ادله الکترونیک

ادله الکترونیک Electronic Evidence (فصول 3/4/5)

 

فصل ۳ - منابع ادله الکترونیک/کجا آنها را بیابیم؟


برای اینکه وکلا و بازرسان تفتیشی جامع از ادله الکترونیک به عمل آورند، لازم است بدانند که به دنبال چه چیزی هستند و کجا آنها را بیابند. آنها باید معین کنند که کدام سیستمهای رایانهای وکدام برنامههای نرمافزاری موجود در آنها، در بردارنده دادههای الکترونیکی هستند. همچنین لازم است تمامیت دادههای الکترونیکی کشف شده نیز به اثبات برسد.


با اینکه سوالات و مسایلی که در پی میآید، در رابطه با رایانه و دیگر تجهیزات موجود در محیط کار میباشد، یکسری مسایل مشابه دیگر را نیز باید در رابطه با تجهیزات تخصصی مورد استفاده در صنعت یا مشاغل خاص، دنبال کرد. مثلاً در یک مورد تخلف پزشکی که در آن عکسهای مغناطیسی موسوم به (MRI) تولید میشود، بهتر است معین شود که آیا دیگر تصاویر، گرفته شده اما چاپ نشده است یا خیر. ممکن است این تصاویر در واحد MRI یا سیستم بایگانی تصاویر بیمارستان نگهداری شود.
۳ـ۱ـ افراد و جریان کاری بین آنها
الف ـ افراد کلیدی و جریان کاری بین آنها را شناسایی نمایید:
۱ـ مشخص کنید که چگونه افراد از کامپیوتر خودشان استفاده میکنند. (۲)
۲ـ منشیها و دستیاران را شامل نمایید.
۳ـ به یاد داشته باشید که ممکن است اسناد تنظیم شده توسط یک عضو کلیدی یا شاهد، در کامپیوتر دستیارش ذخیره شده باشند.
۴ـ سعی کنید به این موضوع پی ببرید که آیا عضو کلیدی یا شاهد معمولاً یادداشتها و نامههای خود را در یک ضبط صوت پیاده میکند یا مستقیماً در تجهیزات رایانه شخصی خود (PC) که دارای نرمافزار ضبط صوت است، پیاده میکند.
ب ـ فهرستی از همه فایلها یا اسناد تولید یا اصلاح شده توسط افراد ذیربط در یک دوره معین را درخواست نمایید.
ج ـ هویت افرادی که به اسناد مربوطه دسترسی دارند را مشخص نمایید. همچنین هویت اشخاص ثالثی که نسخههای این اسناد را در اختیار دارند، تعیین نمایید.
د ـ تعیین نمایید چگونه و کجا اطلاعات و اسناد نگهداری، توزیع و تخریب میشوند:
۱ـ کپیها یا نسخههای اسناد کجا و در اختیار چه کسی یا کسانی میباشد؟
۲ـ منابع کامپیوتری که این افراد به آنها دسترسی دارند؛
۳ـ نوع اتصال یا ارتباطی که بین این منابع کامپیوتری و دیگر سازمانها (یعنی پست الکترونیکی، شبکه محلی و ...) وجود دارد.
۳ـ۲ـ سختافزار کامپیوتر و دیگر تجهیزات
تولید و توزیع چندین نسخه از ادله الکترونیک کاری آسان میباشد. در بسیاری موارد، این نسخهها در مکانهای متعددی وجود دارد، به طوریکه حتی اگر طرف پاسخگو معتقد باشد همه نسخهها قبلاً پاک شدهاند، اما هنوز میتوان کپی یا نسخههای دیگری از آن را کشف کرد.
دادخواهان، بازرسان و متخصص جنایی آنها برای اینکه بتوانند استراتژی کشف دادههای الکترونیکی را تدوین و توسعه دهند، لازم است همه مکانهایی که احتمال میرود نسخهای از اطلاعات مربوطه در آنجا باشد را مدنظر داشته باشند. این مکانها شامل موارد ذیل میشود:
ـ کامپیوترهای شخصی (PC) اداره؛
ـ دیسکتها؛
ـ سرور فایلهای شبکه یا سیستمهای رایانهای بزرگ (Main Frame)؛
ـ کامپیوترهای شخصی منزل؛
ـ سامانگرهای جیبی نظیر کامپیوترهای Windows CE و ابزارهای Palm Pilot؛
ـ ضبط کنندههای دیجیتالی دستی ؛
ـ ابزارهای نمایشگر سخنگوی منزل ؛(۳)
ـ کامپیوترهای مشترک اداری قابل حمل؛
ـ منابع کامپیوتری تحت کنترل خارج از مجموعه شامل موارد ذیل میشوند:
۱. نرمفزار یا دادههایی که نزد شخص یا اشخاص ثالث تا پس از انجام تعهد نگهداری میشود؛
۲. نرمافزار یا دادههایی که نزد اشخاص ثالث مانند پیمانکاران یا مشاوران نگهداری میشود؛
۳. نرمافزار یا دادههایی که توسط اشخاص ثالث به ثبت رسیدهاند؛
۴. لوگهای پخش یا انتقال که بوسیله اشخاص ثالث نگهداری میشوند (یعنی شرکتهای سازندهی پیجر، شرکتهای تامین خدمات خطوط تلفن کابلی یا بیسیم)؛
۵. پست الکترونیکی یا شاهراههای ارتباطی ؛(۴)
۶. پیجرها (Pagers) و تلفنهای بیسیم ؛(۵)
۷. ماشینهای فاکس یا سِروِرهای فاکس شبکه ؛(۶) یا
۸. نسخههای پشتیبان منابع فوقالذکر.
بنابراین بهتر است این سیستمهای رایانهای را از جهات ذیل مورد بررسی قرار دهیم: ساخت و مدل کامپیوتر، سیستم عامل مورد استفاده، برنامههای کاربردی نصب شده، نام متصدیان یا مدیران، روشهای تهیه نسخه پشتیبان قابل اجرا، حفاظت از رمز عبور و دیگر مکانیسمهای امنیتی و تاریخ نگهداری.
