Iranian Bar Associations

ادله الكترونيك Electronic Evidence

(صفحه۲)
فهرست اصلي
فهرست:

  * فصل ۳ - منابع ادله الكترونيك/كجا آنها را بيابيم؟
  * فصل ۴ - كشف منابع پنهان ادله الكترونيك
  * فصل ۵ - چالشهاي پيش روي بررسي ادله الكترونيك
-------------------------------------------------------------

  * فصل ۳ - منابع ادله الكترونيك/كجا آنها را بيابيم؟

فصل ۳
منابع ادله الكترونيك/كجا آنها را بيابيم؟

براي اينكه وكلا و بازرسان تفتيشي جامع از ادله الكترونيك به عمل آورند، لازم است بدانند كه به دنبال چه چيزي هستند و كجا آنها را بيابند. آنها بايد معين كنند كه كدام سيستمهاي رايانهاي وكدام برنامههاي نرمافزاري موجود در آنها، در بردارنده دادههاي الكترونيكي هستند. همچنين لازم است تماميت دادههاي الكترونيكي كشف شده نيز به اثبات برسد.
با اينكه سوالات و مسايلي كه در پي ميآيد، در رابطه با رايانه و ديگر تجهيزات موجود در محيط كار ميباشد، يكسري مسايل مشابه ديگر را نيز بايد در رابطه با تجهيزات تخصصي مورد استفاده در صنعت يا مشاغل خاص، دنبال كرد. مثلاً در يك مورد تخلف پزشكي كه در آن عكسهاي مغناطيسي موسوم به (MRI) توليد ميشود، بهتر است معين شود كه آيا ديگر تصاوير، گرفته شده اما چاپ نشده است يا خير. ممكن است اين تصاوير در واحد MRI يا سيستم بايگاني تصاوير بيمارستان نگهداري شود.
۳ـ۱ـ افراد و جريان كاري بين آنها
الف ـ افراد كليدي و جريان كاري بين آنها را شناسايي نماييد:
۱ـ مشخص كنيد كه چگونه افراد از كامپيوتر خودشان استفاده ميكنند. (۲)
۲ـ منشيها و دستياران را شامل نماييد.
۳ـ به ياد داشته باشيد كه ممكن است اسناد تنظيم شده توسط يك عضو كليدي يا شاهد، در كامپيوتر دستيارش ذخيره شده باشند.
۴ـ سعي كنيد به اين موضوع پي ببريد كه آيا عضو كليدي يا شاهد معمولاً يادداشتها و نامههاي خود را در يك ضبط صوت پياده ميكند يا مستقيماً در تجهيزات رايانه شخصي خود (PC) كه داراي نرمافزار ضبط صوت است، پياده ميكند.
ب ـ فهرستي از همه فايلها يا اسناد توليد يا اصلاح شده توسط افراد ذيربط در يك دوره معين را درخواست نماييد.
ج ـ هويت افرادي كه به اسناد مربوطه دسترسي دارند را مشخص نماييد. همچنين هويت اشخاص ثالثي كه نسخههاي اين اسناد را در اختيار دارند، تعيين نماييد.
د ـ تعيين نماييد چگونه و كجا اطلاعات و اسناد نگهداري، توزيع و تخريب ميشوند:
۱ـ كپيها يا نسخههاي اسناد كجا و در اختيار چه كسي يا كساني ميباشد؟
۲ـ منابع كامپيوتري كه اين افراد به آنها دسترسي دارند؛
۳ـ نوع اتصال يا ارتباطي كه بين اين منابع كامپيوتري و ديگر سازمانها (يعني پست الكترونيكي، شبكه محلي و ...) وجود دارد.
۳ـ۲ـ سختافزار كامپيوتر و ديگر تجهيزات
توليد و توزيع چندين نسخه از ادله الكترونيك كاري آسان ميباشد. در بسياري موارد، اين نسخهها در مكانهاي متعددي وجود دارد، به طوريكه حتي اگر طرف پاسخگو معتقد باشد همه نسخهها قبلاً پاك شدهاند، اما هنوز ميتوان كپي يا نسخههاي ديگري از آن را كشف كرد.
دادخواهان، بازرسان و متخصص جنايي آنها براي اينكه بتوانند استراتژي كشف دادههاي الكترونيكي را تدوين و توسعه دهند، لازم است همه مكانهايي كه احتمال ميرود نسخهاي از اطلاعات مربوطه در آنجا باشد را مدنظر داشته باشند. اين مكانها شامل موارد ذيل ميشود:
ـ كامپيوترهاي شخصي (PC) اداره؛
ـ ديسكتها؛
ـ سرور فايلهاي شبكه يا سيستمهاي رايانهاي بزرگ (Main Frame)؛
ـ كامپيوترهاي شخصي منزل؛
ـ سامانگرهاي جيبي نظير كامپيوترهاي Windows CE و ابزارهاي Palm Pilot؛
ـ ضبط كنندههاي ديجيتالي دستي ؛
ـ ابزارهاي نمايشگر سخنگوي منزل ؛(۳)
ـ كامپيوترهاي مشترك اداري قابل حمل؛
ـ منابع كامپيوتري تحت كنترل خارج از مجموعه شامل موارد ذيل ميشوند:
۱.        نرمفزار يا دادههايي كه نزد شخص يا اشخاص ثالث تا پس از انجام تعهد نگهداري ميشود؛
۲.        نرمافزار يا دادههايي كه نزد اشخاص ثالث مانند پيمانكاران يا مشاوران نگهداري ميشود؛
۳.         نرمافزار يا دادههايي كه توسط اشخاص ثالث به ثبت رسيدهاند؛
۴.        لوگهاي پخش يا انتقال كه بوسيله اشخاص ثالث نگهداري ميشوند (يعني شركتهاي سازندهي پيجر، شركتهاي تامين خدمات خطوط تلفن كابلي يا بيسيم)؛
۵.        پست الكترونيكي يا شاهراههاي ارتباطي ؛(۴)
۶.        پيجرها (Pagers) و تلفنهاي بيسيم ؛(۵)
۷.        ماشينهاي فاكس يا سِروِرهاي فاكس شبكه ؛(۶) يا
۸.        نسخههاي پشتيبان منابع فوقالذكر.
بنابراين بهتر است اين سيستمهاي رايانهاي را از جهات ذيل مورد بررسي قرار دهيم: ساخت و مدل كامپيوتر، سيستم عامل مورد استفاده، برنامههاي كاربردي نصب شده، نام متصديان يا مديران، روشهاي تهيه نسخه پشتيبان قابل اجرا، حفاظت از رمز عبور و ديگر مكانيسمهاي امنيتي و تاريخ نگهداري.
علاوه بر اين، گاهي اوقات سيستمهاي رايانهاي يا اجزاي تشكيل دهندهي آنها در محدوده سازمان جابجا ميشوند يا به علت خرابي جايگزين ميگردند. (۷) بنابراين لازم است تاييد شود سيستمهايي كه احتمالا تحت تفتيش قرار ميگيرند، واقعا همان تجهيزاتي هستند كه در آن دوره زماني مورد نظر به كار گرفته شدهاند. بسياري از سازمانها بر روي هر كامپيوتر يك برچسب شماره اموال ميزنند تا به راحتي آن را در گزارشات داراييهاي تثبيت شده رديابي كنند.
كامپيوترهاي شخصي اطلاعات را در مكانهاي مختلفي ذخيره ميكنند كه از آن جمله ميتوان به مكانهاي ذيل اشاره كرد:
ـ حافظه با دستيابي تصادفي يا RAM كه با هر بار خاموش و روشن كردن مجدد كامپيوتر، پاك ميشود (اما در زمان توقيف رايانه اين حافظه ميتواند داراي اطلاعات مفيدي باشد)؛
ـ ديسكهاي سخت (يكي يا بيشتر)؛
ـ رسانه ذخيرهساز قابل جابهجايي (مانند فلاپي ديسكها، سيديرامها، نوارها و كارتريجها)؛ و
ـ حافظه CMOS كه اطلاعات پيكربندي كامپيوتر از جمله كلمات عبور را در خود ذخيره ميكند.
با اتصال كامپيوترهاي مختلف به يكديگر ميتوان يك شبكه تشكيل داد. دو نوع شبكه وجود دارد. در نوع اول يك كامپيوتر به كامپيوتر ديگر متصل ميشود و اصطلاحاً آن را شبكه نظير به نظير ميگويند. چنين شبكههايي داراي سِروِر فايل مركزي نيستند. فايلها را ميتوان بر روي ديسكهاي سخت هر يك از كامپيوترهاي متصل به شبكه ذخيره كرد. در نتيجه، براي كشف و بازيابي دادهها، بايد ديسك سخت تمام كامپيوترهاي متصل به شبكه، يا حداقل آنهايي را كه از طريق كارمندان ذيربط قابل دسترسي به شبكه هستند، تفتيش كرد.
