ما الفرق بين استعادة البيانات والطب الشرعي للكمبيوتر والاكتشاف الإلكتروني؟
تتعامل الحقول الثلاثة مع البيانات ، وخاصة البيانات الرقمية. الأمر كله يتعلق بالإلكترونات على شكل أصفار وآحاد. والأمر كله يتعلق بأخذ المعلومات التي قد يكون من الصعب العثور عليها وتقديمها بطريقة يمكن قراءتها. ولكن على الرغم من وجود تداخل ، تتطلب مجموعات المهارات أدوات مختلفة وتخصصات مختلفة وبيئات عمل مختلفة وطرقًا مختلفة للنظر إلى الأشياء.
تتضمن استعادة البيانات عمومًا الأشياء التي تم كسرها – سواء كانت أجهزة أو برامج. عند تعطل جهاز الكمبيوتر وعدم بدء النسخ الاحتياطي ، أو عندما يصبح قرص ثابت خارجي أو محرك أقراص مصغر أو بطاقة ذاكرة غير قابلة للقراءة ، فقد تكون استعادة البيانات مطلوبة. في كثير من الأحيان ، سيتعرض الجهاز الرقمي الذي يحتاج إلى استعادة بياناته إلى تلف إلكتروني أو تلف مادي أو مزيج من الاثنين. إذا كان الأمر كذلك ، فسيكون إصلاح الأجهزة جزءًا كبيرًا من عملية استعادة البيانات. قد يتضمن ذلك إصلاح إلكترونيات محرك الأقراص ، أو حتى استبدال مجموعة رؤوس القراءة / الكتابة داخل الجزء المختوم من محرك الأقراص.
إذا كان الجهاز سليمًا ، فمن المحتمل أن يكون هيكل الملف أو القسم تالفًا. ستحاول بعض أدوات استعادة البيانات إصلاح القسم أو بنية الملف ، بينما يبحث البعض الآخر في بنية الملف التالف ويحاول سحب الملفات. يمكن إعادة إنشاء الأقسام والأدلة يدويًا باستخدام محرر سداسي عشري أيضًا ، ولكن نظرًا لحجم محركات الأقراص الحديثة وكمية البيانات الموجودة عليها ، فإن هذا يميل إلى أن يكون غير عملي.
بشكل عام ، استعادة البيانات هي نوع من عملية “الماكرو”. تميل النتيجة النهائية إلى أن تكون عددًا كبيرًا من البيانات المحفوظة دون الاهتمام بالملفات الفردية. غالبًا ما تكون مهام استعادة البيانات عبارة عن محركات أقراص فردية أو وسائط رقمية أخرى تسببت في تلف الأجهزة أو البرامج. لا توجد معايير معينة مقبولة على مستوى الصناعة في استعادة البيانات.
عادةً ما يتعامل الاكتشاف الإلكتروني مع الأجهزة والبرامج السليمة. تشمل التحديات في الاكتشاف الإلكتروني “إزالة الخداع”. يمكن إجراء البحث من خلال عدد كبير جدًا من رسائل البريد الإلكتروني والوثائق الموجودة أو التي تم نسخها احتياطيًا.
نظرًا لطبيعة أجهزة الكمبيوتر والبريد الإلكتروني ، فمن المحتمل أن يكون هناك عدد كبير جدًا من التكرارات المتطابقة (“المغفلين”) لمختلف المستندات ورسائل البريد الإلكتروني. تم تصميم أدوات الاكتشاف الإلكتروني لتذليل ما يمكن أن يكون سيلًا من البيانات لا يمكن إدارته إلى حجم يمكن إدارته عن طريق فهرسة التكرارات وإزالتها ، والمعروف أيضًا باسم إزالة الخداع.
غالبًا ما يتعامل الاكتشاف الإلكتروني مع كميات كبيرة من البيانات من الأجهزة غير التالفة ، وتندرج الإجراءات ضمن القواعد الفيدرالية للإجراءات المدنية (“FRCP”).