علاوه بر این، گاهی اوقات سیستمهای رایانهای یا اجزای تشکیل دهندهی آنها در محدوده سازمان جابجا میشوند یا به علت خرابی جایگزین میگردند. (۷) بنابراین لازم است تایید شود سیستمهایی که احتمالا تحت تفتیش قرار میگیرند، واقعا همان تجهیزاتی هستند که در آن دوره زمانی مورد نظر به کار گرفته شدهاند. بسیاری از سازمانها بر روی هر کامپیوتر یک برچسب شماره اموال میزنند تا به راحتی آن را در گزارشات داراییهای تثبیت شده ردیابی کنند.
کامپیوترهای شخصی اطلاعات را در مکانهای مختلفی ذخیره میکنند که از آن جمله میتوان به مکانهای ذیل اشاره کرد:
ـ حافظه با دستیابی تصادفی یا RAM که با هر بار خاموش و روشن کردن مجدد کامپیوتر، پاک میشود (اما در زمان توقیف رایانه این حافظه میتواند دارای اطلاعات مفیدی باشد)؛
ـ دیسکهای سخت (یکی یا بیشتر)؛
ـ رسانه ذخیرهساز قابل جابهجایی (مانند فلاپی دیسکها، سیدیرامها، نوارها و کارتریجها)؛ و
ـ حافظه CMOS که اطلاعات پیکربندی کامپیوتر از جمله کلمات عبور را در خود ذخیره میکند.
با اتصال کامپیوترهای مختلف به یکدیگر میتوان یک شبکه تشکیل داد. دو نوع شبکه وجود دارد. در نوع اول یک کامپیوتر به کامپیوتر دیگر متصل میشود و اصطلاحاً آن را شبکه نظیر به نظیر میگویند. چنین شبکههایی دارای سِروِر فایل مرکزی نیستند. فایلها را میتوان بر روی دیسکهای سخت هر یک از کامپیوترهای متصل به شبکه ذخیره کرد. در نتیجه، برای کشف و بازیابی دادهها، باید دیسک سخت تمام کامپیوترهای متصل به شبکه، یا حداقل آنهایی را که از طریق کارمندان ذیربط قابل دسترسی به شبکه هستند، تفتیش کرد.
شبکه نوع دوم اصطلاحاً مشتری- سرور (۹) نامیده میشود. در این شبکه تمام کامپیوترها به یک کامپیوتر مادر یا سِروِر متصل میشوند. این نوع شبکه دارای یک یا چند سِروِر فایل مرکزی میباشد. کاربران میتوانند فایلها را بر روی سرور مرکزی یا دیسک سخت کامپیوتر داخلیشان ذخیره نمایند. فرآیند کشف در این شبکه (که متداولترین کاربرد را دارد) نیازمند بررسی همه دیسک سختهای کامپیوترهای داخلی مورد استفاده کارمندان ذیربط میباشد. همچنین سِروِرهایی که کارمندان به آنها دسترسی دارند را نیز باید تفتیش نمود. چنانچه سازمان در مکانهای مختلف شعبه داشته باشد، در صورتی که کاربران از طریق یک شبکه سراسری تحت پوشش قرار داشته باشند، باید سرور فایل شعب مذکور را نیز مورد بررسی قرار داد.
در راستای توجه به موقعیتهای بالقوه ذخیرهی ادله الکترونیک، لازم است نگرشی جهانی داشته باشیم و خود را به مکانهای افراد کلیدی طرف مقابل محدود نکنیم. بسیاری از سازمانها دارای شبکه پوشش سراسری رایانهای هستند که با اتصال به اینترنت یا پست الکترونیکی عمومی و شرکتهای تامین خدمات مبادله دادههای الکترونیکی (۱۰) ، پوشش ارتباطی خود را وسعت میدهند.
در رابطه با بازبینی سختافزار کامپیوتر که ممکن است حاوی دلایل و مدارک مرتبط باشد، لازم است کامپیوتر رومیزی کاربردی و همچنین سیستمهای عامل سِروِر/شبکه را که در این سیستمهای کامپیوتری مورد استفاده قرار میگیرند را معین نمود.
اگر چه در اینجا تاکید عمده بر منابع کامپیوتری اطلاعات الکترونیکی است، اما باید منابع غیرکامپیوتری را نیز در نظر داشت. به عنوان مثال، در پروندهای که راجع به تصادف یک اتومبیل میباشد، اطلاعات مفید را میتوان در جعبه سیاه آن جستجو کرد. این جعبه حاوی اطلاعاتی در زمینه سرعت اتومبیل، موقعیت فرمان، وضعیت کمربند ایمنی و وضعیت ترمزها میباشد.
۳ـ۳ـ نرمافزار کاربردی (برنامههای نرمافزاری)
بسیاری از شرکتهای بازرگانی، برنامههای نرمافزاری مختلفی را برای ذخیرهسازی اطلاعات بکار میگیرند. هر یک از این برنامهها میتواند یک منبع بالقوه دلایل به شمار رود. این برنامهها و نوع اطلاعاتی که ذخیره میکنند،عبارتند از:
ـ برنامههای واژهپرداز (۱۱) و صفحه گسترده (۱۲) (برای تسریع در محاسبه امور مالی)؛
ـ ویژگیها و سیستمهای مدیریت اسناد جهت پیگیری پیشنویسها ؛(۱۳)
ـ پست الکترونیکی ؛(۱۴)
ـ کاربردهای گروه افزاری (مانند lotus Notes)؛
ـ نرمافزار مرورگر وب مانند Netscape Navigator وmicrosoft Explorer ؛
ـ اسناد و سوابق پرسنل ـ هم اطلاعات و هم سوابق رسمی که در اختیار سازمان است و هم سوابق و اطلاعات غیررسمی که در اختیار بعضی مدیران خاص میباشد ؛(۱۵)
ـ پایگاههای داده ؛(۱۶)
ـ تقویمها ؛(۱۷)
- فهرستهای انجام کار یا سیستمهای ارائه برنامههای آتی؛
- ابزارهای پیامگیر الکترونیکی تلفن؛