شبكه نوع دوم اصطلاحاً مشتري- سرور (۹) ناميده ميشود. در اين شبكه تمام كامپيوترها به يك كامپيوتر مادر يا سِروِر متصل ميشوند. اين نوع شبكه داراي يك يا چند سِروِر فايل مركزي ميباشد. كاربران ميتوانند فايلها را بر روي سرور مركزي يا ديسك سخت كامپيوتر داخليشان ذخيره نمايند. فرآيند كشف در اين شبكه (كه متداولترين كاربرد را دارد) نيازمند بررسي همه ديسك سختهاي كامپيوترهاي داخلي مورد استفاده كارمندان ذيربط ميباشد. همچنين سِروِرهايي كه كارمندان به آنها دسترسي دارند را نيز بايد تفتيش نمود. چنانچه سازمان در مكانهاي مختلف شعبه داشته باشد، در صورتي كه كاربران از طريق يك شبكه سراسري تحت پوشش قرار داشته باشند، بايد سرور فايل شعب مذكور را نيز مورد بررسي قرار داد.
در راستاي توجه به موقعيتهاي بالقوه ذخيرهي ادله الكترونيك، لازم است نگرشي جهاني داشته باشيم و خود را به مكانهاي افراد كليدي طرف مقابل محدود نكنيم. بسياري از سازمانها داراي شبكه پوشش سراسري رايانهاي هستند كه با اتصال به اينترنت يا پست الكترونيكي عمومي و شركتهاي تامين خدمات مبادله دادههاي الكترونيكي (۱۰) ، پوشش ارتباطي خود را وسعت ميدهند.
در رابطه با بازبيني سختافزار كامپيوتر كه ممكن است حاوي دلايل و مدارك مرتبط باشد، لازم است كامپيوتر روميزي كاربردي و همچنين سيستمهاي عامل سِروِر/شبكه را كه در اين سيستمهاي كامپيوتري مورد استفاده قرار ميگيرند را معين نمود.
اگر چه در اينجا تاكيد عمده بر منابع كامپيوتري اطلاعات الكترونيكي است، اما بايد منابع غيركامپيوتري را نيز در نظر داشت. به عنوان مثال، در پروندهاي كه راجع به تصادف يك اتومبيل ميباشد، اطلاعات مفيد را ميتوان در جعبه سياه آن جستجو كرد. اين جعبه حاوي اطلاعاتي در زمينه سرعت اتومبيل، موقعيت فرمان، وضعيت كمربند ايمني و وضعيت ترمزها ميباشد.
۳ـ۳ـ نرمافزار كاربردي (برنامههاي نرمافزاري)
بسياري از شركتهاي بازرگاني، برنامههاي نرمافزاري مختلفي را براي ذخيرهسازي اطلاعات بكار ميگيرند. هر يك از اين برنامهها ميتواند يك منبع بالقوه دلايل به شمار رود. اين برنامهها و نوع اطلاعاتي كه ذخيره ميكنند،عبارتند از:
ـ برنامههاي واژهپرداز (۱۱) و صفحه گسترده (۱۲) (براي تسريع در محاسبه امور مالي)؛
ـ ويژگيها و سيستمهاي مديريت اسناد جهت پيگيري پيشنويسها ؛(۱۳)
ـ پست الكترونيكي ؛(۱۴)
ـ كاربردهاي گروه افزاري (مانند lotus Notes)؛
ـ نرمافزار مرورگر وب مانند Netscape Navigator وmicrosoft Explorer ؛
ـ اسناد و سوابق پرسنل ـ هم اطلاعات و هم سوابق رسمي كه در اختيار سازمان است و هم سوابق و اطلاعات غيررسمي كه در اختيار بعضي مديران خاص ميباشد ؛(۱۵)
ـ پايگاههاي داده ؛(۱۶)
ـ تقويمها ؛(۱۷)
-        فهرستهاي انجام كار يا سيستمهاي ارائه برنامههاي آتي؛
- ابزارهاي پيامگير الكترونيكي تلفن؛
ـ گرافيك و ديگر نرمافزارهاي نمايش چند رسانهاي ؛(۱۸)
ـ سيستمهاي مالي و حسابداري ؛(۱۹)
ـ تحليلها و پيشبينيهاي مالي؛
ـ برقراري ارتباطات EDI با تامينكنندگان و مشتريان؛
ـ سيستمهاي CAD/CAM كه بوسيله كامپيوتر طراحي، ساخت و توليد ميشوند. دادهها و طراحيهاي مهندسي ؛(۲۰)
ـ رسيدهاي ترابري و لوگهاي انتقال ؛(۲۱)
ـ مضبوطات تلفني ؛(۲۲)
ـ پيامهاي پيجر ؛(۲۳)
ـ سيستمهاي نقطه فروش(POS)؛
ـ سيستمهاي زمانبندي و ترتيبدهي مطالب؛
ـ نرمافزار مديريت پروژه ؛(۲۴)
ـ برنامههاي DOS Shell ؛(۲۵)
ـ برنامههاي ديكتهي صدا ؛(۲۶)
-        عمليات اجرايي عمودي اختصاصي در صنعت؛
زماني كه از انواع برنامههاي كاربردي استفاده ميكنيد و اين برنامهها حاوي بعضي دلايل و مدارك مرتبط ميباشند، لازم است كه از بينشي وسيع برخوردار باشيد. به عنوان مثال، زمانيكه كامپيوتر متعلق به يك شخص بچهباز را مورد تفتيش قرار ميدهيد، بديهي است هرزهنگاري كودكان از مدارك مهم به حساب ميآيد. اما از ديگر دلايل و مدارك مهم در اين زمينه ميتوان به مكاتبات شخص با بچهها، لوگهاي دسترسي به خطوط گپ با بچهها، نامهاي مستعاري كه براي فريب بچهها به كار ميبرده، و ... اشاره كرد. حتي بازيهاي كامپيوتري اگر براي اغفال بچهها به كار گرفته شده باشد، از اهميت برخوردارند. گاهي اوقات اين بازيها داراي فهرستي از اسامي بازيگران و امتيازاتشان ميباشد .(۲۷)
۳ـ۴ـ ساير سوالاتي كه مطرح ميشود
ـ چه روشكارهاي رسمي تهيه نسخه پشتيبان وجود دارد؟
ـ چه مكانيسمهاي فني امنيتي براي حفاظت از تماميت اطلاعات ذخيره شده در سيستم رايانهاي موجود ميباشد؟ (۲۸)
ـ چه برنامههاي نگهداري اسناد وجود دارد و آيا اين برنامهها واقعا تا شروع منازعه پايدار ميمانند؟
ـ آيا دادهها بر روي سيستمهاي رايانهاي ذيربط كه بوسيله يك سيستم مديريت اسناد اداره ميشوند، ذخيره شدهاند؟ (۲۹)
ـ چه اطلاعاتي حفاظت شدهاند و چگونه؟
ـ چه اطلاعاتي حفاظت نشدهاند و چرا؟
ـ چه نوع اطلاعات دستيابي، لوگ فايل و رسيدگيهاي مميزي ايجاد شده است؟ (۳۰) آيا كارفرما براي كنترل كاربري كامپيوتر كاركنانش از ابزار يا نرمافزار خاصي استفاده ميكند؟
- همچنين مهم است كه اطلاعاتي در رابطه با قابليت اطمينان سيستمها به دست آوريم. بنابراين، سوالات بايد در رابطه با نمونه ويروسهاي كامپيوتري و رويدادهاي مربوط به دادههاي گمشده يا دسترسي غيرمجاز باشد.
۳ـ۵ـ روشكارها و خط مشي تهيه نسخه پشتيبان
ـ طرف مقابل چه روشكارها و خط مشي رسمي جهت تهيه نسخه پشتيبان اتخاذ كرده است؟
ـ به طور معمول و متداول چند نسخه پشتيبان تهيه ميشود؟
ـ چه نسخههاي پشتيباني در ارتباط با دوره زماني موردنظر، توليد شده است؟
§        آيا دادههاي موجود در اين نسخهها، كماكان قابل دسترسي هستند؟
§        حتي اگر اين دادهها، ديگر قابل دستيابي نباشند، آيا به رسانه فيزيكي كه مورد استفاده قرار گرفته، ميتوان دسترسي پيدا كرد؟
ـ آيا ديگر نسخهها، به عنوان بخشي از نسخه پشتيبان شخصي، غيررسمي يا بر اساس نياز بوجود آمدهاند (مانند ذخيره كردن بر روي نوار يا فلاپي) يا اينكه روي كاغذ پرينت شدهاند؟
ـ آيا نسخههاي ديگري وجود دارد كه خارج از محل ذخيره شده باشند يا اينكه تحت تصرف شركت نباشد؟
ـ از چه تجهيزات سختافزاري و برنامههاي نرمافزاري براي تهيه نسخه پشتيبان استفاده شده است؟
ـ چه نوع لوگ (log) و مسيرهاي مميزي (۳۱)توليد شده است؟
§        آيا اين لوگها هنوز در دسترس ميباشند؟
§        آيا كپي اين لوگها در ديگر نسخههاي پشتيبان نيز ذخيره شدهاند؟ (اين امر جهت اثبات اينكه هيچگونه دستكاري اتفاق نيفتاده، مفيد خواهد بود).
