By | April 7, 2022

การกู้คืนข้อมูล นิติคอมพิวเตอร์ และ e-discovery แตกต่างกันอย่างไร

ทั้งสามฟิลด์เกี่ยวข้องกับข้อมูล และข้อมูลดิจิทัลโดยเฉพาะ มันคือทั้งหมดที่เกี่ยวกับอิเล็กตรอนในรูปของศูนย์และหนึ่ง และมันคือทั้งหมดที่เกี่ยวกับการรับข้อมูลที่อาจหายากและนำเสนอในรูปแบบที่อ่านได้ แต่ถึงแม้จะมีความทับซ้อนกัน แต่ชุดทักษะก็ต้องการเครื่องมือที่แตกต่างกัน ความเชี่ยวชาญที่แตกต่างกัน สภาพแวดล้อมการทำงานที่แตกต่างกัน และมุมมองที่แตกต่างกันออกไป

การกู้คืนข้อมูลมักเกี่ยวข้องกับสิ่งที่เสียหาย ไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ เมื่อคอมพิวเตอร์ขัดข้องและไม่สามารถเริ่มสำรองข้อมูลได้ เมื่อไม่สามารถอ่านฮาร์ดดิสก์ภายนอก ธัมบ์ไดรฟ์ หรือการ์ดหน่วยความจำได้ อาจจำเป็นต้องกู้คืนข้อมูล บ่อยครั้ง อุปกรณ์ดิจิทัลที่ต้องการกู้คืนข้อมูลจะมีความเสียหายทางอิเล็กทรอนิกส์ ความเสียหายทางกายภาพ หรือทั้งสองอย่างรวมกัน หากเป็นกรณีนี้ การซ่อมแซมฮาร์ดแวร์จะเป็นส่วนสำคัญของกระบวนการกู้คืนข้อมูล ซึ่งอาจเกี่ยวข้องกับการซ่อมแซมอุปกรณ์อิเล็กทรอนิกส์ของไดรฟ์ หรือแม้แต่การเปลี่ยนสแต็คของหัวอ่าน/เขียนภายในส่วนที่ปิดผนึกของดิสก์ไดรฟ์

หากฮาร์ดแวร์ไม่เสียหาย ไฟล์หรือโครงสร้างพาร์ติชั่นอาจเสียหายได้ เครื่องมือกู้คืนข้อมูลบางอย่างจะพยายามซ่อมแซมพาร์ติชั่นหรือโครงสร้างไฟล์ ในขณะที่เครื่องมืออื่นๆ จะตรวจสอบโครงสร้างไฟล์ที่เสียหายและพยายามดึงไฟล์ออกมา พาร์ติชั่นและไดเร็กทอรีสามารถสร้างขึ้นใหม่ได้ด้วยตนเองด้วยตัวแก้ไขฐานสิบหกเช่นกัน แต่เมื่อพิจารณาถึงขนาดของดิสก์ไดรฟ์ที่ทันสมัยและปริมาณข้อมูลในพาร์ติชั่นแล้ว สิ่งนี้มักจะไม่สามารถทำได้

โดยทั่วไปแล้ว การกู้คืนข้อมูลเป็นกระบวนการ “มาโคร” ชนิดหนึ่ง ผลลัพธ์ที่ได้มักจะเป็นข้อมูลจำนวนมากที่บันทึกไว้โดยไม่สนใจไฟล์แต่ละไฟล์มากนัก งานกู้คืนข้อมูลมักเป็นดิสก์ไดรฟ์แต่ละตัวหรือสื่อดิจิทัลอื่นๆ ที่ทำให้ฮาร์ดแวร์หรือซอฟต์แวร์เสียหาย ไม่มีมาตรฐานใดที่เป็นที่ยอมรับของอุตสาหกรรมในการกู้คืนข้อมูล

การค้นพบทางอิเล็กทรอนิกส์มักจะเกี่ยวข้องกับฮาร์ดแวร์และซอฟต์แวร์ที่ไม่เสียหาย ความท้าทายใน e-discovery ได้แก่ “de-duping” การค้นหาอาจดำเนินการผ่านอีเมลและเอกสารที่มีอยู่หรือสำรองเป็นจำนวนมาก

เนื่องจากธรรมชาติของคอมพิวเตอร์และอีเมล จึงมีเอกสารและอีเมลที่ซ้ำกันจำนวนมาก (“dupes”) เครื่องมือ E-discovery ได้รับการออกแบบมาเพื่อลดทอนสิ่งที่อาจเป็น torrent ของข้อมูลที่ไม่สามารถจัดการได้จนถึงขนาดที่จัดการได้โดยการจัดทำดัชนีและลบรายการที่ซ้ำกัน หรือที่เรียกว่า de-duping

E-discovery มักเกี่ยวข้องกับข้อมูลจำนวนมากจากฮาร์ดแวร์ที่ไม่เสียหาย และขั้นตอนต่างๆ อยู่ภายใต้ระเบียบวิธีพิจารณาความแพ่งของรัฐบาลกลาง (“FRCP”)