ـ گرافیک و دیگر نرمافزارهای نمایش چند رسانهای ؛(۱۸)
ـ سیستمهای مالی و حسابداری ؛(۱۹)
ـ تحلیلها و پیشبینیهای مالی؛
ـ برقراری ارتباطات EDI با تامینکنندگان و مشتریان؛
ـ سیستمهای CAD/CAM که بوسیله کامپیوتر طراحی، ساخت و تولید میشوند. دادهها و طراحیهای مهندسی ؛(۲۰)
ـ رسیدهای ترابری و لوگهای انتقال ؛(۲۱)
ـ مضبوطات تلفنی ؛(۲۲)
ـ پیامهای پیجر ؛(۲۳)
ـ سیستمهای نقطه فروش(POS)؛
ـ سیستمهای زمانبندی و ترتیبدهی مطالب؛
ـ نرمافزار مدیریت پروژه ؛(۲۴)
ـ برنامههای DOS Shell ؛(۲۵)
ـ برنامههای دیکتهی صدا ؛(۲۶)
- عملیات اجرایی عمودی اختصاصی در صنعت؛
زمانی که از انواع برنامههای کاربردی استفاده میکنید و این برنامهها حاوی بعضی دلایل و مدارک مرتبط میباشند، لازم است که از بینشی وسیع برخوردار باشید. به عنوان مثال، زمانیکه کامپیوتر متعلق به یک شخص بچهباز را مورد تفتیش قرار میدهید، بدیهی است هرزهنگاری کودکان از مدارک مهم به حساب میآید. اما از دیگر دلایل و مدارک مهم در این زمینه میتوان به مکاتبات شخص با بچهها، لوگهای دسترسی به خطوط گپ با بچهها، نامهای مستعاری که برای فریب بچهها به کار میبرده، و ... اشاره کرد. حتی بازیهای کامپیوتری اگر برای اغفال بچهها به کار گرفته شده باشد، از اهمیت برخوردارند. گاهی اوقات این بازیها دارای فهرستی از اسامی بازیگران و امتیازاتشان میباشد .(۲۷)
۳ـ۴ـ سایر سوالاتی که مطرح میشود
ـ چه روشکارهای رسمی تهیه نسخه پشتیبان وجود دارد؟
ـ چه مکانیسمهای فنی امنیتی برای حفاظت از تمامیت اطلاعات ذخیره شده در سیستم رایانهای موجود میباشد؟ (۲۸)
ـ چه برنامههای نگهداری اسناد وجود دارد و آیا این برنامهها واقعا تا شروع منازعه پایدار میمانند؟
ـ آیا دادهها بر روی سیستمهای رایانهای ذیربط که بوسیله یک سیستم مدیریت اسناد اداره میشوند، ذخیره شدهاند؟ (۲۹)
ـ چه اطلاعاتی حفاظت شدهاند و چگونه؟
ـ چه اطلاعاتی حفاظت نشدهاند و چرا؟
ـ چه نوع اطلاعات دستیابی، لوگ فایل و رسیدگیهای ممیزی ایجاد شده است؟ (۳۰) آیا کارفرما برای کنترل کاربری کامپیوتر کارکنانش از ابزار یا نرمافزار خاصی استفاده میکند؟
- همچنین مهم است که اطلاعاتی در رابطه با قابلیت اطمینان سیستمها به دست آوریم. بنابراین، سوالات باید در رابطه با نمونه ویروسهای کامپیوتری و رویدادهای مربوط به دادههای گمشده یا دسترسی غیرمجاز باشد.
۳ـ۵ـ روشکارها و خط مشی تهیه نسخه پشتیبان
ـ طرف مقابل چه روشکارها و خط مشی رسمی جهت تهیه نسخه پشتیبان اتخاذ کرده است؟
ـ به طور معمول و متداول چند نسخه پشتیبان تهیه میشود؟
ـ چه نسخههای پشتیبانی در ارتباط با دوره زمانی موردنظر، تولید شده است؟
• آیا دادههای موجود در این نسخهها، کماکان قابل دسترسی هستند؟
• حتی اگر این دادهها، دیگر قابل دستیابی نباشند، آیا به رسانه فیزیکی که مورد استفاده قرار گرفته، میتوان دسترسی پیدا کرد؟
ـ آیا دیگر نسخهها، به عنوان بخشی از نسخه پشتیبان شخصی، غیررسمی یا بر اساس نیاز بوجود آمدهاند (مانند ذخیره کردن بر روی نوار یا فلاپی) یا اینکه روی کاغذ پرینت شدهاند؟
ـ آیا نسخههای دیگری وجود دارد که خارج از محل ذخیره شده باشند یا اینکه تحت تصرف شرکت نباشد؟
ـ از چه تجهیزات سختافزاری و برنامههای نرمافزاری برای تهیه نسخه پشتیبان استفاده شده است؟
ـ چه نوع لوگ (log) و مسیرهای ممیزی (۳۱)تولید شده است؟
• آیا این لوگها هنوز در دسترس میباشند؟
• آیا کپی این لوگها در دیگر نسخههای پشتیبان نیز ذخیره شدهاند؟ (این امر جهت اثبات اینکه هیچگونه دستکاری اتفاق نیفتاده، مفید خواهد بود).
۳ـ۶ـ تولید رسانه الکترونیکی
اگر طرف مقابل نسخههای دادههای الکترونیکی را تولید میکند، بهتر است مطمئن شویم که:
ـ آیا کپی، نسخه یا پیشنویس الکترونیکی دیگری نیز موجود میباشد؟
ـ چه کسی به دادهها دسترسی داشته و چه کسی فرصت کرده تا دادهها را تغییر داده یا اصلاح نماید؟
ـ چه مکانیسمهای امنیتی و کنترل دستیابی، جهت حفاظت از دادهها وجود دارد؟
ـ اطلاعات راجع به مکان فایلها ؛(۳۲) و
ـ هر نوع اطلاعات راجع به کنترل و پیگیری فایل توسط سیستم عامل .(۳۳)
برای اینکه مطمئن شویم نسخهای کامل و قابل اطمینان از دادهها بوجود آوردهایم و از زمان تولید این نسخه تا زمانی که به عنوان دلیل و مدرک به دادگاه ارایه میشود، به آن دادههایی اضافه نشده یا تغییر و حذفی در آن صورت نگرفته، ضروری است که زنجیرهی حفاظتی دلایل و مدارک را به طور کامل به مرحله اجرا درآوریم.