۳ـ۶ـ توليد رسانه الكترونيكي
اگر طرف مقابل نسخههاي دادههاي الكترونيكي را توليد ميكند، بهتر است مطمئن شويم كه:
ـ آيا كپي، نسخه يا پيشنويس الكترونيكي ديگري نيز موجود ميباشد؟
ـ چه كسي به دادهها دسترسي داشته و چه كسي فرصت كرده تا دادهها را تغيير داده يا اصلاح نمايد؟
ـ چه مكانيسمهاي امنيتي و كنترل دستيابي، جهت حفاظت از دادهها وجود دارد؟
ـ اطلاعات راجع به مكان فايلها ؛(۳۲) و
ـ هر نوع اطلاعات راجع به كنترل و پيگيري فايل توسط سيستم عامل .(۳۳)
براي اينكه مطمئن شويم نسخهاي كامل و قابل اطمينان از دادهها بوجود آوردهايم و از زمان توليد اين نسخه تا زماني كه به عنوان دليل و مدرك به دادگاه ارايه ميشود، به آن دادههايي اضافه نشده يا تغيير و حذفي در آن صورت نگرفته، ضروري است كه زنجيرهي حفاظتي دلايل و مدارك را به طور كامل به مرحله اجرا درآوريم.

زيرنويس هاي متن
۱.        - Magnetic Resonance Imaging
۲.         - دادههايي كه به طور گزينشي بر روي ديسكت يا ديگر رسانههاي قابل جابهجايي ذخيره شدهاند را نبايد از نظر دور داشت. كاربران، اغلب نسخههاي پشتيبان فايلها را بر روي فلاپي ذخيره ميكنند. اين نسخهها توليد يا افشاء نميشوند (يعني در فهرست اسناد مندرج در سوگندنامه جاي ميگيرند). زيرا جزء نسخههاي پشتيبان «شخصي» به حساب ميآيند. بنابراين مهم است كه سوالات صحيحي مطرح كنيم.
۳.         - بسياري از اين ابزارها حداقل ۱۰تا ۵۰ يا حتي ۱۰۰ شماره تلفن را كه به محل مزبور زده ميشود، ذخيره ميكنند.
۴.         - يك سرور پراكسي (Proxy) اينترنت ميتواند داراي لوگهاي مفيد يا فعاليتهاي آن لاين (on-line) باشد. همچنين اين سرور نسخههايي را در حافظه نهايي آخرين اطلاعات بازيابي شده، نگهداري ميكند.
۵.         - حافظهي پيجر و برنامههاي شمارهگير سريع كه در تلفن همراه (بيسيم) تعبيه شدهاند را چك كنيد. بعضي تلفنهاي همراه آخرين شمارههاي تلفن دريافت يا زده شده را در خود ذخيره ميكنند. بعضي شركتهاي تامين خدمات تلفن همراه (PCS) ، خدماتي نظير پست صوتي يا دريافت فاكس را نيز ارايه ميدهند.
۶.         - تقريباً همه ماشينهاي فاكس، لوگهاي الكترونيكي دريافت و ارسال پيام را به دست آورده و ذخيره ميكنند. در بيشتر موارد، چنين لوگهايي به طور خودكار ميتوانند شماري از مبادلات انباشت شده را پرينت كنند (و آنها را پاك كنند). همچنين، بسياري از ماشينهاي فاكس از حلقههاي فيلمي استفاده ميكنند كه در فرايند چاپ مورد استفاده قرار ميگيرند. در اين گونه موارد، اينگونه حلقهها ميتواند محتوي نسخهاي از هر آنچه باشد كه بر روي آن ماشين، چاپ شده است كه شامل فاكسهاي دريافت شده، لوگهاي عملياتي و صفحات پنهاني مرتبط با فاكسهاي ارسال شده ميباشد. همچنين بسياري از ماشينهاي فاكس حافظهاي دارند كه خروجيهاي فاكس را در خود ذخيره ميكند. (بنابراين، لازم است فورا در خلال تفتيش اماكن، مورد بررسي و ارزيابي قرار گيرند).
۷.         - در بعضي موارد، حتي ممكن است دادهها را از رسانه ذخيرهساز آسيبديده مانند ديسك سخت بازيابي نمود. بسياري از شركتهاي تامين خدمات بازيابي دادهها، خدمات مفيدي را در اين زمينه ارايه ميدهند: مهندسين آموزش ديدهي ويژه، تجهيزات و يك «اتاق تميز» در اختيار دارند كه در آن ميتوان ديسك سخت آسيب ديده را جدا، تعمير و مجددا پيكربندي كرد. يا حتي اگر قطعه خراب شده قابل تعمير نباشد، با استفاده از تجهيزات اين اتاق به نوعي ميتوان اطلاعات ذخيره شده را استخراج كرد.
۸.         - Peer-to-Peer Network
۹.         - Client-Server Network
۱۰.         - EDI مجموعهاي از استانداردها است كه مبادله كامپيوتر به كامپيوتر اسناد شغلي را بين خطوط ارتباطي سيستمهاي رايانهاي شركتهاي مختلف انجام ميدهد.
۱۱.         - پيشنويسهاي قبلي را ميتوان براي نشان دادن عناصر مذاكره يا شرايطي كه در طول مذاكرات با آنها موافقت شده اما در نسخه اجرايي تواقفنامه وجود عيني ندارند، مورد استفاده قرار داد.
۱۲.         - بررسي فرمولها و بهينهسازي برنامهها، باعث پيدايش پيشفرضهايي ضمني ميشود كه جهت نيل به نتيجه يا برآمد مشخص بكار ميروند و موجب فهمي بهتر از روابط بين عناصر دادههاي مختلف ميشود و اين امكان را فراهم ميآورد كه سناريوهاي جايگزين مختلفي را مورد بررسي قرار دهيم.
۱۳.         - سيستم مديريت اسناد معمولاً اين ويژگي برجسته را دارد كه زمان و شخصي را كه از اسناد خاصي بازديد كرده يا آنها را اصلاح كرده، رديابي و كنترل ميكند.
۱۴.         - در اين خصوص، نامههاي الكترونيكي بسيار خطرناك هستند. زيرا برخلاف ديگر نوشتارهاي ارتباطي رسمي، فرد مينشيند و آنچه را كه فكر ميكند مينويسد و ميفرستد. مكاتبات الكترونيكي بين دو فرد همتا درباره مشكلات سازمان، معمولاً رُك هستند. معمولا مردم در خلوتگاهها چيزهاي نامربوط زيادي به هم ميگويند. همچنين از پست الكترونيكي ميتوان براي شايعهپراكني خصوصاً در اخراجهاي غيرمنصفانه استفاده كرد. عامل ديگري كه پست الكترونيكي را خطرناك ميسازد، اين است كه برخلاف تصور بسياري از افراد، نامههاي الكترونيكي براي دورههاي زماني طولاني ذخيره شده و پاك نميشوند.
۱۵.         - به عنوان مثال، اكنون چند برنامه PC موجود است كه افراد را در تهيه پيشنويس بازبينيهاي اجرايي راهنمايي ميكنند. (مانند برنامه Manage Pro از شركت Advantos performance Systems )
۱۶.         - در يك دعواي مسئوليت ناشي از توليد، شكايت مشتري يا پايگاههاي دادههاي حمايت فني، ميتواند در نشان دادن اينكه چه زماني شركت از عيب يا مشكل محصول خود مطلع شده، بسيار مفيد باشد. سوابق خدماتي يا اسناد راجع به قسمتهاي مختلف ميتواند ميزان خرابي مكرر آن قطعه يا محصول را تشخيص دهد. بعد از شناسايي پايگاههاي داده مربوطه، بايد از شكل اسنادي كه مورد استفاده قرار ميگيرد سوال شود تا سوالات راجع به محصول بتواند فهرستي از زمينههاي مرتبط را دربرگيرد. فهرستي از گزارشات استاندارد كه از اين پايگاهها تهيه ميشود، بايد تعيين و تاييد گردد. همچنين ميتوان از برنامههاي گزارش شخص ثالث نيز براي تهيه گزارشهاي سفارشي استفاده كرد.
۱۷.         - توجه داشته باشيد كه بعضي برنامههاي تقويمي (گاهشماري) به طور خودكار اطلاعاتي را كه از حد زماني مشخصي قديميتر شدهاند را از فايل تقويم اصلي به فايل آرشيو منتقل ميكنند و/يا اينكه به كاربر اختيار ميدهند تا اطلاعات قديميتر را حذف كند.
۱۸.         - موضوعات نمايشي را ميتوان در يك نمايشگاه فروش ارايه داد. اين ارايه ميتواند توسط هر يك از طرفين و خارج از توافقنامه كتبي صورت گيرد.
