جمعه ٢٤ اسفند ١٤٠٣ ١٢:١٧
کتاب ادله الکترونیکی(Electronic Evidence) قسمت سوم
ترجمه : مصیب رمضانی
این کتاب در سال 1383 توسط کمینه مبارزه با جرایم رایانه ای قوه قضاییه در سال 1382 ترجمه و توسط دبیرخانه شورای عالی اطلاع رسانی کشور منتشر و در همایش ابعاد حقوقی فناوری اطلاعات در خرداد 1383 توزیع گردید. این کتاب 237 صفحه ای که 30 سال پیش نوشته و ترجمه شده هنوز نیز برای خوانندگان جالب است . آن را در چند قسمت تقدیم علاقمندان میکنیم.
فصل 3
منابع ادلة الكترونيك/كجا آنها را بيابيم؟
براي اينكه وكلا و بازرسان تفتيشي جامع از ادله الكترونيك به عمل آورند، لازم است بدانند كه به دنبال چه چيزي هستند و كجا آنها را بيابند. آنها بايد معين كنند كه كدام سيستمهاي رايانهاي وكدام برنامههاي نرمافزاري موجود در آنها، در بردارندة دادههاي الكترونيكي هستند. همچنين لازم است تماميت دادههاي الكترونيكي كشف شده نيز به اثبات برسد.
با اينكه سؤالات و مسايلي كه در پي ميآيد، در رابطه با رايانه و ديگر تجهيزات موجود در محيط كار ميباشد، يكسري مسايل مشابه ديگر را نيز بايد در رابطه با تجهيزات تخصصي مورد استفاده در صنعت يا مشاغل خاص، دنبال كرد. مثلاً در يك مورد تخلف پزشكي كه در آن عكسهاي مغناطيسي موسوم به (MRI) توليد ميشود، بهتر است معين شود كه آيا ديگر تصاوير، گرفته شده اما چاپ نشده است يا خير. ممكن است اين تصاوير در واحد MRI يا سيستم بايگاني تصاوير بيمارستان نگهداري شود.
3ـ1ـ افراد و جريان كاري بين آنها
الف ـ افراد كليدي و جريان كاري بين آنها را شناسايي نماييد:
1ـ مشخص كنيد كه چگونه افراد از كامپيوتر خودشان استفاده ميكنند.
2ـ منشيها و دستياران را شامل نماييد.
3ـ به ياد داشته باشيد كه ممكن است اسناد تنظيم شده توسط يك عضو كليدي يا شاهد، در كامپيوتر دستيارش ذخيره شده باشند.
4ـ سعي كنيد به اين موضوع پي ببريد كه آيا عضو كليدي يا شاهد معمولاً يادداشتها و نامههاي خود را در يك ضبط صوت پياده ميكند يا مستقيماً در تجهيزات رايانه شخصي خود (PC) كه داراي نرمافزار ضبط صوت است، پياده ميكند.
ب ـ فهرستي از همه فايلها يا اسناد توليد يا اصلاح شده توسط افراد ذيربط در يك دورة معين را درخواست نماييد.
ج ـ هويت افرادي كه به اسناد مربوطه دسترسي دارند را مشخص نماييد. همچنين هويت اشخاص ثالثي كه نسخههاي اين اسناد را در اختيار دارند، تعيين نماييد.
د ـ تعيين نماييد چگونه و كجا اطلاعات و اسناد نگهداري، توزيع و تخريب ميشوند:
1ـ كپيها يا نسخههاي اسناد كجا و در اختيار چه كسي يا كساني ميباشد؟
2ـ منابع كامپيوتري كه اين افراد به آنها دسترسي دارند؛
3ـ نوع اتصال يا ارتباطي كه بين اين منابع كامپيوتري و ديگر سازمانها (يعني پست الكترونيكي، شبكه محلي و ...) وجود دارد.