زیرنویس های متن
۱. - Magnetic Resonance Imaging
۲. - دادههایی که به طور گزینشی بر روی دیسکت یا دیگر رسانههای قابل جابهجایی ذخیره شدهاند را نباید از نظر دور داشت. کاربران، اغلب نسخههای پشتیبان فایلها را بر روی فلاپی ذخیره میکنند. این نسخهها تولید یا افشاء نمیشوند (یعنی در فهرست اسناد مندرج در سوگندنامه جای میگیرند). زیرا جزء نسخههای پشتیبان «شخصی» به حساب میآیند. بنابراین مهم است که سوالات صحیحی مطرح کنیم.
۳. - بسیاری از این ابزارها حداقل ۱۰تا ۵۰ یا حتی ۱۰۰ شماره تلفن را که به محل مزبور زده میشود، ذخیره میکنند.
۴. - یک سرور پراکسی (Proxy) اینترنت میتواند دارای لوگهای مفید یا فعالیتهای آن لاین (on-line) باشد. همچنین این سرور نسخههایی را در حافظه نهایی آخرین اطلاعات بازیابی شده، نگهداری میکند.
۵. - حافظهی پیجر و برنامههای شمارهگیر سریع که در تلفن همراه (بیسیم) تعبیه شدهاند را چک کنید. بعضی تلفنهای همراه آخرین شمارههای تلفن دریافت یا زده شده را در خود ذخیره میکنند. بعضی شرکتهای تامین خدمات تلفن همراه (PCS) ، خدماتی نظیر پست صوتی یا دریافت فاکس را نیز ارایه میدهند.
۶. - تقریباً همه ماشینهای فاکس، لوگهای الکترونیکی دریافت و ارسال پیام را به دست آورده و ذخیره میکنند. در بیشتر موارد، چنین لوگهایی به طور خودکار میتوانند شماری از مبادلات انباشت شده را پرینت کنند (و آنها را پاک کنند). همچنین، بسیاری از ماشینهای فاکس از حلقههای فیلمی استفاده میکنند که در فرایند چاپ مورد استفاده قرار میگیرند. در این گونه موارد، اینگونه حلقهها میتواند محتوی نسخهای از هر آنچه باشد که بر روی آن ماشین، چاپ شده است که شامل فاکسهای دریافت شده، لوگهای عملیاتی و صفحات پنهانی مرتبط با فاکسهای ارسال شده میباشد. همچنین بسیاری از ماشینهای فاکس حافظهای دارند که خروجیهای فاکس را در خود ذخیره میکند. (بنابراین، لازم است فورا در خلال تفتیش اماکن، مورد بررسی و ارزیابی قرار گیرند).
۷. - در بعضی موارد، حتی ممکن است دادهها را از رسانه ذخیرهساز آسیبدیده مانند دیسک سخت بازیابی نمود. بسیاری از شرکتهای تامین خدمات بازیابی دادهها، خدمات مفیدی را در این زمینه ارایه میدهند: مهندسین آموزش دیدهی ویژه، تجهیزات و یک «اتاق تمیز» در اختیار دارند که در آن میتوان دیسک سخت آسیب دیده را جدا، تعمیر و مجددا پیکربندی کرد. یا حتی اگر قطعه خراب شده قابل تعمیر نباشد، با استفاده از تجهیزات این اتاق به نوعی میتوان اطلاعات ذخیره شده را استخراج کرد.
۸. - Peer-to-Peer Network
۹. - Client-Server Network
۱۰. - EDI مجموعهای از استانداردها است که مبادله کامپیوتر به کامپیوتر اسناد شغلی را بین خطوط ارتباطی سیستمهای رایانهای شرکتهای مختلف انجام میدهد.
۱۱. - پیشنویسهای قبلی را میتوان برای نشان دادن عناصر مذاکره یا شرایطی که در طول مذاکرات با آنها موافقت شده اما در نسخه اجرایی تواقفنامه وجود عینی ندارند، مورد استفاده قرار داد.
۱۲. - بررسی فرمولها و بهینهسازی برنامهها، باعث پیدایش پیشفرضهایی ضمنی میشود که جهت نیل به نتیجه یا برآمد مشخص بکار میروند و موجب فهمی بهتر از روابط بین عناصر دادههای مختلف میشود و این امکان را فراهم میآورد که سناریوهای جایگزین مختلفی را مورد بررسی قرار دهیم.
۱۳. - سیستم مدیریت اسناد معمولاً این ویژگی برجسته را دارد که زمان و شخصی را که از اسناد خاصی بازدید کرده یا آنها را اصلاح کرده، ردیابی و کنترل میکند.
۱۴. - در این خصوص، نامههای الکترونیکی بسیار خطرناک هستند. زیرا برخلاف دیگر نوشتارهای ارتباطی رسمی، فرد مینشیند و آنچه را که فکر میکند مینویسد و میفرستد. مکاتبات الکترونیکی بین دو فرد همتا درباره مشکلات سازمان، معمولاً رُک هستند. معمولا مردم در خلوتگاهها چیزهای نامربوط زیادی به هم میگویند. همچنین از پست الکترونیکی میتوان برای شایعهپراکنی خصوصاً در اخراجهای غیرمنصفانه استفاده کرد. عامل دیگری که پست الکترونیکی را خطرناک میسازد، این است که برخلاف تصور بسیاری از افراد، نامههای الکترونیکی برای دورههای زمانی طولانی ذخیره شده و پاک نمیشوند.
۱۵. - به عنوان مثال، اکنون چند برنامه PC موجود است که افراد را در تهیه پیشنویس بازبینیهای اجرایی راهنمایی میکنند. (مانند برنامه Manage Pro از شرکت Advantos performance Systems )
۱۶. - در یک دعوای مسئولیت ناشی از تولید، شکایت مشتری یا پایگاههای دادههای حمایت فنی، میتواند در نشان دادن اینکه چه زمانی شرکت از عیب یا مشکل محصول خود مطلع شده، بسیار مفید باشد. سوابق خدماتی یا اسناد راجع به قسمتهای مختلف میتواند میزان خرابی مکرر آن قطعه یا محصول را تشخیص دهد. بعد از شناسایی پایگاههای داده مربوطه، باید از شکل اسنادی که مورد استفاده قرار میگیرد سوال شود تا سوالات راجع به محصول بتواند فهرستی از زمینههای مرتبط را دربرگیرد. فهرستی از گزارشات استاندارد که از این پایگاهها تهیه میشود، باید تعیین و تایید گردد. همچنین میتوان از برنامههای گزارش شخص ثالث نیز برای تهیه گزارشهای سفارشی استفاده کرد.
۱۷. - توجه داشته باشید که بعضی برنامههای تقویمی (گاهشماری) به طور خودکار اطلاعاتی را که از حد زمانی مشخصی قدیمیتر شدهاند را از فایل تقویم اصلی به فایل آرشیو منتقل میکنند و/یا اینکه به کاربر اختیار میدهند تا اطلاعات قدیمیتر را حذف کند.
۱۸. - موضوعات نمایشی را میتوان در یک نمایشگاه فروش ارایه داد. این ارایه میتواند توسط هر یک از طرفین و خارج از توافقنامه کتبی صورت گیرد.
۱۹. - یک فایل قابل دریافت حسابهای طرف مقابل، مشتریان گذشته شرکت را فهرستبرداری میکند. از این فایل میتوان در یک منازعه قراردادی جهت حمایت از این ادعا که شرکت تجربه و صلاحیت کافی در اجرای قراردادهای خود و انجام بعضی پروژهها نداشته است، استفاده کرد. در یک مورد مسوولیت ناشی از تولید، بررسی پرداختهای انجام شده به مشتریان ناراضی میتواند بیانگر این باشد که طرف مقابل از آن مشکل آگاهی داشته است.
۲۰. - طرحهای ذخیره شده در برنامههای ساخت و تولید CAD/CAM میتواند بیانگر موارد ذیل باشد: چگونه یک محصول طراحی میشود، دوام و استحکام آن، طرحهای دیگری که مدنظر بوده اما برای ساخت انتخاب نشدند، و گاهشناسی فرآیند طراحی.
۲۱. - رسیدهای ترابری در دادخواهی به قصد مطالبه خسارت، عامل موثر و مفیدی محسوب میشوند. همچنین بعضی شرکتهای بزرگ حمل و نقل از سیستمهایی استفاده میکنند که حرکت یک کامیون خاص را در زمان واقعی رهگیری میکنند. در بیشتر موارد، این اطلاعات به شکل الکترونیکی ذخیره و بایگانی میشوند.
۲۲. - اکثر سیستمهای تلفنی شغلی، اطلاعاتی را در رابطه با مکالمات تلفنی ضبط و نگهداری میکنند. مانند هویت فرد تلفنکننده، تلفن شونده و مدت مکالمه. همچنین نوع آنالوگ یا دیجیتالی بودن تلفن (یعنی مکالمه از طریق مودم) را نیز مشخص میکنند.
۲۳. - برای فرستادن پیام به پیجرها مدتی بود که از نرمافزار مبتنی بر PC استفاده میشد. این نرمافزار معمولاً یک لوگ فایل ایجاد میکند که در آن تاریخ و زمان پیج، فرد پیج شونده و کل متن پیام ارسال شده را ذخیره مینماید.


