Computerforensik, Datenwiederherstellung und E-Discovery unterscheiden sich

Was ist der Unterschied zwischen Datenwiederherstellung, Computerforensik und E-Discovery?

Alle drei Felder befassen sich mit Daten, insbesondere mit digitalen Daten. Es geht um Elektronen in Form von Nullen und Einsen. Und es geht darum, Informationen, die möglicherweise schwer zu finden sind, in lesbarer Form zu präsentieren. Aber auch wenn es Überschneidungen gibt, erfordern die Fähigkeiten unterschiedliche Werkzeuge, unterschiedliche Spezialisierungen, unterschiedliche Arbeitsumgebungen und unterschiedliche Sichtweisen.

Bei der Datenwiederherstellung handelt es sich im Allgemeinen um Dinge, die kaputt sind – ob Hardware oder Software. Wenn ein Computer abstürzt und nicht mehr startet, wenn eine externe Festplatte, ein USB-Stick oder eine Speicherkarte nicht mehr lesbar ist, kann eine Datenwiederherstellung erforderlich sein. Häufig weist ein digitales Gerät, dessen Daten wiederhergestellt werden müssen, einen elektronischen Schaden, einen physischen Schaden oder eine Kombination aus beidem auf. Wenn dies der Fall ist, wird die Hardwarereparatur einen großen Teil des Datenwiederherstellungsprozesses ausmachen. Dies kann die Reparatur der Elektronik des Laufwerks oder sogar das Ersetzen des Stapels von Lese-/Schreibköpfen innerhalb des versiegelten Teils des Plattenlaufwerks beinhalten.

Wenn die Hardware intakt ist, ist wahrscheinlich die Datei- oder Partitionsstruktur beschädigt. Einige Datenwiederherstellungstools versuchen, die Partitions- oder Dateistruktur zu reparieren, während andere die beschädigte Dateistruktur untersuchen und versuchen, Dateien herauszuziehen. Partitionen und Verzeichnisse können auch manuell mit einem Hex-Editor neu erstellt werden, aber angesichts der Größe moderner Festplatten und der darauf befindlichen Datenmenge ist dies tendenziell unpraktisch.

Im Großen und Ganzen ist die Datenwiederherstellung eine Art „Makro“-Prozess. Das Endergebnis ist in der Regel eine große Anzahl von Daten, die ohne so viel Aufmerksamkeit für die einzelnen Dateien gespeichert werden. Datenwiederherstellungsjobs sind oft einzelne Laufwerke oder andere digitale Medien mit beschädigter Hardware oder Software. Es gibt keine speziellen branchenweit akzeptierten Standards für die Datenwiederherstellung.

Bei der elektronischen Erkennung handelt es sich in der Regel um intakte Hard- und Software. Zu den Herausforderungen bei der E-Discovery gehört das „De-Duping“. Eine Suche kann über eine sehr große Menge vorhandener oder gesicherter E-Mails und Dokumente durchgeführt werden.

Aufgrund der Beschaffenheit von Computern und E-Mails gibt es wahrscheinlich sehr viele identische Duplikate („Duplikate“) verschiedener Dokumente und E-Mails. E-Discovery-Tools wurden entwickelt, um durch Indizierung und Entfernung von Duplikaten, auch bekannt als Deduplizierung, einen ansonsten unüberschaubaren Datenstrom auf eine überschaubare Größe zu reduzieren.

E-Discovery beschäftigt sich oft mit großen Datenmengen von unbeschädigter Hardware, und Verfahren fallen unter die Federal Rules of Civil Procedure („FRCP“).

Die Computerforensik umfasst sowohl Aspekte der E-Discovery als auch der Datenwiederherstellung.

In der Computerforensik sucht der Forensic Examiner (CFE) nach und durch sowohl vorhandene als auch bereits vorhandene oder gelöschte Daten. Bei dieser Art von E-Discovery befasst sich ein Forensik-Experte manchmal mit beschädigter Hardware, obwohl dies relativ selten vorkommt. Datenwiederherstellungsverfahren können ins Spiel gebracht werden, um gelöschte Dateien intakt wiederherzustellen. Aber häufig muss sich der CFE mit gezielten Versuchen auseinandersetzen, Daten zu verbergen oder zu vernichten, die Fähigkeiten erfordern, die außerhalb der Datenwiederherstellungsbranche liegen.

Beim Umgang mit E-Mails durchsucht das CFE häufig nicht zugewiesenen Speicherplatz nach Umgebungsdaten – Daten, die nicht mehr als für den Benutzer lesbare Datei vorhanden sind. Dies kann die Suche nach bestimmten Wörtern oder Phrasen („Schlüsselwortsuchen“) oder E-Mail-Adressen in nicht zugewiesenem Speicherplatz umfassen. Dies kann das Hacken von Outlook-Dateien beinhalten, um gelöschte E-Mails zu finden. Dies kann das Durchsuchen von Cache- oder Protokolldateien oder sogar Internetverlaufsdateien nach Datenresten umfassen. Und natürlich beinhaltet es oft eine Suche in aktiven Dateien nach denselben Daten.

Die Vorgehensweisen sind ähnlich, wenn Sie nach bestimmten Dokumenten suchen, die einen Fall oder eine Anklage belegen. Schlüsselwortsuchen werden sowohl an aktiven oder sichtbaren Dokumenten als auch an Umgebungsdaten durchgeführt. Keyword-Suchen müssen sorgfältig konzipiert werden. In einem solchen Fall, Schlinger Stiftung gegen Blair Smith der Autor entdeckte auf zwei Disketten mehr als eine Million Stichwort-Treffer.

Schließlich wird der Computerforensik-Experte auch häufig als Sachverständiger bei der Zeugenaussage oder vor Gericht herangezogen. Dadurch können die Methoden und Verfahren des CFE unter die Lupe genommen und der Experte aufgefordert werden, seine Ergebnisse und Handlungen zu erläutern und zu verteidigen. Ein CFE, der auch ein Sachverständiger ist, muss möglicherweise Dinge verteidigen, die vor Gericht oder in anderswo veröffentlichten Schriften gesagt wurden.

In den meisten Fällen handelt es sich bei der Datenwiederherstellung um ein Laufwerk oder die Daten von einem System. Das Datenrettungshaus hat seine eigenen Standards und Verfahren und arbeitet an der Reputation, nicht an der Zertifizierung. Die elektronische Erkennung beschäftigt sich häufig mit Daten aus einer großen Anzahl von Systemen oder von Servern, die viele Benutzerkonten enthalten können. E-Discovery-Methoden basieren auf bewährten Soft- und Hardware-Kombinationen und werden am besten weit im Voraus geplant (obwohl es sehr häufig an Vorplanung mangelt). Computerforensik kann sich mit einem oder mehreren Systemen oder Geräten befassen, kann im Umfang der gestellten Anforderungen und Anfragen ziemlich fließend sein, befasst sich häufig mit fehlenden Daten und muss vor Gericht verteidigt und verteidigt werden.

DIESE


Source by Steve Burgess

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.