3ـ2ـ سختافزار كامپيوتر و ديگر تجهيزات
توليد و توزيع چندين نسخه از ادلة الكترونيك كاري آسان ميباشد. در بسياري موارد، اين نسخهها در مكانهاي متعددي وجود دارد، به طوريكه حتي اگر طرف پاسخگو معتقد باشد همه نسخهها قبلاً پاك شدهاند، اما هنوز ميتوان كپي يا نسخههاي ديگري از آن را كشف كرد.
دادخواهان، بازرسان و متخصص جنايي آنها براي اينكه بتوانند استراتژي كشف دادههاي الكترونيكي را تدوين و توسعه دهند، لازم است همه مكانهايي كه احتمال ميرود نسخهاي از اطلاعات مربوطه در آنجا باشد را مدنظر داشته باشند. اين مكانها شامل موارد ذيل ميشود:
ـ كامپيوترهاي شخصي (PC) اداره؛
ـ ديسكتها؛
ـ سرور فايلهاي شبكه يا سيستمهاي رايانهاي بزرگ (Main Frame)؛
ـ كامپيوترهاي شخصي منزل؛
ـ سامانگرهاي جيبي نظير كامپيوترهاي Windows CE و ابزارهاي Palm Pilot؛
ـ ضبط كنندههاي ديجيتالي دستي ؛
ـ ابزارهاي نمايشگر سخنگوي منزل؛
ـ كامپيوترهاي مشترك اداري قابل حمل؛
ـ منابع كامپيوتري تحت كنترل خارج از مجموعه شامل موارد ذيل ميشوند:
1. نرمفزار يا دادههايي كه نزد شخص يا اشخاص ثالث تا پس از انجام تعهد نگهداري ميشود؛
2. نرمافزار يا دادههايي كه نزد اشخاص ثالث مانند پيمانكاران يا مشاوران نگهداري ميشود؛
3. نرمافزار يا دادههايي كه توسط اشخاص ثالث به ثبت رسيدهاند؛
4. لوگهاي پخش يا انتقال كه بوسيله اشخاص ثالث نگهداري ميشوند (يعني شركتهاي سازندهي پيجر، شركتهاي تأمين خدمات خطوط تلفن كابلي يا بيسيم)؛
5. پست الكترونيكي يا شاهراههاي ارتباطي؛
6. پيجرها (Pagers) و تلفنهاي بيسيم؛
7. ماشينهاي فاكس يا سِروِرهاي فاكس شبكه؛ يا
8. نسخههاي پشتيبان منابع فوقالذكر.
بنابراين بهتر است اين سيستمهاي رايانهاي را از جهات ذيل مورد بررسي قرار دهيم: ساخت و مدل كامپيوتر، سيستم عامل مورد استفاده، برنامههاي كاربردي نصب شده، نام متصديان يا مديران، روشهاي تهية نسخة پشتيبان قابل اجرا، حفاظت از رمز عبور و ديگر مكانيسمهاي امنيتي و تاريخ نگهداري.
علاوه بر اين، گاهي اوقات سيستمهاي رايانهاي يا اجزاي تشكيل دهندهي آنها در محدوده سازمان جابجا ميشوند يا به علت خرابي جايگزين ميگردند. بنابراين لازم است تأييد شود سيستمهايي كه احتمالا تحت تفتيش قرار ميگيرند، واقعا همان تجهيزاتي هستند كه در آن دورة زماني مورد نظر به كار گرفته شدهاند. بسياري از سازمانها بر روي هر كامپيوتر يك برچسب شمارة اموال ميزنند تا به راحتي آن را در گزارشات داراييهاي تثبيت شده رديابي كنند.
كامپيوترهاي شخصي اطلاعات را در مكانهاي مختلفي ذخيره ميكنند كه از آن جمله ميتوان به مكانهاي ذيل اشاره كرد:
ـ حافظة با دستيابي تصادفي يا RAM كه با هر بار خاموش و روشن كردن مجدد كامپيوتر، پاك ميشود (اما در زمان توقيف رايانه اين حافظه ميتواند داراي اطلاعات مفيدي باشد)؛
ـ ديسكهاي سخت (يكي يا بيشتر)؛
ـ رسانة ذخيرهساز قابل جابهجايي (مانند فلاپي ديسكها، سيديرامها، نوارها و كارتريجها)؛ و
ـ حافظة CMOS كه اطلاعات پيكربندي كامپيوتر از جمله كلمات عبور را در خود ذخيره ميكند.
