Les défis de Récupération e-mails supprimés

Tant de preuves informatiques experts et techniciens de récupération de données cherchent à récupérer des données supprimées. La récupération de données est principalement intéressé à ramener les fichiers, tandis que la criminalistique informatique tend à creuser plus profondément, en regardant non seulement pour les documents supprimés, mais aussi pour les métadonnées (données sur les données - telles que les attributs des fichiers, les descriptions, les dates et autres informations) et des extraits significatifs des fichiers irrécupérables. Un domaine d'intérêt particulier est par courriel.

Quand la plupart des documents sont écrits sur le disque dur d'un ordinateur, chaque document nouvellement créé a son entrée propre répertoire (ce que l'utilisateur voit comme une liste dans un dossier). Si un fichier a été supprimé, mais n'a pas été écrasé par un autre document, le processus de récupération est une partie relativement insignifiante de l'e-discovery ou de récupération de données. Mais lorsque les données d'intérêt est d'e-mails supprimés, le processus de découverte est susceptible de différer sensiblement de celle de la récupération de données. E-mails individuels sont stockés différemment des fichiers individuels. Différents types de programmes de messagerie stockent les données différemment sur le disque dur de l'utilisateur et nécessitent différents régimes pour trouver des informations utiles. En conséquence, la suppression des e-mails et la récupération des e-mails supprimés diffère non seulement de celui des autres types de documents, mais aussi entre les différents types de programmes de messagerie.

Il ya trois principaux types de messagerie dans l'usage commun - Microsoft Outlook (souvent couplé avec un serveur Microsoft Exchange), basé sur le texte des programmes client de messagerie et Web-based email, ou webmail.

Dans Microsoft Outlook, tous les emails sont conservés dans un grand, crypté, non un fichier texte - la TVP, ou Fichier de dossiers personnels. Outlook a des fonctions supplémentaires et du contenu supplémentaire ainsi. Il ya un carnet d'adresses intégré, plusieurs boîtes aux lettres, un calendrier, et un ordonnanceur, qui sont tous contenus dans le fichier PST. Quand on regarde dans un fichier PST avec un éditeur de fichier ou une application de traitement de texte, il ya peu ou rien intelligible pour l'œil humain. Le contenu du fichier ressemble de près caractères aléatoires.

En général, le fichier PST doit être chargé dans Outlook pour être lu. Quand un email est supprimé, ou même quand il est purgé, il peut être maintenu dans le corps du seul gros fichier, mais qui deviennent inaccessibles au programme. Certains e-mails supprimés peuvent être récupérés par la manipulation du fichier si un processus manuel, de réparer le fichier résultant, puis chargement dans Outlook.

Programmes de courrier électronique basé sur le texte incluent Microsoft Outlook Express, Qualcomm Eudora Pro, Mozilla Thunderbird, Mail Macintosh, et autres. Dans les applications à base de texte électronique, chaque boîte aux lettres a son propre fichier, et tous les courriels d'une boîte vocale donnée sont conservés dans ce fichier un. Par exemple, il est susceptible d'être un fichier unique pour l'ensemble des e-mails dans la boîte de réception, un pour tous dans la boîte d'envoi, un pour chaque boîte aux lettres généré par l'utilisateur, et ainsi de suite. Les fichiers boîtes aux lettres sont principalement des fichiers texte, Quand un email individuel est supprimé, le texte peut être "orphelins", ou libérée du corps du fichier, mais peuvent encore être récupérées comme un vestige de fichier qui peut contenir le corps de l'email que ainsi que les dates de telles informations, horaires, et l'expéditeur.

Un procédé de récupération de données standard ne serait pas de récupérer ces e-mails supprimés que la boîte aux lettres qui avaient contenu les peut-être encore intacte - tout simplement pas encore la tenue de la e-mails supprimés. Une partie de découverte électronique comprennent la recherche de la non alloué (quand un fichier est écrit, le système d'exploitation alloue une zone spécifique du disque dur à ce fichier. Lorsque le fichier est supprimé, cet espace est désaffecté, et est considéré comme non alloué l'espace) la partie du disque dur pour des termes ou des expressions spécifiques qui sont susceptibles d'être dans le corps des e-mails suspects. Une recherche peut aussi être effectuée pour têtes de courriers électroniques qui sont également à base de texte. Les données résultantes peuvent ensuite être rassemblées et affichées sous forme de fichiers texte.

Une troisième forme d'e-mail est accessible sur le Web par courriel. Beaucoup, sinon la plupart, les fournisseurs de courriels commerciaux offrent à l'utilisateur la possibilité d'accéder au courrier électronique via un navigateur Web. America Online est un autre fournisseur de messagerie qui n'est généralement pas stocker de messagerie sur l'ordinateur de l'utilisateur par défaut. Le courriel est stocké sur un ordinateur distant, ou répartis sur plusieurs ordinateurs distants, qui peuvent être n'importe quel endroit sur l'Internet. Comme ces centaines d'ordinateurs hôtes ou même des millions d'utilisateurs et de leurs e-mails, le stockage de courrier électronique est extrêmement dynamique. Lorsque les courriels sont effacés dans un tel environnement, les restes d'e-mails et fichiers individuels ont tendance à être écrasé rapidement et de façon répétée. Il peut y avoir quelques vestiges trouvés sur l'ordinateur de l'utilisateur dans une mémoire virtuelle ou d'un fichier tampon, toutefois. Le procureur scandale américaine récente a mis en évidence l'utilisation de ces web-based email (voir Pourquoi l'e-mail: la science derrière le scandale procureur américain, par Steve Burgess).

Il ya toujours une chance que restantes des fichiers supprimés, ou les restes de celle-ci peut être remplacé. Grâce à cette possibilité, il est préférable d'éteindre immédiatement tout ordinateur où la récupération des données est en question. Le plus de l'ordinateur reste en usage, plus la probabilité de données utiles étant irrémédiablement détruits. Si l'ordinateur d'un utilisateur est susceptible d'être utilisé ou inspecté au cours des questions juridiques, ou si la découverte de documents est prévue, l'ordinateur doit être éteint pour éviter la spoliation de la preuve.

Si des précautions sont prises une fois qu'un fichier est supprimé, le fichier est susceptible d'être recouvrable. La même chose est vraie de l'email. Bien que le courriel supprimé ou saccagé peut ne pas être recouvrable sous forme de fichier boîte complète, le contenu de ces e-mail et ses métadonnées pourrait être détectable ou recouvrable par le biais des différentes méthodes disponibles pour la criminalistique informatique spécialistes.

Source de l'article: http://EzineArticles.com/665899