Desafios na recuperação email suprimido

Forense o computador especialistas e técnicos de recuperação de dados procurar recuperar os dados apagados. Recuperação de dados é basicamente interessados ​​em trazer de volta os arquivos, enquanto computação forense tende a cavar mais fundo, olhando não apenas para os documentos excluídos, mas também para os metadados (dados sobre dados - tais como atributos de arquivo, descrições, datas e outras informações) e trechos significativos de arquivos irrecuperáveis. Uma área de interesse particular é e-mail.

Quando a maioria dos documentos são gravados no disco rígido de um computador, cada documento recém-criado tem a sua entrada próprio diretório (o que o usuário vê como uma listagem de uma pasta). Se um arquivo foi excluído, mas não foi substituído por outro documento, o processo de recuperação é uma parte relativamente trivial de e-discovery ou de recuperação de dados. Mas, quando os dados de interesse a partir de e-mail é eliminado, o processo de descoberta é provável que diferem significativamente do de recuperação de dados. E-mails individuais são armazenados de forma diferente do que os arquivos individuais. Diferentes tipos de e-mail dados programas loja diferente no disco rígido do usuário e exigem diferentes esquemas para encontrar informações úteis. Como resultado, a exclusão de e-mails e recuperação de e-mails apagados difere não só do que para outros tipos de documentos, mas também entre diferentes tipos de programas de e-mail.

Existem três tipos principais de e-mail de uso comum - Microsoft Outlook (muitas vezes emparelhado com o Microsoft Exchange Server), baseados em texto programas clientes de e-mail e web-based e-mail ou webmail.

No Microsoft Outlook, todos os e-mails são mantidos em um grande, criptografado, o arquivo não-texto - o PST, ou arquivo de pastas pessoais. Outlook tem funções adicionais e conteúdo adicional também. Há um livro de endereços integrado, várias caixas de correio, um calendário e uma agenda, todas as quais estão contidas no arquivo PST. Quando se olha para um arquivo PST com um editor de arquivo ou aplicativo de processamento de texto, há pouco ou nada inteligível para o olho humano. O conteúdo do arquivo se parece com personagens quase aleatórios.

Em geral, o arquivo PST deve ser carregado no Outlook para ser lido. Quando uma mensagem é excluído, ou até mesmo quando é purgado, pode ser mantida no interior do corpo do ficheiro único e grande, mas tornam-se inacessíveis ao programa. Alguns e-mails apagados podem ser recuperados através da manipulação do arquivo através de um processo manual, reparar o arquivo resultante, e depois carregar de volta para o Outlook.

Programas baseados em texto de e-mail incluem o Microsoft Outlook Express, Qualcomm Eudora Pro, Mozilla Thunderbird, Mail Macintosh, e outros. Em aplicações de e-mail baseado em texto, cada caixa tem seu próprio arquivo, e todos os e-mails de uma determinada caixa de correio que são mantidos em um arquivo. Por exemplo, é provável que seja um único arquivo para todos os e-mails na caixa de entrada, um por todos na caixa de saída, uma para cada caixa gerado pelo usuário, e assim por diante. Os arquivos de caixa de correio são principalmente arquivos de texto, e-mail Quando um indivíduo é excluído, o texto pode ser "órfãs", ou liberado do corpo do arquivo, mas ainda pode ser recuperado como um resto de arquivo que pode conter no corpo do e-mail como bem como datas de tais informações, horários e remetente.

Um processo de recuperação de dados padrão não iria se recuperar e-mail excluído, como a caixa de correio que continha eles podem ainda estar intactas - só não ainda com o e-mail excluído. Parte da descoberta eletrônica que incluem a busca não alocado (quando um arquivo é gravado, o sistema operacional aloca uma área específica do disco rígido para o arquivo. Quando o arquivo é excluído, que o espaço é de-alocados, e é referido como não alocados espaço) parte do disco rígido para termos ou frases específicas que possam estar dentro do corpo de e-mails suspeitos. A pesquisa pode também ser realizada por cabeçalhos de e-mail, que também são baseados em texto. Os dados resultantes podem então ser recolhidos e exibidos como ficheiros de texto.

Uma terceira forma de e-mail é o Web-acessado e-mail. Muitos, se não a maioria, fornecedores de e-mails comerciais oferecer ao usuário a oportunidade de acessar e-mail através de um navegador web. America Online é um outro provedor de e-mail que, geralmente, não armazena e-mail no computador do usuário por padrão. E-mail é armazenado em um computador remoto, ou distribuídos em vários computadores remotos, que pode ser qualquer lugar na Internet. Como esses computadores host centenas ou mesmo milhões de usuários e seu e-mail, o armazenamento de e-mail como é extremamente dinâmico. Quando e-mails são apagados em tal ambiente, remanescentes de e-mails e arquivos individuais tendem a ser substituídas rapidamente e repetidamente. Pode haver alguns vestígios encontrados no computador do utilizador numa memória virtual ou um arquivo de tampão, no entanto. O Procurador escândalo recente dos EUA destacou o uso de e-mail baseado na web tal (ver por que é importante e-mail: a ciência por trás do escândalo Procuradoria dos EUA, por Steve Burgess).

Há sempre uma chance de que restantes arquivos apagados, ou vestígios dos mesmos, podem ser substituídos. Devido a essa possibilidade, o melhor é desligar imediatamente qualquer computador onde a capacidade de recuperação de dados está em questão. Quanto mais tempo o computador permanece em uso, maior a probabilidade de dados úteis sendo irremediavelmente destruído. Se o computador de um usuário é susceptível de ser utilizado ou inspecionados durante a questões legais, ou se a descoberta de documento é esperado, o computador deve ser desligado para evitar espoliação de provas.

Se forem tomadas precauções, uma vez que um arquivo é excluído, o arquivo é provável que seja recuperável. O mesmo é verdade para e-mail. Apesar do email excluído ou lixeira pode não ser recuperável como um arquivo de caixa de correio completo, o conteúdo do referido e-mail e seus metadados podem ser descobertos ou recuperáveis ​​através das diferentes metodologias disponíveis para especialistas em computação forense....