นิติคอมพิวเตอร์มีทั้ง e-discovery และการกู้คืนข้อมูล

ในนิติคอมพิวเตอร์ ผู้ตรวจสอบนิติวิทยาศาสตร์ (CFE) จะค้นหาและผ่านข้อมูลที่มีอยู่และที่มีอยู่ก่อนหน้านี้หรือข้อมูลที่ถูกลบ การทำ e-discovery ประเภทนี้ บางครั้งผู้เชี่ยวชาญด้านนิติเวชจะจัดการกับฮาร์ดแวร์ที่เสียหาย แม้ว่าจะไม่ใช่เรื่องปกติก็ตาม ขั้นตอนการกู้คืนข้อมูลอาจถูกนำไปใช้เพื่อกู้คืนไฟล์ที่ถูกลบไปแล้ว แต่บ่อยครั้ง CFE ต้องจัดการกับความพยายามอย่างมีจุดประสงค์ในการซ่อนหรือทำลายข้อมูลที่ต้องใช้ทักษะภายนอกที่พบในอุตสาหกรรมการกู้คืนข้อมูล

เมื่อจัดการกับอีเมล CFE มักจะค้นหาพื้นที่ที่ไม่ได้จัดสรรสำหรับข้อมูลรอบข้าง ซึ่งเป็นข้อมูลที่ไม่มีอยู่ในไฟล์ที่ผู้ใช้อ่านได้อีกต่อไป ซึ่งอาจรวมถึงการค้นหาคำหรือวลีเฉพาะ (“การค้นหาคำหลัก”) หรือที่อยู่อีเมลในพื้นที่ที่ไม่ได้จัดสรร ซึ่งอาจรวมถึงการแฮ็กไฟล์ Outlook เพื่อค้นหาอีเมลที่ถูกลบ ซึ่งอาจรวมถึงการค้นแคชหรือล็อกไฟล์ หรือแม้แต่ไฟล์ประวัติอินเทอร์เน็ตเพื่อหาเศษข้อมูล และแน่นอนว่ามักมีการค้นหาข้อมูลเดียวกันผ่านไฟล์ที่ใช้งานอยู่

แนวทางปฏิบัติจะคล้ายคลึงกันเมื่อมองหาเอกสารเฉพาะที่สนับสนุนกรณีหรือค่าใช้จ่าย การค้นหาคำสำคัญจะดำเนินการทั้งในเอกสารที่ใช้งานอยู่หรือที่มองเห็นได้ และในข้อมูลแวดล้อม การค้นหาคำสำคัญต้องได้รับการออกแบบอย่างระมัดระวัง ในกรณีเช่นนี้ มูลนิธิ Schlinger และ Blair Smith ผู้เขียนได้เปิดเผยคำหลัก “hits” มากกว่าหนึ่งล้านคำในดิสก์ไดรฟ์สองไดรฟ์

ในที่สุด ผู้เชี่ยวชาญนิติคอมพิวเตอร์ก็มักจะถูกเรียกให้การเป็นพยานในฐานะพยานผู้เชี่ยวชาญในการให้การหรือในศาล เป็นผลให้วิธีการและขั้นตอนของ CFE อาจอยู่ภายใต้กล้องจุลทรรศน์และผู้เชี่ยวชาญอาจถูกเรียกให้อธิบายและปกป้องผลลัพธ์และการกระทำของเขาหรือเธอ CFE ที่เป็นพยานผู้เชี่ยวชาญด้วยอาจต้องปกป้องสิ่งที่กล่าวในศาลหรือในงานเขียนที่ตีพิมพ์ที่อื่น

ส่วนใหญ่แล้ว การกู้คืนข้อมูลเกี่ยวข้องกับดิสก์ไดรฟ์เดียว หรือข้อมูลจากระบบเดียว ศูนย์กู้ข้อมูลจะมีมาตรฐานและขั้นตอนการทำงานเป็นของตัวเอง และทำงานเกี่ยวกับชื่อเสียง ไม่ใช่การรับรอง การค้นพบทางอิเล็กทรอนิกส์มักเกี่ยวข้องกับข้อมูลจากระบบจำนวนมาก หรือจากเซิร์ฟเวอร์ที่อาจมีบัญชีผู้ใช้จำนวนมาก วิธี E-discovery ขึ้นอยู่กับการผสมผสานซอฟต์แวร์และฮาร์ดแวร์ที่ได้รับการพิสูจน์แล้ว และควรวางแผนล่วงหน้าได้ดีที่สุด (แม้ว่าจะไม่มีการวางแผนล่วงหน้าก็ตาม) นิติคอมพิวเตอร์อาจจัดการกับหนึ่งหรือหลายระบบหรืออุปกรณ์ อาจค่อนข้างไหลในขอบเขตของความต้องการและคำขอที่ทำ มักจะเกี่ยวข้องกับข้อมูลที่ขาดหายไป และต้องได้รับการปกป้องและปกป้องในศาล

EZ