۲۴. - نرمافزار مدیریت پروژه خصوصاً در نشان دادن اقدامات پیشگیری یا ایمنی که متعاقباً برچیده میشوند تا در پول و وقت صرفهجویی شود، میتواند مفید باشد. بعضی برنامهها مانند Microsoft Project به کاربران این امکان را میدهد که اطلاعات پروژه (baseline) را برای مقایسه با نسخه موجود، ذخیره کنند.
۲۵. - بسیاری از کاربران ویندوز، هنوز برای اجرای بعضی عملیاتهای خاص، مایلند از برنامه ’drop to Dos‘ استفاده کنند. اما امروزه برنامههای زیادی تحت عنوان ’Dos Shell‘ برای تسهیل این کار وجود دارد. بسیاری از کاربران نیز بعضی فرمانهای تاریخی Dos را دنبال میکنند. به عنوان مثال، برنامه Praxim ، کار پیمایش (Scrolling) را از طریق ۳۰ فرمان متوالی، که منتشر شده بود، انجام میدهد. از این دستورات برای نشان دادن دلایل و مدارکی در رابطه با کپیبرداری و حذف فایل، استفاده میشود.
۲۶. - چنین برنامههایی میتواند فایلهای صوتی ـ شنیداری ایجاد کنند که در آنها ضبط آخرین دیکته موجود میباشد. همچنین این فایلها حاوی فهرستی از واژگان سفارشی میباشد که توسط کاربر به سیستم اضافه شدهاند.
۲۷. - برگرفته از کتاب «داستان جنگ» نوشته جان بری هیل از موسسه رسیدگی جنایی به موضوعات کامپیوتری
۲۸. - برای اینکه شرکتها ثابت کنند دادههای الکترونیکی از زمان تولیدشان تغییری نکرده است، باید یکسری روشکارهای خاص و مکانیسمهای کنترل دسترسی به دادهها را تدوین کرده و توسعه دهند.
۲۹. - یک سیستم مدیریت اسناد، به صورت بالقوه دارای ممیزی یا لوگ فایلهایی است که میتواند فهرستی از اسناد و مدارک تولید شده، حذف شده، تغییر یافته یا بازدید شده در طول یک دوره زمانی خاص را نشان دهد.
۳۰. - به عنوان مثال، لوگ موجود از یک خط حذف شده یا پیام الکترونیکی پاک شده، میتواند بطور بالقوه نسبت به پیام اصلی بسیار بیشتر دالّ بر مجرمیت باشد.
۳۱. - audit trails
۳۲. - مطمئن شوید که نام فایل تغییر نیافته است و دیسک و زیرشاخهای را که فایل در آن ایجاد شده است، به طور دقیق تعیین نمایید. هر یک از این موارد میتواند اطلاعات مهمی را در رابطه با فایل منتقل نماید.
۳۳. - به عنوان مثال، سیستم عامل ویندوز، تاریخ و زمانی که هر فایل ایجاد میشود، تغییر مییابد یا برای آخرین بار به آن دسترسی یافته را نشان میدهد. در خصوص ویندوز ۹۵ و نگارشهای بعدی آن، این اطلاعات را با انتخاب قسمت مندرجات فایل، file’s " Properties " ، میتوان دید.


