Što je forenzički oporavak podataka?

Forenzički oporavak podataka je proces koji se koristi za dohvat podataka koji će se koristiti u pravne svrhe. Ova se tehnika klasično koristi u kaznenim ili građanskim istragama koje su osmišljene kako bi se dobile informacije koje se mogu koristiti na sudu, iako se forenzičkim povratom podataka mogu koristiti i revizorske tvrtke iu nizu drugih okolnosti. Ovaj proces provode obučeni tehničari koji su studirali informatiku, informacijsku tehnologiju i forenziku.

Potreba za obnavljanjem podataka nije neuobičajena; mnogi su ljudi u nekom trenutku svog života doživjeli izgubljene ili oštećene datoteke, a neki su upoznati s tehnikama koje se mogu koristiti za vraćanje ili ponovnu izgradnju takvih podataka. Forenzički oporavak podataka sličan je, ali malo složeniji, jer također uključuje pristup područjima računala koja se inače ne bi vidjeli ili koristila za provjeru određenih aktivnosti od interesa, zajedno s obnavljanjem podataka koji je usmjeren na oporavak podataka koji su namjerno izbrisani, oštećeni ili oštećeni.

Ponekad je forenzički oporavak podataka jednostavan kao pokušaj rekonstrukcije informacija na oštećenom tvrdom disku, disku ili memorijskoj kartici. U drugim slučajevima, to može uključivati ​​oživljavanje podataka za koje se smatra da su izgubljeni ili izbrisani, zaobilaženje sigurnosnih sustava ili proučavanje računalnog sustava u potrazi za tragovima nezakonite aktivnosti. Može se primijeniti na situacije u rasponu od sumnjivih slučajeva kreativnog računovodstva do analize računala za koje se vjeruje da pripada seksualnom grabežljivcu u potrazi za inkriminirajućim ili identifikacijskim informacijama.

Umjesto da posebno traže datoteke, što većina ljudi radi kada se upusti u oporavak podataka, stručnjaci za forenzičke oporavak podataka prvenstveno su zainteresirani za informacije. Nije ih nužno briga u kojem su obliku informacije predstavljene i mogu koristiti razne tehnike kako bi popunili dijelove koji nedostaju ili dali informaciju smislenom. Na primjer, tehničar bi mogao otkriti i vratiti oštećenu ili izbrisanu particiju, tražeći tragove informacija koje bi mogle otkriti kako i kada je particija korištena.

Budući da stručnjaci za forenzički oporavak podataka možda rade s računalima na kojima su postavljene sigurnosne mjere kako bi spriječile pravne istrage, moraju koristiti posebne postupke kako bi izbjegli pokretanje sigurnosnih sustava koji bi mogli kompromitirati ili izbrisati podatke. Također moraju biti sposobni raditi s informacijama na način koji ih neće promijeniti ili kompromitirati. Na primjer, tehničar bi mogao kopirati podatke s tvrdog diska pronađenog na mjestu zločina na drugi tvrdi disk, ponovno zatvarajući izvorni tvrdi disk kao dokaz i radeći s kopijom podataka.