با اتصال كامپيوترهاي مختلف به يكديگر ميتوان يك شبكه تشكيل داد. دو نوع شبكه وجود دارد. در نوع اول يك كامپيوتر به كامپيوتر ديگر متصل ميشود و اصطلاحاً آن را شبكة نظير به نظير ميگويند. چنين شبكههايي داراي سِروِر فايل مركزي نيستند. فايلها را ميتوان بر روي ديسكهاي سخت هر يك از كامپيوترهاي متصل به شبكه ذخيره كرد. در نتيجه، براي كشف و بازيابي دادهها، بايد ديسك سخت تمام كامپيوترهاي متصل به شبكه، يا حداقل آنهايي را كه از طريق كارمندان ذيربط قابل دسترسي به شبكه هستند، تفتيش كرد.
شبكه نوع دوم اصطلاحاً مشتري- سرور ناميده ميشود. در اين شبكه تمام كامپيوترها به يك كامپيوتر مادر يا سِروِر متصل ميشوند. اين نوع شبكه داراي يك يا چند سِروِر فايل مركزي ميباشد. كاربران ميتوانند فايلها را بر روي سرور مركزي يا ديسك سخت كامپيوتر داخليشان ذخيره نمايند. فرآيند كشف در اين شبكه (كه متداولترين كاربرد را دارد) نيازمند بررسي همه ديسك سختهاي كامپيوترهاي داخلي مورد استفادة كارمندان ذيربط ميباشد. همچنين سِروِرهايي كه كارمندان به آنها دسترسي دارند را نيز بايد تفتيش نمود. چنانچه سازمان در مكانهاي مختلف شعبه داشته باشد، در صورتي كه كاربران از طريق يك شبكه سراسري تحت پوشش قرار داشته باشند، بايد سرور فايل شعب مذكور را نيز مورد بررسي قرار داد.
در راستاي توجه به موقعيتهاي بالقوة ذخيرهي ادلة الكترونيك، لازم است نگرشي جهاني داشته باشيم و خود را به مكانهاي افراد كليدي طرف مقابل محدود نكنيم. بسياري از سازمانها داراي شبكه پوشش سراسري رايانهاي هستند كه با اتصال به اينترنت يا پست الكترونيكي عمومي و شركتهاي تأمين خدمات مبادلة دادههاي الكترونيكي ، پوشش ارتباطي خود را وسعت ميدهند.
در رابطه با بازبيني سختافزار كامپيوتر كه ممكن است حاوي دلايل و مدارك مرتبط باشد، لازم است كامپيوتر روميزي كاربردي و همچنين سيستمهاي عامل سِروِر/شبكه را كه در اين سيستمهاي كامپيوتري مورد استفاده قرار ميگيرند را معين نمود.
اگر چه در اينجا تأكيد عمده بر منابع كامپيوتري اطلاعات الكترونيكي است، اما بايد منابع غيركامپيوتري را نيز در نظر داشت. به عنوان مثال، در پروندهاي كه راجع به تصادف يك اتومبيل ميباشد، اطلاعات مفيد را ميتوان در جعبه سياه آن جستجو كرد. اين جعبه حاوي اطلاعاتي در زمينه سرعت اتومبيل، موقعيت فرمان، وضعيت كمربند ايمني و وضعيت ترمزها ميباشد.