* فصل ۴ - کشف منابع پنهان ادله الکترونیک

۴ـ۱ـ فایلها و شاخههایی (۱)که با علامت «پنهان» مشخص شدهاند
بررسی یک دیسک کامپیوتری جهت کشف فایلها، باید شامل تفتیش همه فایلها از جمله فایلهای پنهان نیز بشود. معمولاً این ویژگی از آن جهت مورد استفاده قرار میگیرد که بعضی فایلهای سیستم از معرض دید عمومی پنهان بماند. (۲)فایلهایی که با علامت «پنهان» مشخص شدهاند، در فهرست شاخههای معمولی دیده نمیشوند. همچنین میتوان کل یک شاخه فرعی را مخفی نگه داشت و آن را از دید معمولی پنهان کرد. (۳)
با اینحال، اگر از نرمافزار خاصی برای بازرسی فایلها و شاخههای پنهان استفاده کنیم، میتوان آنها را آشکار کرد و بطور معمول بر روی یک نوار به عنوان بخشی از نسخه پشتیبان سیستم، نسخهبرداری کرد. در
ویندوز ۹۸، میتوان فایلها و شاخههای پنهان را با تغییر در تنظیمهای default بر روی نرمافزار windows explorer، قابل رویت کرد .

همچنین، گاهی اوقات در اثر شات داون نامناسب یک سیستم رایانهای (خصوصاً یک سیستم مبتنی بر ویندوز/ داس)، ممکن است جدول تخصیص فایل (FAT) به طور مناسب بر روی دیسک سخت روزآمد نشود و در نتیجه آن بعضی فایلها، یا قسمتی از آنها و حتی ارجاعات به شاخه «ناپدید» شوند. بعضی برنامههای کاربردی (از قبیل SCANDISK در ویندوز)، آن قسمت از دادههای دیسک سخت را که دیگر از طرف FAT به آنها اشارهای نمیشود، مورد جستجو و شناسایی قرار میدهند. در این صورت، کاربر مختار است چنین دادههایی را «حذف» کند یا آنکه آنها را با دادن یک اسم فایل نظیر FILE۰۰۰۰.CHK در شاخه اصلی (یعنی “C:\”) ذخیره نماید.


۴ـ۲ـ اطلاعات «حذف شده» در تجهیزات ذخیرهساز کامپیوتری
الف) سطل بازیابی (۵)
بسیاری از سیستمهای عامل میکروکامپیوتر، مانند Microsoft’s Windows ، از Recycle Bin ، trash can یا تسهیلات مشابه برای نگهداری فایلهای «حذف شده» استفاده میکنند. این فایلها به طور موقت در اینجا نگهداری میشوند و در صورت لزوم به آسانی میتوان آنها را بازیابی کرد. مقدار فضایی که در دیسک برای این کارکرد اختصاص مییابد، معمولاً محدود بوده و فایلهای حذف شده جدید که اضافه میشوند جای فایلهای قدیمی را میگیرند. Recycle bin را میتوان به گونهای تنظیم کرد که به طور خودکار بعد از یک دورهی زمانی معین یا بعد از اینکه درصد خاصی از دیسک سخت پر شد، فایلها را پاک کند. خود کاربر هم میتواند بر اساس نیاز یا به طور گزینشی فایلها را از آن پاک نماید. اگر این قسمت از کار بیفتد، فایلهای موجود در آن بلافاصله پاک میشوند.