۱۹.         - يك فايل قابل دريافت حسابهاي طرف مقابل، مشتريان گذشته شركت را فهرستبرداري ميكند. از اين فايل ميتوان در يك منازعه قراردادي جهت حمايت از اين ادعا كه شركت تجربه و صلاحيت كافي در اجراي قراردادهاي خود و انجام بعضي پروژهها نداشته است، استفاده كرد. در يك مورد مسووليت ناشي از توليد، بررسي پرداختهاي انجام شده به مشتريان ناراضي ميتواند بيانگر اين باشد كه طرف مقابل از آن مشكل آگاهي داشته است.
۲۰.         - طرحهاي ذخيره شده در برنامههاي ساخت و توليد CAD/CAM ميتواند بيانگر موارد ذيل باشد: چگونه يك محصول طراحي ميشود، دوام و استحكام آن، طرحهاي ديگري كه مدنظر بوده اما براي ساخت انتخاب نشدند، و گاهشناسي فرآيند طراحي.
۲۱.         - رسيدهاي ترابري در دادخواهي به قصد مطالبه خسارت، عامل موثر و مفيدي محسوب ميشوند. همچنين بعضي شركتهاي بزرگ حمل و نقل از سيستمهايي استفاده ميكنند كه حركت يك كاميون خاص را در زمان واقعي رهگيري ميكنند. در بيشتر موارد، اين اطلاعات به شكل الكترونيكي ذخيره و بايگاني ميشوند.
۲۲.         - اكثر سيستمهاي تلفني شغلي، اطلاعاتي را در رابطه با مكالمات تلفني ضبط و نگهداري ميكنند. مانند هويت فرد تلفنكننده، تلفن شونده و مدت مكالمه. همچنين نوع آنالوگ يا ديجيتالي بودن تلفن (يعني مكالمه از طريق مودم) را نيز مشخص ميكنند.
۲۳.         - براي فرستادن پيام به پيجرها مدتي بود كه از نرمافزار مبتني بر PC استفاده ميشد. اين نرمافزار معمولاً يك لوگ فايل ايجاد ميكند كه در آن تاريخ و زمان پيج، فرد پيج شونده و كل متن پيام ارسال شده را ذخيره مينمايد.
۲۴.         - نرمافزار مديريت پروژه خصوصاً در نشان دادن اقدامات پيشگيري يا ايمني كه متعاقباً برچيده ميشوند تا در پول و وقت صرفهجويي شود، ميتواند مفيد باشد. بعضي برنامهها مانند Microsoft Project به كاربران اين امكان را ميدهد كه اطلاعات پروژه (baseline) را براي مقايسه با نسخه موجود، ذخيره كنند.
۲۵.         - بسياري از كاربران ويندوز، هنوز براي اجراي بعضي عملياتهاي خاص، مايلند از برنامه ’drop to Dos‘ استفاده كنند. اما امروزه برنامههاي زيادي تحت عنوان ’Dos Shell‘ براي تسهيل اين كار وجود دارد. بسياري از كاربران نيز بعضي فرمانهاي تاريخي Dos را دنبال ميكنند. به عنوان مثال، برنامه Praxim ، كار پيمايش (Scrolling) را از طريق ۳۰ فرمان متوالي، كه منتشر شده بود، انجام ميدهد. از اين دستورات براي نشان دادن دلايل و مداركي در رابطه با كپيبرداري و حذف فايل، استفاده ميشود.
۲۶.         - چنين برنامههايي ميتواند فايلهاي صوتي ـ شنيداري ايجاد كنند كه در آنها ضبط آخرين ديكته موجود ميباشد. همچنين اين فايلها حاوي فهرستي از واژگان سفارشي ميباشد كه توسط كاربر به سيستم اضافه شدهاند.
۲۷.         - برگرفته از كتاب «داستان جنگ» نوشته جان بري هيل از موسسه رسيدگي جنايي به موضوعات كامپيوتري
۲۸.         - براي اينكه شركتها ثابت كنند دادههاي الكترونيكي از زمان توليدشان تغييري نكرده است، بايد يكسري روشكارهاي خاص و مكانيسمهاي كنترل دسترسي به دادهها را تدوين كرده و توسعه دهند.
۲۹.         - يك سيستم مديريت اسناد، به صورت بالقوه داراي مميزي يا لوگ فايلهايي است كه ميتواند فهرستي از اسناد و مدارك توليد شده، حذف شده، تغيير يافته يا بازديد شده در طول يك دوره زماني خاص را نشان دهد.
۳۰.         - به عنوان مثال، لوگ موجود از يك خط حذف شده يا پيام الكترونيكي پاك شده، ميتواند بطور بالقوه نسبت به پيام اصلي بسيار بيشتر دالّ بر مجرميت باشد.
۳۱.         - audit trails
۳۲.         - مطمئن شويد كه نام فايل تغيير نيافته است و ديسك و زيرشاخهاي را كه فايل در آن ايجاد شده است، به طور دقيق تعيين نماييد. هر يك از اين موارد ميتواند اطلاعات مهمي را در رابطه با فايل منتقل نمايد.
۳۳.         - به عنوان مثال، سيستم عامل ويندوز، تاريخ و زماني كه هر فايل ايجاد ميشود، تغيير مييابد يا براي آخرين بار به آن دسترسي يافته را نشان ميدهد. در خصوص ويندوز ۹۵ و نگارشهاي بعدي آن، اين اطلاعات را با انتخاب قسمت مندرجات فايل، file’s " Properties " ، ميتوان ديد.
بالا
فهرست اصلي

  * فصل ۴ - كشف منابع پنهان ادله الكترونيك

۴ـ۱ـ فايلها و شاخههايي (۱)كه با علامت «پنهان» مشخص شدهاند
بررسي يك ديسك كامپيوتري جهت كشف فايلها، بايد شامل تفتيش همه فايلها از جمله فايلهاي پنهان نيز بشود. معمولاً اين ويژگي از آن جهت مورد استفاده قرار ميگيرد كه بعضي فايلهاي سيستم از معرض ديد عمومي پنهان بماند. (۲)فايلهايي كه با علامت «پنهان» مشخص شدهاند، در فهرست شاخههاي معمولي ديده نميشوند. همچنين ميتوان كل يك شاخه فرعي را مخفي نگه داشت و آن را از ديد معمولي پنهان كرد. (۳)
با اينحال، اگر از نرمافزار خاصي براي بازرسي فايلها و شاخههاي پنهان استفاده كنيم، ميتوان آنها را آشكار كرد و بطور معمول بر روي يك نوار به عنوان بخشي از نسخه پشتيبان سيستم، نسخهبرداري كرد. در
ويندوز ۹۸، ميتوان فايلها و شاخههاي پنهان را با تغيير در تنظيمهاي default بر روي نرمافزار windows explorer، قابل رويت كرد .
همچنين، گاهي اوقات در اثر شات داون نامناسب يك سيستم رايانهاي (خصوصاً يك سيستم مبتني بر ويندوز/ داس)، ممكن است جدول تخصيص فايل (FAT) به طور مناسب بر روي ديسك سخت روزآمد نشود و در نتيجه آن بعضي فايلها، يا قسمتي از آنها و حتي ارجاعات به شاخه «ناپديد» شوند. بعضي برنامههاي كاربردي (از قبيل SCANDISK در ويندوز)، آن قسمت از دادههاي ديسك سخت را كه ديگر از طرف FAT به آنها اشارهاي نميشود، مورد جستجو و شناسايي قرار ميدهند. در اين صورت، كاربر مختار است چنين دادههايي را «حذف» كند يا آنكه آنها را با دادن يك اسم فايل نظير FILE۰۰۰۰.CHK در شاخه اصلي (يعني “C:\”) ذخيره نمايد.
۴ـ۲ـ اطلاعات «حذف شده» در تجهيزات ذخيرهساز كامپيوتري
الف) سطل بازيابي (۵)
بسياري از سيستمهاي عامل ميكروكامپيوتر، مانند Microsoft’s Windows ، از Recycle Bin ، trash can يا تسهيلات مشابه براي نگهداري فايلهاي «حذف شده» استفاده ميكنند. اين فايلها به طور موقت در اينجا نگهداري ميشوند و در صورت لزوم به آساني ميتوان آنها را بازيابي كرد. مقدار فضايي كه در ديسك براي اين كاركرد اختصاص مييابد، معمولاً محدود بوده و فايلهاي حذف شده جديد كه اضافه ميشوند جاي فايلهاي قديمي را ميگيرند. Recycle bin را ميتوان به گونهاي تنظيم كرد كه به طور خودكار بعد از يك دورهي زماني معين يا بعد از اينكه درصد خاصي از ديسك سخت پر شد، فايلها را پاك كند. خود كاربر هم ميتواند بر اساس نياز يا به طور گزينشي فايلها را از آن پاك نمايد. اگر اين قسمت از كار بيفتد، فايلهاي موجود در آن بلافاصله پاك ميشوند.
بعضي نرمافزارهاي كاربردي خاص، يك recycle bin در سطح ثانويه نيز ايجاد ميكنند كه به طور موقت نسخههايي از فايلهاي حذف شده را نگهداري ميكند. اين نوع برنامهها، فولدر جديدي را در درايو سخت كامپيوتر ايجاد ميكنند و چنانچه فايلي حذف شد (حال با يك خط دستور در يك كاربري ۱۶ بيتي يا از طريق خالي كردن recycle bin) آن را قبل از آزاد كردن، براي مدتي معين در آن فولدر ذخيره ميكنند. در چنين حالتي، معمولا فايلهاي حذف شده را ميتوان با اطمينان و به طور كامل بازيابي نمود.