3ـ3ـ نرمافزار كاربردي (برنامههاي نرمافزاري)
بسياري از شركتهاي بازرگاني، برنامههاي نرمافزاري مختلفي را براي ذخيرهسازي اطلاعات بكار ميگيرند. هر يك از اين برنامهها ميتواند يك منبع بالقوه دلايل به شمار رود. اين برنامهها و نوع اطلاعاتي كه ذخيره ميكنند،عبارتند از:
ـ برنامههاي واژهپرداز و صفحه گسترده (براي تسريع در محاسبه امور مالي)؛
ـ ويژگيها و سيستمهاي مديريت اسناد جهت پيگيري پيشنويسها؛
ـ كاربردهاي گروه افزاري (مانند lotus Notes)؛
ـ نرمافزار مرورگر وب مانند Netscape Navigator وmicrosoft Explorer ؛
ـ اسناد و سوابق پرسنل ـ هم اطلاعات و هم سوابق رسمي كه در اختيار سازمان است و هم سوابق و اطلاعات غيررسمي كه در اختيار بعضي مديران خاص ميباشد؛
- فهرستهاي انجام كار يا سيستمهاي ارائة برنامههاي آتي؛
- ابزارهاي پيامگير الكترونيكي تلفن؛
ـ گرافيك و ديگر نرمافزارهاي نمايش چند رسانهاي؛
ـ تحليلها و پيشبينيهاي مالي؛
ـ برقراري ارتباطات EDI با تأمينكنندگان و مشتريان؛
ـ سيستمهاي CAD/CAM كه بوسيله كامپيوتر طراحي، ساخت و توليد ميشوند. دادهها و طراحيهاي مهندسي؛
ـ رسيدهاي ترابري و لوگهاي انتقال؛
ـ سيستمهاي نقطه فروش(POS)؛
ـ سيستمهاي زمانبندي و ترتيبدهي مطالب؛
- عمليات اجرايي عمودي اختصاصي در صنعت؛
زماني كه از انواع برنامههاي كاربردي استفاده ميكنيد و اين برنامهها حاوي بعضي دلايل و مدارك مرتبط ميباشند، لازم است كه از بينشي وسيع برخوردار باشيد. به عنوان مثال، زمانيكه كامپيوتر متعلق به يك شخص بچهباز را مورد تفتيش قرار ميدهيد، بديهي است هرزهنگاري كودكان از مدارك مهم به حساب ميآيد. اما از ديگر دلايل و مدارك مهم در اين زمينه ميتوان به مكاتبات شخص با بچهها، لوگهاي دسترسي به خطوط گپ با بچهها، نامهاي مستعاري كه براي فريب بچهها به كار ميبرده، و ... اشاره كرد. حتي بازيهاي كامپيوتري اگر براي اغفال بچهها به كار گرفته شده باشد، از اهميت برخوردارند. گاهي اوقات اين بازيها داراي فهرستي از اسامي بازيگران و امتيازاتشان ميباشد.
3ـ4ـ ساير سؤالاتي كه مطرح ميشود
ـ چه روشكارهاي رسمي تهية نسخة پشتيبان وجود دارد؟
ـ چه مكانيسمهاي فني امنيتي براي حفاظت از تماميت اطلاعات ذخيره شده در سيستم رايانهاي موجود ميباشد؟
ـ چه برنامههاي نگهداري اسناد وجود دارد و آيا اين برنامهها واقعا تا شروع منازعه پايدار ميمانند؟
ـ آيا دادهها بر روي سيستمهاي رايانهاي ذيربط كه بوسيله يك سيستم مديريت اسناد اداره ميشوند، ذخيره شدهاند؟
ـ چه اطلاعاتي حفاظت شدهاند و چگونه؟
ـ چه اطلاعاتي حفاظت نشدهاند و چرا؟
ـ چه نوع اطلاعات دستيابي، لوگ فايل و رسيدگيهاي مميزي ايجاد شده است؟ آيا كارفرما براي كنترل كاربري كامپيوتر كاركنانش از ابزار يا نرمافزار خاصي استفاده ميكند؟
- همچنين مهم است كه اطلاعاتي در رابطه با قابليت اطمينان سيستمها به دست آوريم. بنابراين، سؤالات بايد در رابطه با نمونه ويروسهاي كامپيوتري و رويدادهاي مربوط به دادههاي گمشده يا دسترسي غيرمجاز باشد.
