取证数据恢复是一个用于检索将用于合法目的的数据的过程。该技术通常用于刑事或民事调查,旨在产生可在法庭上使用的信息,尽管审计公司也可以在各种其他情况下使用法证数据恢复。此过程由研究过计算机科学、信息技术和取证学的训练有素的技术人员执行。
数据恢复的需求并不少见;许多人在生活中的某个时刻都经历过文件丢失或损坏的经历,有些人熟悉可用于恢复或重建此类数据的技术。取证数据恢复与之类似,但更复杂一些,因为它还包括访问通常不会被看到或用于检查感兴趣的特定活动的计算机区域,以及旨在恢复故意数据的数据恢复。抹掉了,达玛ged,或损坏。
取证数据恢复涉及获取存储在物理硬盘驱动器上的敏感数据,这将有助于刑事调查。有时,取证数据恢复就这么简单例如尝试重建损坏的硬盘驱动器、光盘或存储卡上的信息。在其他时候,它可能包括恢复被认为丢失或删除的数据、绕过安全系统或研究计算机系统以寻找非法活动的痕迹。它可以应用于各种情况,从可疑的创造性会计案件到分析被认为属于性掠夺者的计算机以寻找定罪或识别信息。
计算机取证专家有时可以检索本应销毁或删除的信息。而不是专门查找文件这是大多数人从事数据恢复时所做的事情,取证数据恢复专家主要对信息感兴趣,他们不一定关心信息以什么形式呈现,他们可以使用多种技术来填补缺失的部分。片段或使信息变得有意义。例如,技术人员可能会发现并恢复损坏或删除的分区,寻找可以揭示分区使用方式和时间的信息痕迹。
因为法医数据恢复专家可能正在使用已植入安全措施以防止法律调查的计算机,他们必须使用特殊程序来避免触发可能损害或删除数据的故障保护。他们还必须能够以不会改变或损害信息的方式处理信息。例如,技术人员可能会将数据从犯罪现场发现的硬盘驱动器复制到另一个硬盘驱动器,重新密封原始硬盘驱动器作为证据并使用数据副本。
