Défis dans la récupération Email supprimé

Les deux experts en informatique judiciaire et des techniciens de récupération de données cherchent à récupérer des données supprimées. La récupération de données est principalement intéressé à ramener les fichiers, alors que l'informatique judiciaire tend à creuser plus profond, à la recherche non seulement pour les documents supprimés, mais aussi pour les métadonnées (données sur les données - comme les attributs de fichier, les descriptions, les dates et autres informations) et des extraits significatifs des fichiers irrécupérables. Un domaine d'intérêt particulier est l'email.

Quand la plupart des documents sont écrits sur le disque dur d'un ordinateur, chaque document nouvellement créé a son entrée propre répertoire (ce que l'utilisateur voit une annonce dans un dossier). Si un fichier a été supprimé, mais n'a pas été écrasé par un autre document, le processus de récupération est un élément relativement simple d'e-discovery ou de récupération de données. Mais quand les données d'intérêt est de e-mails supprimés, le processus de découverte est susceptible de différer de manière significative de celui de la récupération de données. E-mails individuels sont stockés différemment des fichiers individuels. Différents types de programmes e-mail stockent les données différemment sur le disque dur de l'utilisateur et nécessitent des schémas différents pour trouver des informations utiles. En conséquence, la suppression des e-mails et la récupération des e-mails supprimés diffère non seulement de celle des autres types de documents, mais aussi entre les différents types de programmes de messagerie.

Il existe trois principaux types d'e-mails dans l'usage courant - Microsoft Outlook (souvent couplé avec un serveur Microsoft Exchange), le texte des programmes client de messagerie et web-based email, ou webmail.

Dans Microsoft Outlook, tous les e-mails sont conservés dans un grand crypté, non un fichier texte - la TVP, ou fichier de dossiers personnels. Outlook possède des fonctions supplémentaires et du contenu supplémentaire ainsi. Il ya un carnet d'adresses intégré, plusieurs boîtes aux lettres, un calendrier et un ordonnanceur, qui sont toutes contenues dans le fichier PST. Quand on regarde dans un fichier PST avec un éditeur de fichier ou une application de traitement de texte, il ya peu ou pas du tout intelligible à l'œil humain. Le contenu du fichier ressemble de près de caractères aléatoires.

En général, le fichier PST doit être chargé dans Outlook pour être lu. Quand un message est effacé, ou encore lorsqu'il est purgé, il peut être maintenue dans le corps du seul fichier, mais deviennent inaccessibles au programme. Certains e-mails supprimés peuvent être récupérés par la manipulation du fichier si un processus manuel, la réparation du fichier résultant, puis charger de nouveau dans Outlook.

Programmes de messagerie basés sur du texte: inclut Microsoft Outlook Express, Qualcomm Eudora Pro, Mozilla Thunderbird, Mail Macintosh, et d'autres. Dans les applications de messagerie texte basé, chaque boîte aux lettres a son propre fichier, et tous les e-mails de la boîte aux lettres donnée sont conservées dans ce fichier un. Par exemple, il est susceptible d'être un seul fichier pour tous les e-mails dans la boîte de réception, un pour tous dans la boîte d'envoi, un pour chaque boîte aux lettres généré par l'utilisateur, et ainsi de suite. Les fichiers de boîtes aux lettres sont principalement des fichiers texte, Quand un email individuel est supprimé, le texte peut être "orphelins", ou libérée du corps du fichier, mais peuvent encore être récupérées comme un vestige fichier qui peut contenir le corps de l'e-mail ainsi que les dates de ces informations, l'heure et l'expéditeur.

Un processus de récupération de données standard ne serait pas récupérer ces e-mails supprimés dans la boîte aux lettres qui contenait entre eux peuvent encore être intact - mais pas encore maintenant le courrier électronique soit supprimée. Une partie de la preuve électronique pourrait inclure la recherche de la non alloué (quand un fichier est écrit, le système d'exploitation alloue une zone spécifique du disque dur vers ce fichier. Lorsque le fichier est supprimé, que l'espace est désallouée, et est considéré comme non alloué espace) partie du disque dur pour des termes ou des expressions spécifiques qui sont susceptibles d'être dans le corps des e-mails suspects. Une recherche peut également être effectuée pour têtes de courriers électroniques qui sont également basé sur du texte. Les données résultantes peuvent alors être recueillies et affichées sous forme de fichiers texte.

Une troisième forme de courriel Web est accédé par courriel. Beaucoup, sinon la plupart, des fournisseurs de messagerie commerciaux offrent à l'utilisateur la possibilité d'accéder au courrier électronique via un navigateur Web. America Online est un autre fournisseur de messagerie qui ne prend généralement pas stocker messagerie sur l'ordinateur de l'utilisateur par défaut. Le courrier électronique est stocké sur un ordinateur distant, ou répartie sur plusieurs ordinateurs distants, qui peuvent être n'importe où sur Internet. Comme ces centaines d'ordinateurs hôtes ou même des millions d'utilisateurs et de leur messagerie, le stockage de courrier électronique est très dynamique. Lorsque e-mails sont effacés dans un tel environnement, les restes d'e-mails et fichiers individuels ont tendance à être remplacés rapidement et à plusieurs reprises. Il peut y avoir quelques vestiges trouvés sur l'ordinateur de l'utilisateur dans une mémoire virtuelle ou d'un fichier tampon, cependant. Le procureur scandale américaine récente a mis en évidence l'utilisation d'un tel courriel Web (voir Importance du courriel: La science derrière le scandale du procureur américain, par Steve Burgess).

Il ya toujours une chance que restantes fichiers supprimés, ou des restes de celle-ci peut être remplacé. En raison de cette possibilité, il est préférable d'éteindre immédiatement n'importe quel ordinateur où la récupération des données est en cause. Le plus l'ordinateur est toujours en circulation, plus la probabilité de données utiles étant irrémédiablement détruits. Si l'ordinateur d'un utilisateur est susceptible d'être utilisé ou inspectés pendant les questions juridiques, ou si la découverte de document est prévu, l'ordinateur doit être éteint pour éviter la spoliation de la preuve.

Si des précautions sont prises une fois qu'un fichier est supprimé, le fichier est susceptible d'être recouvrée. La même chose est vraie de l'email. Bien que le courriel supprimé ou saccagé peut ne pas être recouvrable sous forme de fichier boîte aux lettres terminée, le contenu dudit courriel et ses métadonnées peut être identifiable ou recouvrable par le biais des différentes méthodes disponibles pour les spécialistes en informatique judiciaire....