3ـ5ـ روشكارها و خط مشي تهية نسخة پشتيبان
ـ طرف مقابل چه روشكارها و خط مشي رسمي جهت تهية نسخة پشتيبان اتخاذ كرده است؟
ـ به طور معمول و متداول چند نسخة پشتيبان تهيه ميشود؟
ـ چه نسخههاي پشتيباني در ارتباط با دورة زماني موردنظر، توليد شده است؟
§ آيا دادههاي موجود در اين نسخهها، كماكان قابل دسترسي هستند؟
§ حتي اگر اين دادهها، ديگر قابل دستيابي نباشند، آيا به رسانه فيزيكي كه مورد استفاده قرار گرفته، ميتوان دسترسي پيدا كرد؟
ـ آيا ديگر نسخهها، به عنوان بخشي از نسخة پشتيبان شخصي، غيررسمي يا بر اساس نياز بوجود آمدهاند (مانند ذخيره كردن بر روي نوار يا فلاپي) يا اينكه روي كاغذ پرينت شدهاند؟
ـ آيا نسخههاي ديگري وجود دارد كه خارج از محل ذخيره شده باشند يا اينكه تحت تصرف شركت نباشد؟
ـ از چه تجهيزات سختافزاري و برنامههاي نرمافزاري براي تهية نسخة پشتيبان استفاده شده است؟
ـ چه نوع لوگ (log) و مسيرهاي مميزي توليد شده است؟
§ آيا اين لوگها هنوز در دسترس ميباشند؟
§ آيا كپي اين لوگها در ديگر نسخههاي پشتيبان نيز ذخيره شدهاند؟ (اين امر جهت اثبات اينكه هيچگونه دستكاري اتفاق نيفتاده، مفيد خواهد بود).
3ـ6ـ توليد رسانه الكترونيكي
اگر طرف مقابل نسخههاي دادههاي الكترونيكي را توليد ميكند، بهتر است مطمئن شويم كه:
ـ آيا كپي، نسخه يا پيشنويس الكترونيكي ديگري نيز موجود ميباشد؟
ـ چه كسي به دادهها دسترسي داشته و چه كسي فرصت كرده تا دادهها را تغيير داده يا اصلاح نمايد؟
ـ چه مكانيسمهاي امنيتي و كنترل دستيابي، جهت حفاظت از دادهها وجود دارد؟
ـ اطلاعات راجع به مكان فايلها؛ و
ـ هر نوع اطلاعات راجع به كنترل و پيگيري فايل توسط سيستم عامل.
براي اينكه مطمئن شويم نسخهاي كامل و قابل اطمينان از دادهها بوجود آوردهايم و از زمان توليد اين نسخه تا زماني كه به عنوان دليل و مدرك به دادگاه ارايه ميشود، به آن دادههايي اضافه نشده يا تغيير و حذفي در آن صورت نگرفته، ضروري است كه زنجيرهي حفاظتي دلايل و مدارك را به طور كامل به مرحلة اجرا درآوريم.
فصل 4
كشف منابع پنهان ادله الكترونيك
4ـ1ـ فايلها و شاخههايي كه با علامت «پنهان» مشخص شدهاند
بررسي يك ديسك كامپيوتري جهت كشف فايلها، بايد شامل تفتيش همه فايلها از جمله فايلهاي پنهان نيز بشود. معمولاً اين ويژگي از آن جهت مورد استفاده قرار ميگيرد كه بعضي فايلهاي سيستم از معرض ديد عمومي پنهان بماند. فايلهايي كه با علامت «پنهان» مشخص شدهاند، در فهرست شاخههاي معمولي ديده نميشوند. همچنين ميتوان كل يك شاخه فرعي را مخفي نگه داشت و آن را از ديد معمولي پنهان كرد.