ب) فايلهاي حذف شدهاي كه رويهمنويسي نشدهاند
فايلهايي كه در سيستم فاقد recycle bin يا تسهيلات مشابه حذف ميشوند (همچنين فايلهايي كه از recycle bin حذف ميشوند) را هنوز ميتوان بازيابي نمود و آن به خاطر ماهيت مكانيسم ذخيرهسازي ديسك كامپيوتري ميباشد. براي درك اين موضوع كه چگونه اين امر ممكن است، بهتر است روند ذخيرهسازي فايلها در سيستم كامپيوتري را مورد بررسي قرار دهيم.
فضاي ذخيرهساز موجود در ديسك سخت كامپيوتر يا فلاپي ديسك به واحدهاي ذخيرهساز مختلفي تقسيم ميشود كه بخش (۶) ناميده ميشود. (۷) به مجموعه اين بخشها ـ كه معمولاً به صورت بستههاي ۲ تا ۸تايي درآمدهاند، «خوشه» (۸)ميگويند. (۹)به اين ترتيب، به فايلهاي موجود در واحدهاي اين خوشهها فضايي جهت ذخيرهسازي اختصاص مييابد. معمولاً يك فايل خيلي كوچك، براي يك خوشه مستقل مناسب است. اما عموما براي ذخيرهي محتويات يك فايل كامل و بزرگ، به خوشههاي چندگانه نياز است. شاخه جدول تخصيص فايل (۱۰)، براي نگهداري نامهايي كه به هر فايل اختصاص يافته و همچنين رديابي خوشههاي ذخيرهساز مورد استفاده هر فايل، بكار ميرود.
زماني كه يك فايل از ديسك سخت كامپيوتر يا فلاپي حذف ميشود، در حقيقت آن فايل پاك نشده است. بلكه اطلاعات ذخيره شده در FAT روزآمد شده و اين نشان ميدهد واحدهاي فضاي ذخيرهسازي كه مورد استفادهي فايل حذف شده بودند، اكنون براي استفاده مجدد جهت ذخيره دادههاي متعلق به فايلهاي جديد آماده هستند. (۱۱)
دليل اينكه فايل واقعا در طي عمليات حذف، پاك نميشود اين است كه دادههاي روي رسانه ذخيرهساز مغناطيسي فقط در صورتي پاك ميشوند كه دادههايي جديد بر روي دادههاي قديميتر ثبت شوند. اين عمل، زمان واكنش و اجراي سيستم رايانهاي را تحت تاثير قرار ميدهد. بنابراين، زماني كه فايل حذف ميشود، به اين معنا نيست كه واقعاً پاك شده و ديگر دسترسي به آن ممكن نيست؛ بلكه مدخل آن فايل در FAT با علامت حذف شده مشخص ميشود و آن مجموعه فضاي ذخيرهسازي كه قبلاً براي ذخيره محتويات فايل حذف شده استفاده ميشد، براي استفادهي مجدد آماده ميشود.
بنابراين، در بسياري موارد، براي بازيابي تمام يا قسمتي از فايل حذف شده، در صورتيكه تمام يا قسمتي از مجموعههاي فضاي ذخيرهسازي كه قبلاً مورد استفادهي آن فايل محذوف بوده رويهمنويسي نشده باشد، ميتوان از فرمان UNDELETE يا يك برنامه نرمافزاري خاص استفاده كرد و آن فايل را بازيابي نمود. (۱۲) همانطور كه پيش از اين ذكر شد، در بعضي موارد، كامپيوتر ميتواند با استفاده از يك نرمافزار، به طور خودكار همه فايلهاي حذف شده را به يك مكان ذخيرهساز خاص انتقال دهد. در اين مكان به راحتي ميتوان فايلهايي را كه به طور اتفاقي حذف شدهاند را از سر فرصت بازيابي نمود. (۱۳) آنگاه فضاي ذخيرهساز اشغال شده توسط اين فايلها آزاد ميشود و از آن ميتوان به ترتيب اولويت حذف و اضافه، فايلهاي جديد را ذخيره نمود. امروزه سيستمهاي عامل بسياري اينگونه تسهيلات بازيابي را بطور معمول و متداول فراهم ميآورند. (۱۴)
حتي زماني كه تمام خوشههاي ذخيرهساز مورد استفاده مجدد قرار گرفتند، گاهي اوقات اين امكان وجود دارد كه بقاياي فايلهاي قديمي را بازيابي نمود. زيرا دادههايي كه در آخرين خوشه مورد استفاده فايل ذخيره ميشوند، بندرت به طور دقيق تمام خوشه را پر ميكنند. (۱۵) بنابراين، اگر دادههايي كه توسط فايل جديد در آخرين خوشه ذخيره ميشوند، كوتاهتر از دادههايي كه توسط فايل قديميتر بر آن ذخيره شدهاند باشد، اين امكان وجود دارد كه بقاياي فايل حذف شده در آن خوشه موجود باشد. (۱۶)
اين امكان وجود دارد كه آخرين خوشه ذخيرهساز مورد استفاده توسط فايل جديد، همان آخرين خوشهي مورد استفاده توسط فايل حذف شده نباشد. در نتيجه، اين خوشه به طور كامل توسط دادههاي فايل حذف شده، پر شده است. (۱۷) اگر به طور متوسط، دادههاي فايل جديد نيمي از خوشه را پر كرده باشند، آنگاه نيم ديگر آن هنوز داراي دادههاي فايل قديمي است. ميزان اطلاعاتي كه به طور متوسط ميتوان بازيابي كرد، بين ۵۱۲ تا ۲۰۴۸ بايت متغير است. (۱۸)اگر رمزهاي شكلدهي پردازش واژه را هم به حساب آوريم، حجم آن به يك چهارم صفحه تا يك صفحه كامل ميرسد.
مسالهاي اصلي احتمالاً بايد فايلهاي حذف شدهاي باشد كه هنوز قابل بازيابي هستند. اطلاعاتي كه از انتهاي مجموعه واحدهاي ذخيرهساز مورد استفاده مجدد قرار گرفته، بازيابي ميشوند، معمولاً كوچك هستند و ذخيرهسازي مجدد آنها در چهارچوب ديگري به آساني چهارچوب اوليه خودشان نميباشد. به علاوه، استفادهي فزاينده از سيستمهاي عامل جديدي كه اطلاعات را به صورت فشرده در زمان واقعي ذخيره ميكنند، (۱۹) همچنين قابليت بعضي سيستمهاي عامل شبكه (۲۰)در پاك كردن اطلاعات حذف شده و توانمندي سيستمهاي عامل شبكههاي جديد (۲۱)در تخصيص زيرمجموعههاي واحدهاي ديسك در سرورهاي فايل، اين معنا را دربرخواهد داشت كه قابليت بازيابي اطلاعات سودمند كاهش يافته است.
همين پتانسيل بازيابي دادهها در خصوص فلاپي يا ديسك سخت كامپيوتري كه مجدداً فرمت شده نيز ميتواند صحيح باشد. در بسياري موارد، براي بازيابي فايلهايي كه قبلاً در عمليات فرمتسازي مجدد وجود داشتهاند (با اين فرض كه خوشههاي ذخيرهساز مورد استفادهي قبلي اين فايلها، از آن زمان ديگر مورد استفاده قرار نگرفتهاند)، معمولا يك برنامه نرمافزاري كه سيستم عامل آن را فراهم ميآورد يا توسط يك شخص ثالث فروخته ميشود، موجود است. (۲۲) حتي زماني كه عمليات «فرمت نكردن» ممكن نميباشد، اين امكان همچنان وجود دارد كه با استفاده از يك برنامه نرمافزاري خاص تحت عنوان ويراستار ديسك، به جستجوي اطلاعات پرداخت.
در مواردي كه حتي فايل و دادههايش به طور كامل پاك شدهاند، ميتوان نسخههاي قديمي نام فايل را بازيابي كرد. قبل از ويندوز ۹۵، هنگام نامگذاري مجدد يك فايل، نام جديد به طور خودكار روي نام قديمي موجود در شاخه، رويهمنويسي ميشد. با ظهور ويندوز ۹۵، نامگذاري مجدد يك فايل مستلزم ايجاد يك مدخل شاخه جديد شده و نام قديمي به عنوان يك فايل پاك شده تلقي گرديد كه فقط حرف اول آن رويهمنويسي ميشد. به اين ترتيب، نام قديمي فايل در شاخه FAT باقي ميماند و تا زماني كه رويهمنويسي نميشد قابل بازيابي بود. اما بعد از آن مدخل شاخه براي ذخيره فايل جديد آماده بود. (۲۳)
ديگر منبع بالقوه دادهها، رسانههاي ذخيرهساز ديسك ميباشد كه به طور صحيح كار نميكنند. ديسكتي كه بر روي يك درايو ديسك با تحمل پائين قابل خواندن نيست و در هنگام خواندن، پيام اشتباه ميدهد، ممكن است حداقل قسمتي از آن بر روي درايو ديسك ديگري قابل خواندن باشد. اگر ديسك سختي شكسته به نظر ميآيد و به طور كامل قابل خواندن نيست يا نقص مزبور ناشي از كنترلكننده مدارات ميباشد، ميتوان آن قسمت را تعويض كرد. حتي اگر آسيب وارده در حد ضربه مغزي جدي باشد، ميتوان اطلاعات آن را با استفاده از سرويسهاي قابل بازيابي ديسك سخت ثالث، مطالعه كرد.