يحتوي الطب الشرعي للكمبيوتر على جوانب كل من الاكتشاف الإلكتروني واستعادة البيانات.
في الطب الشرعي للكمبيوتر ، يبحث فاحص الطب الشرعي (CFE) عن البيانات الموجودة أو الموجودة مسبقًا أو المحذوفة وعبرها. عند القيام بهذا النوع من الاكتشاف الإلكتروني ، يتعامل خبير الطب الشرعي أحيانًا مع الأجهزة التالفة ، على الرغم من أن هذا غير شائع نسبيًا. قد يتم تشغيل إجراءات استعادة البيانات لاستعادة الملفات المحذوفة سليمة. ولكن في كثير من الأحيان يجب على CFE التعامل مع محاولات هادفة لإخفاء أو تدمير البيانات التي تتطلب مهارات غير تلك الموجودة في صناعة استعادة البيانات.
عند التعامل مع البريد الإلكتروني ، غالبًا ما يبحث CFE عن مساحة غير مخصصة للبيانات المحيطة – البيانات التي لم تعد موجودة كملف يمكن للمستخدم قراءته. يمكن أن يشمل ذلك البحث عن كلمات أو عبارات معينة (“عمليات البحث عن الكلمات الرئيسية”) أو عناوين البريد الإلكتروني في مساحة غير مخصصة. يمكن أن يشمل ذلك اختراق ملفات Outlook للعثور على البريد الإلكتروني المحذوف. يمكن أن يشمل ذلك البحث في ذاكرة التخزين المؤقت أو ملفات السجل ، أو حتى في ملفات محفوظات الإنترنت لبقايا البيانات. وبالطبع ، غالبًا ما يتضمن بحثًا في الملفات النشطة عن نفس البيانات.
تتشابه الممارسات عند البحث عن مستندات محددة تدعم قضية أو رسوم. يتم إجراء عمليات البحث عن الكلمات الرئيسية على المستندات النشطة أو المرئية وعلى البيانات المحيطة. يجب تصميم عمليات البحث عن الكلمات الرئيسية بعناية. في إحدى هذه الحالات ، كشفت مؤسسة شلينجر ضد بلير سميث المؤلف عن أكثر من مليون كلمة رئيسية “زيارة” على محركي أقراص.
أخيرًا ، غالبًا ما يُطلب من خبير الطب الشرعي الحاسوبي الإدلاء بشهادته كشاهد خبير في الإيداع أو في المحكمة. نتيجة لذلك ، قد يتم وضع أساليب وإجراءات CFE تحت المجهر وقد يتم استدعاء الخبير لشرح والدفاع عن نتائجه وأفعاله. قد يتعين على CFE الذي هو أيضًا شاهد خبير أن يدافع عن الأشياء التي قيلت في المحكمة أو في الكتابات المنشورة في مكان آخر.
في أغلب الأحيان ، تتعامل استعادة البيانات مع محرك أقراص واحد ، أو البيانات من نظام واحد. سيكون لدار استعادة البيانات معاييرها وإجراءاتها الخاصة وتعمل على السمعة وليس الاعتماد. غالبًا ما يتعامل الاكتشاف الإلكتروني مع البيانات من عدد كبير من الأنظمة ، أو من الخوادم التي قد تحتوي على العديد من حسابات المستخدمين. تعتمد طرق الاكتشاف الإلكتروني على مجموعات البرامج والأجهزة التي أثبتت جدواها ومن الأفضل التخطيط لها مسبقًا (على الرغم من أن الافتقار إلى التخطيط المسبق أمر شائع جدًا). قد يتعامل الطب الشرعي الحاسوبي مع واحد أو أكثر من الأنظمة أو الأجهزة ، وقد يكون مرنًا إلى حد ما في نطاق الطلبات والطلبات المقدمة ، وغالبًا ما يتعامل مع البيانات المفقودة ، ويجب الدفاع عنه – والدفاع عنه – في المحكمة.
هذه