با اينحال، اگر از نرمافزار خاصي براي بازرسي فايلها و شاخههاي پنهان استفاده كنيم، ميتوان آنها را آشكار كرد و بطور معمول بر روي يك نوار به عنوان بخشي از نسخة پشتيبان سيستم، نسخهبرداري كرد. در
ويندوز 98، ميتوان فايلها و شاخههاي پنهان را با تغيير در تنظيمهاي default بر روي نرمافزار windows explorer، قابل رؤيت كرد.
همچنين، گاهي اوقات در اثر شات داون نامناسب يك سيستم رايانهاي (خصوصاً يك سيستم مبتني بر ويندوز/ داس)، ممكن است جدول تخصيص فايل (FAT) به طور مناسب بر روي ديسك سخت روزآمد نشود و در نتيجة آن بعضي فايلها، يا قسمتي از آنها و حتي ارجاعات به شاخه «ناپديد» شوند. بعضي برنامههاي كاربردي (از قبيل SCANDISK در ويندوز)، آن قسمت از دادههاي ديسك سخت را كه ديگر از طرف FAT به آنها اشارهاي نميشود، مورد جستجو و شناسايي قرار ميدهند. در اين صورت، كاربر مختار است چنين دادههايي را «حذف» كند يا آنكه آنها را با دادن يك اسم فايل نظير FILE0000.CHK در شاخه اصلي (يعني "C:\") ذخيره نمايد.
4ـ2ـ اطلاعات «حذف شده» در تجهيزات ذخيرهساز كامپيوتري
بسياري از سيستمهاي عامل ميكروكامپيوتر، مانند Microsoft"s Windows ، از Recycle Bin ، trash can يا تسهيلات مشابه براي نگهداري فايلهاي «حذف شده» استفاده ميكنند. اين فايلها به طور موقت در اينجا نگهداري ميشوند و در صورت لزوم به آساني ميتوان آنها را بازيابي كرد. مقدار فضايي كه در ديسك براي اين كاركرد اختصاص مييابد، معمولاً محدود بوده و فايلهاي حذف شدة جديد كه اضافه ميشوند جاي فايلهاي قديمي را ميگيرند. Recycle bin را ميتوان به گونهاي تنظيم كرد كه به طور خودكار بعد از يك دورهي زماني معين يا بعد از اينكه درصد خاصي از ديسك سخت پر شد، فايلها را پاك كند. خود كاربر هم ميتواند بر اساس نياز يا به طور گزينشي فايلها را از آن پاك نمايد. اگر اين قسمت از كار بيفتد، فايلهاي موجود در آن بلافاصله پاك ميشوند.
بعضي نرمافزارهاي كاربردي خاص، يك recycle bin در سطح ثانويه نيز ايجاد ميكنند كه به طور موقت نسخههايي از فايلهاي حذف شده را نگهداري ميكند. اين نوع برنامهها، فولدر جديدي را در درايو سخت كامپيوتر ايجاد ميكنند و چنانچه فايلي حذف شد (حال با يك خط دستور در يك كاربري 16 بيتي يا از طريق خالي كردن recycle bin) آن را قبل از آزاد كردن، براي مدتي معين در آن فولدر ذخيره ميكنند. در چنين حالتي، معمولا فايلهاي حذف شده را ميتوان با اطمينان و به طور كامل بازيابي نمود.
ب) فايلهاي حذف شدهاي كه رويهمنويسي نشدهاند
فايلهايي كه در سيستم فاقد recycle bin يا تسهيلات مشابه حذف ميشوند (همچنين فايلهايي كه از recycle bin حذف ميشوند) را هنوز ميتوان بازيابي نمود و آن به خاطر ماهيت مكانيسم ذخيرهسازي ديسك كامپيوتري ميباشد. براي درك اين موضوع كه چگونه اين امر ممكن است، بهتر است روند ذخيرهسازي فايلها در سيستم كامپيوتري را مورد بررسي قرار دهيم.
