Forensics ordinateur, récupération de données et E-Discovery diffèrent

Quelle est la différence entre la récupération de données, l'informatique judiciaire et l'e-discovery?

Tous les trois champs de traiter des données, et spécifiquement données numériques. Il est tout au sujet des électrons sous forme de zéros et de uns. Et il s'agit de prendre des informations qui peuvent être difficiles à trouver et à le présenter de façon lisible. Mais même si il ya chevauchement, les ensembles de compétences ont besoin d'outils différents, différentes spécialisations, les environnements de travail différents, et différentes façons de voir les choses.

La récupération de données implique généralement des choses qui sont brisés - matériels ou logiciels. Quand un ordinateur se bloque et ne démarre pas de sauvegarder, quand un disque dur externe, clé USB ou carte mémoire devient illisible, puis la récupération de données peut être nécessaire. Souvent, un appareil numérique qui a besoin de ses données récupérées aura des dommages électroniques, des dommages physiques, ou une combinaison des deux. Si tel est le cas, la réparation du matériel sera une grande partie du processus de récupération de données. Cela peut impliquer réparer des appareils électroniques du lecteur, ou même de remplacer la pile de têtes lecture / écriture à l'intérieur de la partie scellée du disque.

Si le matériel est intact, la structure des fichiers ou la partition est susceptible d'être endommagé. Certains outils de récupération de données va tenter de réparer la partition ou la structure de fichiers, tandis que d'autres se pencher sur la structure des fichiers endommagés et de tenter de récupérer les fichiers de sortie. Les cloisons et les répertoires peuvent être reconstruits manuellement avec un éditeur hexadécimal aussi, mais vu la taille des disques durs modernes et la quantité de données sur eux, cela tend à être impraticable.

En gros, la récupération de données est une sorte de "macro" processus. Le résultat final tend à être une grande population de données enregistrées sans autant d'attention à des fichiers individuels. Travaux de récupération de données sont souvent des disques individuels ou d'autres supports numériques qui ont endommagé le matériel ou logiciel. Il n'y a pas en particulier l'industrie de normes acceptées dans la récupération de données.

Électronique traite habituellement avec la découverte du matériel et des logiciels qui est intacte. Les défis de l'e-discovery comprend «dé-mystifier». Une recherche peut être effectuée grâce à un très grand volume d'e-mails existants ou sauvegardés et des documents.

En raison de la nature des ordinateurs et du courrier électronique, il ya de chances d'être très nombreux doublons identiques («dupes») de divers documents et des emails. E-discovery outils sont conçus pour vanner le bas ce qui pourrait autrement être un torrent incontrôlable de données à une taille gérable par l'indexation et la suppression des doublons, aussi connu comme dé-mystifier.

E-discovery traite souvent de grandes quantités de données à partir du matériel en bon état, et les procédures relèvent des Règles fédérales de procédure civile («FRCP»).

L'informatique judiciaire a des aspects à la fois l'e-discovery et de récupération de données.

Dans l'informatique judiciaire, le médecin légiste (CFE) des recherches pour et par les données existantes et déjà existantes, ou supprimé. Faire ce genre de e-discovery, un expert en médecine légale traite parfois avec du matériel endommagé, même si cela est relativement rare. Procédures de récupération de données peut être mis en œuvre pour récupérer des fichiers supprimés intacte. Mais souvent la CFE doivent composer avec les tentatives délibérée de cacher ou de détruire des données qui nécessitent des compétences en dehors ceux trouvés dans l'industrie de la récupération de données.

Lorsque vous traitez avec l'email, la CFE est souvent à la recherche d'espace non alloué pour les données ambiantes - les données qui n'existe plus en tant que fichier lisible pour l'utilisateur. Cela peut inclure la recherche de mots ou des expressions spécifiques ("recherches par mots clés") ou des adresses e-mail dans l'espace non alloué. Cela peut inclure des fichiers Outlook de piratage pour trouver des e-mails supprimés. Cela peut inclure la recherche dans les fichiers de cache ou de journal, ou même dans des fichiers historiques d'Internet pour des restes de données. Et bien sûr, il comprend souvent une recherche dans les dossiers actifs pour les mêmes données.

Les pratiques sont similaires lorsque vous cherchez des documents spécifiques de soutien d'une cause ou une charge. Recherches par mots clés sont réalisées à la fois sur des documents actifs ou visibles, et sur les données ambiantes. Recherches par mots clés doivent être conçues avec soin. Dans un tel cas, La Fondation Schlinger v Blair Smith, et al de l'auteur, expert en informatique judiciaire Steve Burgess a découvert plus d'un million de mots clés "hits" sur deux disques.

Enfin, l'expert informatique judiciaire est également souvent appelés à témoigner comme témoin expert dans le dépôt ou au tribunal. En conséquence, les méthodes de la CFE et les procédures peuvent être mis sous un microscope et l'expert peut être appelé à expliquer et à défendre ses résultats et ses actions. Un CFE, qui est aussi un témoin expert peut avoir à défendre ce qui est dit dans la cour ou dans les écrits publiés ailleurs.

Le plus souvent, traite de récupération de données avec un disque dur, ou les données d'un système. La maison de récupération de données aura ses propres normes et procédures et des travaux sur la réputation, pas de certification. Électronique découverte traite régulièrement avec des données d'un grand nombre de systèmes, ou à partir de serveurs avec qui peuvent contenir des comptes utilisateur nombreuses. E-discovery méthodes sont basées sur des logiciels éprouvés et les combinaisons de matériel et sont prévus pour mieux longtemps à l'avance (même si l'absence de pré-planification est très fréquent). L'informatique judiciaire peut traiter avec un ou plusieurs systèmes ou périphériques, peuvent être assez fluide dans le champ des revendications et des demandes, traite souvent avec des données manquantes, et doit être défendable - et défendu - en cour.

EZ

Source de l'article: http://EzineArticles.com/1184255