بعضی نرمافزارهای کاربردی خاص، یک recycle bin در سطح ثانویه نیز ایجاد میکنند که به طور موقت نسخههایی از فایلهای حذف شده را نگهداری میکند. این نوع برنامهها، فولدر جدیدی را در درایو سخت کامپیوتر ایجاد میکنند و چنانچه فایلی حذف شد (حال با یک خط دستور در یک کاربری ۱۶ بیتی یا از طریق خالی کردن recycle bin) آن را قبل از آزاد کردن، برای مدتی معین در آن فولدر ذخیره میکنند. در چنین حالتی، معمولا فایلهای حذف شده را میتوان با اطمینان و به طور کامل بازیابی نمود.
ب) فایلهای حذف شدهای که رویهمنویسی نشدهاند
فایلهایی که در سیستم فاقد recycle bin یا تسهیلات مشابه حذف میشوند (همچنین فایلهایی که از recycle bin حذف میشوند) را هنوز میتوان بازیابی نمود و آن به خاطر ماهیت مکانیسم ذخیرهسازی دیسک کامپیوتری میباشد. برای درک این موضوع که چگونه این امر ممکن است، بهتر است روند ذخیرهسازی فایلها در سیستم کامپیوتری را مورد بررسی قرار دهیم.


فضای ذخیرهساز موجود در دیسک سخت کامپیوتر یا فلاپی دیسک به واحدهای ذخیرهساز مختلفی تقسیم میشود که بخش (۶) نامیده میشود. (۷) به مجموعه این بخشها ـ که معمولاً به صورت بستههای ۲ تا ۸تایی درآمدهاند، «خوشه» (۸)میگویند. (۹)به این ترتیب، به فایلهای موجود در واحدهای این خوشهها فضایی جهت ذخیرهسازی اختصاص مییابد. معمولاً یک فایل خیلی کوچک، برای یک خوشه مستقل مناسب است. اما عموما برای ذخیرهی محتویات یک فایل کامل و بزرگ، به خوشههای چندگانه نیاز است. شاخه جدول تخصیص فایل (۱۰)، برای نگهداری نامهایی که به هر فایل اختصاص یافته و همچنین ردیابی خوشههای ذخیرهساز مورد استفاده هر فایل، بکار میرود.


زمانی که یک فایل از دیسک سخت کامپیوتر یا فلاپی حذف میشود، در حقیقت آن فایل پاک نشده است. بلکه اطلاعات ذخیره شده در FAT روزآمد شده و این نشان میدهد واحدهای فضای ذخیرهسازی که مورد استفادهی فایل حذف شده بودند، اکنون برای استفاده مجدد جهت ذخیره دادههای متعلق به فایلهای جدید آماده هستند. (۱۱)


دلیل اینکه فایل واقعا در طی عملیات حذف، پاک نمیشود این است که دادههای روی رسانه ذخیرهساز مغناطیسی فقط در صورتی پاک میشوند که دادههایی جدید بر روی دادههای قدیمیتر ثبت شوند. این عمل، زمان واکنش و اجرای سیستم رایانهای را تحت تاثیر قرار میدهد. بنابراین، زمانی که فایل حذف میشود، به این معنا نیست که واقعاً پاک شده و دیگر دسترسی به آن ممکن نیست؛ بلکه مدخل آن فایل در FAT با علامت حذف شده مشخص میشود و آن مجموعه فضای ذخیرهسازی که قبلاً برای ذخیره محتویات فایل حذف شده استفاده میشد، برای استفادهی مجدد آماده میشود.


بنابراین، در بسیاری موارد، برای بازیابی تمام یا قسمتی از فایل حذف شده، در صورتیکه تمام یا قسمتی از مجموعههای فضای ذخیرهسازی که قبلاً مورد استفادهی آن فایل محذوف بوده رویهمنویسی نشده باشد، میتوان از فرمان UNDELETE یا یک برنامه نرمافزاری خاص استفاده کرد و آن فایل را بازیابی نمود. (۱۲) همانطور که پیش از این ذکر شد، در بعضی موارد، کامپیوتر میتواند با استفاده از یک نرمافزار، به طور خودکار همه فایلهای حذف شده را به یک مکان ذخیرهساز خاص انتقال دهد. در این مکان به راحتی میتوان فایلهایی را که به طور اتفاقی حذف شدهاند را از سر فرصت بازیابی نمود. (۱۳) آنگاه فضای ذخیرهساز اشغال شده توسط این فایلها آزاد میشود و از آن میتوان به ترتیب اولویت حذف و اضافه، فایلهای جدید را ذخیره نمود. امروزه سیستمهای عامل بسیاری اینگونه تسهیلات بازیابی را بطور معمول و متداول فراهم میآورند. (۱۴)


حتی زمانی که تمام خوشههای ذخیرهساز مورد استفاده مجدد قرار گرفتند، گاهی اوقات این امکان وجود دارد که بقایای فایلهای قدیمی را بازیابی نمود. زیرا دادههایی که در آخرین خوشه مورد استفاده فایل ذخیره میشوند، بندرت به طور دقیق تمام خوشه را پر میکنند. (۱۵) بنابراین، اگر دادههایی که توسط فایل جدید در آخرین خوشه ذخیره میشوند، کوتاهتر از دادههایی که توسط فایل قدیمیتر بر آن ذخیره شدهاند باشد، این امکان وجود دارد که بقایای فایل حذف شده در آن خوشه موجود باشد. (۱۶)


این امکان وجود دارد که آخرین خوشه ذخیرهساز مورد استفاده توسط فایل جدید، همان آخرین خوشهی مورد استفاده توسط فایل حذف شده نباشد. در نتیجه، این خوشه به طور کامل توسط دادههای فایل حذف شده، پر شده است. (۱۷) اگر به طور متوسط، دادههای فایل جدید نیمی از خوشه را پر کرده باشند، آنگاه نیم دیگر آن هنوز دارای دادههای فایل قدیمی است. میزان اطلاعاتی که به طور متوسط میتوان بازیابی کرد، بین ۵۱۲ تا ۲۰۴۸ بایت متغیر است. (۱۸)اگر رمزهای شکلدهی پردازش واژه را هم به حساب آوریم، حجم آن به یک چهارم صفحه تا یک صفحه کامل میرسد.