شانس ديگري كه ممكن است در اينجا به وجود آيد، مربوط به اطلاعاتي ميشود كه در ناحيهاي از رسانه ذخيرهساز ديسك نوشته ميشود كه بعداً تا حدودي دچار آسيب ميشود. چنين ناحيههايي از طرف سيستم عامل به عنوان ناحيه غيرقابل استفاده يا «آثار بد» مشخص ميشوند. اطلاعات اين ناحيه حتي با فنون رويهمنويسي نيز پاكشدني نيستند.
همچنين حتي در صورت خرابي قسمتي از رسانه ذخيرهساز يا فساد FAT ، اطلاعات قابل خواندن هستند. زماني كه به علت خرابي در ديسك، يك يا چند بخش ذخيرهساز اطلاعات قابل خواندن نميباشد، براي كپيبرداري از فايل، از يك برنامه كاربردي خاص استفاده ميشود. حتي اگر FAT نيز فاسد شود، فايلها دست نخورده باقي ميمانند. (۲۴)در چنين حالتي، براي تفتيش و بازيابي واحدهاي مختلف فايل موردنظر، از ويراستار ديسك استفاده ميشود. همچنين ميتوانيم براي تعمير و بازگرداندن حالت اوليه ديسك صدمه ديده، از يك برنامه نرمافزاري مانند Power Quest’s lost and Found استفاده كنيم.
تذكر: هنگام بازيابي فايلهاي حذف شده توجه داشته باشيد كه: ۱ـ فايل فعال ديگري كه داراي همان نام است، پاك نشود؛ ۲ـ بلافاصله فايل حذف نشده را به يك رسانه ذخيرهساز متفاوت ديگر منتقل نماييد؛ و ۳ـ فايلها را يكي يكي بازيابي كنيد، به گونهاي كه فايلهاي بازيابي شده، رويهمنويسي نشوند.
ج) تتمهي دادهها
حتي زماني كه اطلاعات رسانههاي ذخيرهساز مغناطيسي پاك شده باشند و فضاي ذخيرهساز براي ذخيره اطلاعات جديد، دوباره مورد استفاده قرار گرفته باشد، يا حتي زماني كه اين فضا با استفاده از نرمافزار كاربردي WIPE، با دادههايي بيهوده رويهمنويسي شده باشد، بهگونهاي كه نتوان با استفاده از قابليتهاي معمول سيستم آن را بازيابي كرد، باز هم ميتوان اطلاعات قديمي را با استفاده از سختافزار كاربردي ويژه و فنون آزمايشگاهي خاصي مطالعه كرد. اثربخشي اين فنون زماني افزايش مييابد كه رسانه مغناطيسي براي يك مدت مديد يا در درجه حرارت بالا (۱۲۰ درجه فارنهايت يا بيشتر) نگهداري شده باشد؛ يا اينكه اين تجهيزات دچار نقص فني يا مكانيكي شده باشد. مثلاً هِدهاي نگارش/خواندن تنظيم نباشند. در بعضي موارد، با وجود اين نقص باز هم ميتوان تتمه اطلاعات قديمي را خواند. به همين دليل است كه استانداردهاي دولت آمريكا در خصوص پاكسازي اطلاعات ملزم ميكند كه در آن مكان چندين بار رويهمنويسي شود. (۲۵)
براي كسب اطلاعات بيشتر به «راهنماي درك تتمه دادههاي موجود در سيستمهاي اطلاعاتي خودكار»، تهيه شده از طرف «مركز امنيت ملي رايانهاي» مراجعه فرماييد.
۴ـ۳ـ پرينت اِسپولِرها (۲۶)
اكثر سيستمهاي رايانهاي اين قابليت را دارند كه پردازش عمليات چاپ را سريعتر از پرينتر متصلي كه ميتواند واقعا خروجي صفحات چاپ شده را تحويل دهد، انجام دهند. اين امر منجر به شهرت برنامههاي «پرينت اسپولر» شده است. پرينتر اسپولرها كار پرينت را از برنامه كاربردي نرمافزاري ميگيرند و آن را به عنوان يك فايل موقت بر روي ديسك ذخيره ميكنند. به گونهاي كه با اين برنامههاي نرمافزاري گمان ميرود عمليات چاپ تمام شده و رايانه براي انجام عمليات ديگري آماده است. آنگاه پرينت اِسپولر در پشت زمينه وارد عمل ميشود و در كار چاپ بر روي كاغذ، چاپگر را تغذيه ميكند. اين همياري همگام با سرعت پرينتر ميباشد.
در ابتدا، پرينت اسپولرها را به عنوان برنامه ضميمه (مكمل) به كاربران MS-Dos ميفروختند. با ظهور مايكروسافت ويندوز، اين برنامه به سيستم عامل اضافه شد و اكنون به عنوان «مدير چاپ» (۲۷) شناخته ميشود. كار اين برنامه اين است كه هر عمليات چاپ را به عنوان يك فايل موقت ذخيره ميكند. اين فايل بعد از اينكه چاپگر عمليات چاپ مورد نظر را تمام كرد، حذف ميشود. چنانچه فضاي ديسك مجدداً به يك فايل جديد اختصاص نيافته باشد، ميتوان فايلهاي محذوف مورد استفاده مدير چاپ را جستجو كرد. در صورتيكه اين فايلها بازيابي شوند، از آنها ميتوان پرينت مجدد گرفت يا اينكه حداقل آنچه را كه قبلاً چاپ شده را مشخص نمود.
ممكن است بعضي سيستمهاي رايانهاي قديميتر، از يك پرينت اسپولر كه در يك سختافزار خارجي جاي دارد و بين كامپيوتر و چاپگر متصل است، استفاده كنند. در صورتي كه چاپگر آماده چاپ نباشد و فرمان چاپ نيز داده شده باشد، اين ابزار به صورت بالقوه ميتواند عمليات مزبور را انجام دهد. همچنين بعضي پرينترهاي ليزري داراي يك ديسك سخت داخلي هستند كه از آن براي ذخيره تصويري از آنچه كه قرار است پرينت شود، استفاده ميكنند. تا زماني كه ديسك سخت رويهمنويسي نشود، اين اطلاعات در ديسك باقي خواهند ماند.
۴ـ۴ـ سيستم عامل مايكروسافت ويندوز در كامپيوترهاي روميزي
الف) فايل سُواپ (۲۸)
سيستم عامل ويندوز متعلق به شركت مايكروسافت، يكي از متداولترين سيستمهاي عامل مورد استفاده در كامپيوترهاي روميزي است. يكي از ويژگيهاي ويندوز اين است كه از يك فايل معمولاً پنهان به نام «سُواپ» به عنوان يك حافظه موقتي بزرگِ ذخيرهي دادهها استفاده ميكند تا برنامهها را هدايت كرده و دادههايي را كه در فايلهايي كه در حافظه (RAM) جاي نميگيرند، پياده كند. تجزيه و تحليل فايل سُواپ با استفاده از برنامههاي كاربري خاص، ميتواند بخشهايي از اسناد، URLهاي اينترنت، رمزهاي عبور شبكه و د%E
بالا
فهرست اصلي

  * فصل ۵ - چالشهاي پيش روي بررسي ادله الكترونيك

۵ـ۱ـ توليد و درخواستهاي مربوط به اسناد
درخواستهاي مربوط به اسناد بايد مشخص و عاري از هرگونه ابهامي باشند و لازم است كه در آنها به همه منابع احتمالي ادله الكترونيك مرتبط اشاره شود. اين منابع شامل مكانهاي مختلف ذخيرهساز، كامپيوتر و منابع نسخههاي پشتيبان، فايلهاي حذف شده اما قابل بازيابي، بخشهاي آخر نوارها و غيره ميشود. درخواست كننده بايد اين آمادگي را داشته باشد كه در صورت لزوم هم طرف مقابل و هم احتمالاً دادگاه را در خصوص موضوعات فني مربوط به ذخيرهسازي و بازيابي ادله الكترونيك تعليم دهد. همچنين، موضوع آموزش فني طرف مقابل (و مشاور حقوقياش)، براي حوزههاي قضايي كه طرفين را اجبار ميكنند تا فهرست اسناد مربوطه را در سوگندنامهي اسناد فراهم آورند نيز مصداق دارد.
