smith yazar, iki disk sürücüsünde bir milyondan fazla anahtar kelime “isabetini” ortaya çıkardı.
Son olarak, adli bilişim uzmanından da genellikle ifade verme veya mahkemede bilirkişi olarak ifade vermesi istenir. Sonuç olarak, CFE’nin yöntem ve prosedürleri bir mikroskop altına konulabilir ve uzmandan sonuçlarını ve eylemlerini açıklaması ve savunması istenebilir. Aynı zamanda uzman tanık olan bir AKK, mahkemede söylenenleri veya başka bir yerde yayınlanan yazıları savunmak zorunda kalabilir.
Çoğu zaman, veri kurtarma, bir disk sürücüsü veya bir sistemdeki verilerle ilgilenir. Veri kurtarma evinin kendi standartları ve prosedürleri olacak ve sertifikalandırma değil itibar üzerine çalışacak. Elektronik keşif, sıklıkla çok sayıda sistemden veya çok sayıda kullanıcı hesabı içerebilen sunuculardan gelen verilerle ilgilenir. E-keşif yöntemleri, kanıtlanmış yazılım ve donanım kombinasyonlarına dayanır ve en iyi şekilde çok önceden planlanır (önceden planlama eksikliği çok yaygın olmasına rağmen). Adli bilişim, bir veya daha fazla sistem veya cihazla ilgilenebilir, yapılan talepler ve talepler kapsamında oldukça akıcı olabilir, genellikle eksik verilerle ilgilenir ve mahkemede savunulabilir – ve savunulabilir – olmalıdır.
BUGÜN NASILSIN