مسالهای اصلی احتمالاً باید فایلهای حذف شدهای باشد که هنوز قابل بازیابی هستند. اطلاعاتی که از انتهای مجموعه واحدهای ذخیرهساز مورد استفاده مجدد قرار گرفته، بازیابی میشوند، معمولاً کوچک هستند و ذخیرهسازی مجدد آنها در چهارچوب دیگری به آسانی چهارچوب اولیه خودشان نمیباشد. به علاوه، استفادهی فزاینده از سیستمهای عامل جدیدی که اطلاعات را به صورت فشرده در زمان واقعی ذخیره میکنند، (۱۹) همچنین قابلیت بعضی سیستمهای عامل شبکه (۲۰)در پاک کردن اطلاعات حذف شده و توانمندی سیستمهای عامل شبکههای جدید (۲۱)در تخصیص زیرمجموعههای واحدهای دیسک در سرورهای فایل، این معنا را دربرخواهد داشت که قابلیت بازیابی اطلاعات سودمند کاهش یافته است.


همین پتانسیل بازیابی دادهها در خصوص فلاپی یا دیسک سخت کامپیوتری که مجدداً فرمت شده نیز میتواند صحیح باشد. در بسیاری موارد، برای بازیابی فایلهایی که قبلاً در عملیات فرمتسازی مجدد وجود داشتهاند (با این فرض که خوشههای ذخیرهساز مورد استفادهی قبلی این فایلها، از آن زمان دیگر مورد استفاده قرار نگرفتهاند)، معمولا یک برنامه نرمافزاری که سیستم عامل آن را فراهم میآورد یا توسط یک شخص ثالث فروخته میشود، موجود است. (۲۲) حتی زمانی که عملیات «فرمت نکردن» ممکن نمیباشد، این امکان همچنان وجود دارد که با استفاده از یک برنامه نرمافزاری خاص تحت عنوان ویراستار دیسک، به جستجوی اطلاعات پرداخت.


در مواردی که حتی فایل و دادههایش به طور کامل پاک شدهاند، میتوان نسخههای قدیمی نام فایل را بازیابی کرد. قبل از ویندوز ۹۵، هنگام نامگذاری مجدد یک فایل، نام جدید به طور خودکار روی نام قدیمی موجود در شاخه، رویهمنویسی میشد. با ظهور ویندوز ۹۵، نامگذاری مجدد یک فایل مستلزم ایجاد یک مدخل شاخه جدید شده و نام قدیمی به عنوان یک فایل پاک شده تلقی گردید که فقط حرف اول آن رویهمنویسی میشد. به این ترتیب، نام قدیمی فایل در شاخه FAT باقی میماند و تا زمانی که رویهمنویسی نمیشد قابل بازیابی بود. اما بعد از آن مدخل شاخه برای ذخیره فایل جدید آماده بود. (۲۳)


دیگر منبع بالقوه دادهها، رسانههای ذخیرهساز دیسک میباشد که به طور صحیح کار نمیکنند. دیسکتی که بر روی یک درایو دیسک با تحمل پائین قابل خواندن نیست و در هنگام خواندن، پیام اشتباه میدهد، ممکن است حداقل قسمتی از آن بر روی درایو دیسک دیگری قابل خواندن باشد. اگر دیسک سختی شکسته به نظر میآید و به طور کامل قابل خواندن نیست یا نقص مزبور ناشی از کنترلکننده مدارات میباشد، میتوان آن قسمت را تعویض کرد. حتی اگر آسیب وارده در حد ضربه مغزی جدی باشد، میتوان اطلاعات آن را با استفاده از سرویسهای قابل بازیابی دیسک سخت ثالث، مطالعه کرد.
شانس دیگری که ممکن است در اینجا به وجود آید، مربوط به اطلاعاتی میشود که در ناحیهای از رسانه ذخیرهساز دیسک نوشته میشود که بعداً تا حدودی دچار آسیب میشود. چنین ناحیههایی از طرف سیستم عامل به عنوان ناحیه غیرقابل استفاده یا «آثار بد» مشخص میشوند. اطلاعات این ناحیه حتی با فنون رویهمنویسی نیز پاکشدنی نیستند.


همچنین حتی در صورت خرابی قسمتی از رسانه ذخیرهساز یا فساد FAT ، اطلاعات قابل خواندن هستند. زمانی که به علت خرابی در دیسک، یک یا چند بخش ذخیرهساز اطلاعات قابل خواندن نمیباشد، برای کپیبرداری از فایل، از یک برنامه کاربردی خاص استفاده میشود. حتی اگر FAT نیز فاسد شود، فایلها دست نخورده باقی میمانند. (۲۴)در چنین حالتی، برای تفتیش و بازیابی واحدهای مختلف فایل موردنظر، از ویراستار دیسک استفاده میشود. همچنین میتوانیم برای تعمیر و بازگرداندن حالت اولیه دیسک صدمه دیده، از یک برنامه نرمافزاری مانند Power Quest’s lost and Found استفاده کنیم.
تذکر: هنگام بازیابی فایلهای حذف شده توجه داشته باشید که: ۱ـ فایل فعال دیگری که دارای همان نام است، پاک نشود؛ ۲ـ بلافاصله فایل حذف نشده را به یک رسانه ذخیرهساز متفاوت دیگر منتقل نمایید؛ و ۳ـ فایلها را یکی یکی بازیابی کنید، به گونهای که فایلهای بازیابی شده، رویهمنویسی نشوند.


ج)

/ 0 نظر / 40 بازدید