۵ـ۲ـ محرمانگي
اگر لازم باشد كه كشفكننده اقدام به كنترل و بازرسي خودِ منبع الكترونيكي كند، دادگاه ميتواند از طرف مورد بازرسي در برابر محرمانه بودن مطالب غيرقابل كشف و هزينههاي مربوط به آن حمايت كند. دستور حمايتي دادگاه فقط ميتواند به وكيل، كارشناسان و/ يا نمايندگان منتخب طرفين، اجازه بازرسي و افشاء اطلاعات بدهد. از آنجا كه مطالب الكترونيكي حاوي آميزهاي از اطلاعات قابل كشف و غيرقابل كشف است، افشاء كننده ميتواند همه برنامهها يا دادهها را بررسي كند و قسمتهاي قابل طرح را شناسايي نمايد. سپس طرف مذكور ميتواند راجع به قسمتهايي كه غيرقابل كشف تشخيص داده شده است، اعتراض نمايد.
۵ـ۳ـ كلان بودن حجم اطلاعات قابل مطالعه كامپيوتري
حجم اطلاعاتي كه به شكل الكترونيكي ذخيره ميشود، بسيار زياد است. از آنجايي كه قيمت فضاي ذخيرهساز ديسك سخت كامپيوتر به سرعت در حال كاهش است، لذا هزينهي نگهداري اطلاعات قديمي نسبت به صرف وقت يك كارمند جهت حذف اطلاعاتي كه ديگر مورد نياز نيستند، پايينتر بوده و هر روزه اين هزينه به طور فزايندهاي رو به كاهش است.
جداي از آسيبي كه به طور بالقوه بر اطلاعات ذخيره شده الكترونيكي وارد ميآيد، هنگام رسيدگي قضايي به چنين مقادير بزرگي از دلايل و مدارك انباشت شده، حجم بزرگ آنها نيز موجب بروز خسارت مضاعف بر آنها ميشود.
۵ـ۴ـ خلاء سازماندهي
عموما، اطلاعات رايانهاي نسبت به اطلاعات و مدارك كاغذي سنتي كمتر ساماندهي ميشوند. معمولا اسناد كاغذي به صورت پروندههاي شمارهبندي شده بايگاني ميشوند و هر يك داراي كارت شناسايي هستند و نسخههاي اضافي نيز در پروندههايي جداگانه اما مرتبط نگهداري ميشوند. ولي در بسياري موارد، اطلاعاتي كه در سيستمهاي رايانهاي ذخيره ميشوند، به خوبي سازماندهي نميگردند. مثلاً ممكن است نام فايلها داراي اندازهي محدودي باشد يا اينكه اطلاعات توضيحي خوبي براي آنها فراهم نشده باشد.
همچنين، معمولا نوارهاي پشتيبان به طور كامل فهرستبندي نميشوند. اگرچه شايد بتوان نوارهاي پشتيبان را بر اساس تاريخ توليدشان تعيين محل كرد، اما تشخيص اينكه كدام نوار حاوي كدام فايل پشتيبان ميباشد، امري غيرممكن است. حتي اگر از يك سيستم فهرستبندي پيچيده براي كمك به تعيين محل فايلهاي شخصي استفاده كنيم، باز اين سيستم در فرآيند جستجوي اطلاعات موجود در كپيهايِ پشتيبان پايگاههاي دادهها، چندان كارآمد نيست.
۵ـ۵ـ استفاده از رايانه براي كمك به بررسي و بازبيني
هر يك از طرفين بايد اطلاعات و مداركي كه در اختيار يا تحت كنترل دارند را بررسي نموده و ارتباط آنها را با موضوع دادخواهي مورد نظر مشخص كنند. سپس لازم است مطالب مربوطه را از لحاظ دارا بودن امتياز ويژه بررسي نمايند. طرفي كه اسناد و مدارك توليد شده در جريان كشف را دريافت ميكند، بايد آنها را ساماندهي نمايد. ساماندهي يا طبقهبندي اسناد و مدارك با توجه به ميزان مفيد و مرتبط بودن آنها با مورد يا موارد مطروحه ميباشد.
همچنين، هر يك از طرفين ميتوانند در بررسي و بازبيني حجم عظيمي از ادله الكترونيك از كمك يك رايانه نيز بهرهمند شوند. از اين رايانه براي تعيين محل و گروهبندي فايلهايي كه داراي ويژگيهاي مشترك و معين هستند، استفاده ميشود(۱) ؛ ضمن اينكه از آن ميتوان براي تهيه يك فهرست راهنماي تمام ـ متن از تمامي فايلهايي كه داراي كليدواژههاي خاص و ذيربط هستند نيز استفاده كرد. از اين فنون ميتوان در محدود كردن فهرست اسناد احتمالي كه قرار است توسط پرسنل حقوقي بررسي شود، استفاده كرد.
بعضي برنامههاي كاربردي نرمافزاري، داراي كاركردهاي فهرستبندي داخلي ميباشند. در عين حال، بسياري از اينها صرفاً جستجوي سادهاي براي تعيين كليد واژهها و گروههاي واژگاني به عمل ميآورند. در اين راستا، نرمافزار جستجوگري كه پيچيدهتر و تخصصيتر است، از قابليت اطمينان و كارآيي بيشتري برخوردار است. به عنوان مثال، نرمافزارهاي جستجوي تخصصي اين قابليت را دارند كه كاوشهاي بسيار دقيق و نزديك را با اضافه كردن واژگان تخصصي انجام دهند و به طور خودكار با استفاده از فرهنگ واژههاي هم معني و متضاد (تزاروس) به جستجوي مترادفها بپردازد.
۵ـ۶ـ بررسي گونههاي خاص دادهها
الف) دادههاي ديداري ـ شنيداري ديجيتالي
در سالهاي آتي استفاده از دادههاي ديداري ـ شنيداري ديجيتالي شده، در بسياري از مراكز شغلي افزايش پيدا خواهد كرد. كماكان سازمانهاي زيادي كار استفاده از تصاوير ديجيتالي و گنجاندن آنها در پايگاه دادهها(۲) را آغاز كردهاند. همچنين در اين سازمانها استفاده از پيامهاي شنيداري كه مانند پست الكترونيكي مسيريابي ميشوند و از يك كاربر پست صوتي به كاربر ديگر منتقل ميگردند، متداول شده است. پيامهاي ويديويي نيز در آينده متداول ميشود؛ همچنانكه كامپيوترهاي روميزي تقويت ميگردند تا از آنها جهت كنفرانسهاي ويديويي استفاده شود. توضيحات صوتي كه به اسناد واژهپرداز و صفحه گسترده اضافه ميشود، به تدريج به يك حرفه در حال تداوم و عموميت تبديل ميشود.
بنابراين، به زودي بر روي سيستمهاي رايانهاي شغلي، تجهيزات چند رسانهاي مجهز به اسناد متني راهاندازي خواهد شد. برخلاف اطلاعات نوشتاري، تجهيزات چند رسانهاي را نميتوان به طور خودكار فهرستبندي كرد و به جستجوي كليد واژههاي موضوعات مرتبط با دعوايي خاص پرداخت.
اما در عوض، اطلاعات ويديويي يا شنيداري را بايد دوباره با همان سرعتي كه ضبط شدهاند به كار انداخت تا بتوان آنها را از لحاظ مرتبط و دارا بودن امتياز ويژه، مورد بررسي قرار داد.(۳) اگر در زمان توليد دادهها، سيستم طبقهبندي دادههاي چند رسانهاي را در اختيار نداشته باشيم، مشكلات بازرسي اطلاعات در كميتهاي بزرگ به طور قابل ملاحظهاي افزايش پيدا خواهد كرد.
ب ـ قالب اختصاصي، فشرده و رمزگذاري شده
بسياري از برنامههاي كاربردي، دادههايشان را در قالب يك فايل اختصاصي ذخيره ميكنند تا علاوه بر صرفهجويي در فضاي ديسك، دسترسي سريعتر به دادهها را نيز فراهم كنند. اطلاعات ذخيره شده در اين قالبها را نميتوان به آساني با استفاده از نرمافزارهاي جستجوگر عمومي، كه محتواي فايلهاي روي ديسك سخت را از طريق كليد واژههاي تعيين شده جستجو ميكنند، مورد تفحص قرار داد. جستجوي چنين فايلهايي معمولاً به امكانات جستجوي يك نرمافزار خاص محدود ميشود، مگر اينكه برنامهي جستجوگر خاصي براي تقويت قالب فايلِ اختصاصيِ مورد استفاده نوشته شود.
استفاده از نرمافزارهاي فشردهساز براي كاهش ميزان فضاي مورد نياز ديسك جهت ذخيره فايلها يا برنامههايي كه به ندرت در دسترس قرار ميگيرند، به طور فزايندهاي رو به گسترش است. فايلهاي مرتبط به هم زيادي را ميتوان در يك فايل فشرده واحد دستهبندي نمود و كار دسترسي به آنها را آسان كرد.
نرمافزارهاي متداول زيادي، از قبيل PKWARE, Inc.’s PKZIP ، ميتوانند به طور قابل توجهي ميزان فضاي مورد نياز يك فايل خاص را كاهش دهند. اين نرمافزارها به دنبال الگوهايي از فايلها ميگردند و سپس اندازهي آن را از طريق فنون فشرده سازي كاهش ميدهند (مثلاً علايمي را جايگزين دادههاي تكراري ميكنند)(۴) . بعضي نرمافزارهاي فشردهساز، نظير PKZIP، با استفاده از يك رمز عبور اختياري، دادههاي فشرده شده را بيشتر رمزگذاري ميكنند. فايلهاي ذخيره شده در قالبهاي فشرده را نميتوان به آساني جستجو كرد و بايد قبل از جستجو آنها را به حالت اول بازگرداند.
چندين برنامه نرمافزاري متداول از جمله برنامههاي صفحه گسترده و واژهپرداز از فن رمزگذاري در سطوح مختلف استفاده ميكنند. بعضي نرمافزارها براي جلوگيري از ورود غيرمجاز و اتفاقي به فايل، از يك قالب رمزگذاري اختصاصي بهره ميجويند. اما ممكن است نرمافزارهاي شخص ثالثي وجود داشته باشد كه رمزهاي عبوري را كه از ايمني كمتري برخوردارند، از بين ببرند. ديگر برنامهها نيز براي جلوگيري از خواندن مستقيم يك فايل با استفاده از برنامهاي كه آن فايل را ايجاد كرده است، از رمز عبور استفاده ميكنند. هرچند ميتوان با پياده كردن اين فايل در يك برنامهي ديگر به راحتي در آن اختلال ايجاد كرد.
بعضي برنامههاي نرم افزاري قادرند از اشكال ايمنتر رمزگذاري استفاده كنند؛ مانند الگوريتمهاي DES(۵) يا IDEA . بسته به طول كليد رمزگذاري مورد استفاده، دادههايي كه بوسيله اين الگوريتم پيچيدهتر حفاظت ميگردند، معمولاً از لحاظ تجاري قابل نفوذ و بهرهبرداري غيرمجاز نيستند.(۶)
در جريان فرآيند كشف، توليد كننده اسناد ملزم است اطلاعات را در قالبي غيرفشرده و رمزگذاري نشده فراهم آورد تا طرف مقابل بتواند از آن استفاده كند.(۷) زماني كه اطلاعات در يك قالب اختصاصي ذخيره ميشوند و در قالب الكترونيكي توليد ميگردند، ميتوان از توليدكننده خواست كه اطلاعات را در سطح استاندارد صنعتي يا در يك قالب آزاد توليد كند (مانند ASCII) . همچنين ميتوان از توليدكنندهي اسناد خواست از نرمافزار مناسبي كه براي بازديد يا پرينت اطلاعات به كار ميرود، يك كپي تهيه نمايد.(۸) در هر صورت، زماني كه اطلاعات در يك قالب رمزگذاري شده ذخيره ميشود، طرف دعوايي كه اطلاعات را كشف ميكند، اطلاعاتي در خصوص نرمافزار رمزگذاري مورد استفاده و همچنين كشف هويت افرادي كه به كلمات عبور رمزگذاري دسترسي پيدا كردهاند، جمعآوري خواهد كرد.
ج) تصديق صحت و اصالت اسناد و مدارك
ادله الكترونيك نسبت به اسناد كاغذي سنتي، بيشتر در معرض نابودي، دستكاري و دسترسي غيرمجاز قرار دارند. به همين خاطر، لازم است جهت حفاظت از تماميت ادله الكترونيك، تمهيدات امنيتي انديشه شود.
تاريخ و زمان مربوط به ادله الكترونيك كه توسط سيستمهاي عامل Windows/Dos نگهداري و ردگيري ميشود، به آساني قابل تغيير هستند. حتي در اين زمينه بعضي برنامههاي نرمافزاري شخص ثالث وجود دارد كه اينگونه دستكاريها را تسهيل ميكنند (مانند برنامهي Date Edit محصول شركت Ninotech Software). در دعواي شركت ساختماني اليانس و لسيستر عليه قهرماني(۹) ، مدعي عليه با ارايهي نسخه پرينت يك شاخه خاص، دلايل و مداركي دالّ بر بيگناهي خود به دادگاه معرفي نمود. دادگاه نيز چنين تشخيص داد “ بسيار ساده است كه تقويم يا ساعت كامپيوتر را طوري تنظيم كنيم تا چنين به نظر آيد كه در فلان تاريخ يك فايل در ديسك ذخيره بوده است.”. در هر حال، مدارك و شواهد ديگري نيز (خصوصاً ميزان فضاي آزاد ديسك) صحت و اصالت نسخه پرينت شاخه مذكور را زير سوال برد و در نتيجه دادگاه آن را رد كرد.

زيرنويس هاي متن
۱.         - اين ويژگيها مواردي نظير تاريخ توليد فايل، كاربري كه آن را ايجاد كرده و موضوعاتي كه مرتبط با نام آن هستند را شامل ميشود.
۲.         - به عنوان مثال، استفاده از برنامههاي مصورسازي اسناد جهت نگهداري و مديريت آنها به طور روزافزوني افزايش مييابد. اگر اين گونه تصاوير تبديل نشوند يا فهرستبندي نگردند، نميتوان با استفاده از تجهيزات خودكار به جستجوي فايل تصوير اصلي پرداخت.
۳.         - ضبط صوت امر تازهاي نيست. سازمانهاي زيادي هستند كه مكالمات تلفني بين كارمندان و مشتريان خود را ضبط ميكنند. از جمله اين سازمانها ميتوان به بنگاههاي دلالي، شركتهاي بيمه اشاره كرد.
۴.         - اين نرمافزار فايلهاي آرشيو فايلهاي Zip ايجاد ميكند كه در آنها يك يا چند فايل به طور فشرده جاسازي شدهاند. همه ويژگيهاي يك فايل و همچنين ساختار شاخه آن را ميتوان ذخيره نمود.
۵.         - DES به معناي استاندارد رمزگذاري دادهها است و از آن به عنوان يك الگوريتم رمزنگاري جهت حفاظت از دادههاي رايانهاي طبقهبندي نشده، استفاده ميشود. DES توسط موسسه ملي فناوري و استانداردهاي آمريكا ترويج ميگردد.
۶.         - اما بسياري از فروشندگان نرمافزار ترجيح ميدهند كه اشكال بسيار پيچيده رمزگذاري را اجرا نكنند. زيرا نميخواهند محصولاتشان تابع مقررات و محدوديتهاي صادرات آمريكا يا كانادا، كه بر فناوريهاي رمزگذاري اعمال ميگردد، باشد. ديگر فروشندگان از قبيل IBM، در محصولات lotus Notes خود، هم مونتاژ بينالمللي دارند و هم مونتاژ آمريكاي شمالي. در مونتاژ بينالمللي، از سيستم رمزگذاريِ داراي پيچيدگي كمتر استفاده شده است.
۷.         - جهت تاكيد بر چنين الزامي، لازم است قوانين ايالتي آيين دادرسي مدني اصلاح شوند. در ايالات متحده آمريكا، ماده ۳۴(a) «مقررات فدرال آيين دادرسي مدني» ضمن اينكه اسناد را تعريف ميكند، شرطي پيشبيني كرده كه ملزم ميكند «اسناد در صورت لزوم، توسط مدعيعليه و با استفاده از تجهيزات كشف و شناسايي، در قالبي معقول و قابل استفاده ترجمه شوند.». تفسير ذيل توسط كميته مشورتي در مورد اصلاحيه ۱۹۷۰ ماده ۳۴(a) آمده است:«تفسير جامع ‘اسناد’ جهت تطبيق دادن با فناوري متحول امروزي، تجديدنظر ميشود. اين اصلاحيه تصريح ميكند كه ماده ۳۴ به گردآوري دادههاي الكترونيكي مربوط ميشود كه اطلاعات آنها را فقط ميتوان با استفاده از تجهيزات كشف و شناسايي به دست آورد. همچنين زمانيكه كشفكننده فقط بوسيله تجهيزات مدعيعليه ميتواند دادهها را به يك موضوع عملي و قابل كاربرد تبديل كند، در آن صورت مدعيعليه ملزم خواهد شد كه براي ترجمهي دادهها به يك قالب قابل استفاده، تجهيزات خود را به كار اندازد.».همچنين، بخش ۲۰۳۱ (f)(۱)، آئين دادرسي مدني كاليفرنيا كه مقرر ميدارد: «مخاطب درخواست مربوطه، با هزينهي معقول متقاضي، دادههاي ذخيره شدهي الكترونيكي را به يك قالب قابل كاربرد و منطقي، ترجمه ميكند».
۸.         - البته توجه داشته باشيد كه براي انجام اين عمل (تهيه كپي) ممكن است مشكل مجوز داشته باشيد. در عين حال، در نظر داشته باشيد كه آيا دستور دادگاه اجازه چنين كاري را ميدهد يا خير.
۹.         - Alliance and Leicester Building Society v. Ghahremani
بالا
فهرست اصلي