فضاي ذخيرهساز موجود در ديسك سخت كامپيوتر يا فلاپي ديسك به واحدهاي ذخيرهساز مختلفي تقسيم ميشود كه بخش ناميده ميشود. به مجموعه اين بخشها ـ كه معمولاً به صورت بستههاي 2 تا 8تايي درآمدهاند، «خوشه» ميگويند. به اين ترتيب، به فايلهاي موجود در واحدهاي اين خوشهها فضايي جهت ذخيرهسازي اختصاص مييابد. معمولاً يك فايل خيلي كوچك، براي يك خوشه مستقل مناسب است. اما عموما براي ذخيرهي محتويات يك فايل كامل و بزرگ، به خوشههاي چندگانه نياز است. شاخه جدول تخصيص فايل، براي نگهداري نامهايي كه به هر فايل اختصاص يافته و همچنين رديابي خوشههاي ذخيرهساز مورد استفاده هر فايل، بكار ميرود.
زماني كه يك فايل از ديسك سخت كامپيوتر يا فلاپي حذف ميشود، در حقيقت آن فايل پاك نشده است. بلكه اطلاعات ذخيره شده در FAT روزآمد شده و اين نشان ميدهد واحدهاي فضاي ذخيرهسازي كه مورد استفادهي فايل حذف شده بودند، اكنون براي استفاده مجدد جهت ذخيرة دادههاي متعلق به فايلهاي جديد آماده هستند.
دليل اينكه فايل واقعا در طي عمليات حذف، پاك نميشود اين است كه دادههاي روي رسانه ذخيرهساز مغناطيسي فقط در صورتي پاك ميشوند كه دادههايي جديد بر روي دادههاي قديميتر ثبت شوند. اين عمل، زمان واكنش و اجراي سيستم رايانهاي را تحت تأثير قرار ميدهد. بنابراين، زماني كه فايل حذف ميشود، به اين معنا نيست كه واقعاً پاك شده و ديگر دسترسي به آن ممكن نيست؛ بلكه مدخل آن فايل در FAT با علامت حذف شده مشخص ميشود و آن مجموعه فضاي ذخيرهسازي كه قبلاً براي ذخيره محتويات فايل حذف شده استفاده ميشد، براي استفادهي مجدد آماده ميشود.
بنابراين، در بسياري موارد، براي بازيابي تمام يا قسمتي از فايل حذف شده، در صورتيكه تمام يا قسمتي از مجموعههاي فضاي ذخيرهسازي كه قبلاً مورد استفادهي آن فايل محذوف بوده رويهمنويسي نشده باشد، ميتوان از فرمان UNDELETE يا يك برنامه نرمافزاري خاص استفاده كرد و آن فايل را بازيابي نمود. همانطور كه پيش از اين ذكر شد، در بعضي موارد، كامپيوتر ميتواند با استفاده از يك نرمافزار، به طور خودكار همه فايلهاي حذف شده را به يك مكان ذخيرهساز خاص انتقال دهد. در اين مكان به راحتي ميتوان فايلهايي را كه به طور اتفاقي حذف شدهاند را از سر فرصت بازيابي نمود. آنگاه فضاي ذخيرهساز اشغال شده توسط اين فايلها آزاد ميشود و از آن ميتوان به ترتيب اولويت حذف و اضافه، فايلهاي جديد را ذخيره نمود. امروزه سيستمهاي عامل بسياري اينگونه تسهيلات بازيابي را بطور معمول و متداول فراهم ميآورند.
حتي زماني كه تمام خوشههاي ذخيرهساز مورد استفاده مجدد قرار گرفتند، گاهي اوقات اين امكان وجود دارد كه بقاياي فايلهاي قديمي را بازيابي نمود. زيرا دادههايي كه در آخرين خوشه مورد استفادة فايل ذخيره ميشوند، بندرت به طور دقيق تمام خوشه را پر ميكنند. بنابراين، اگر دادههايي كه توسط فايل جديد در آخرين خوشه ذخيره ميشوند، كوتاهتر از دادههايي كه توسط فايل قديميتر بر آن ذخيره شدهاند باشد، اين امكان وجود دارد كه بقاياي فايل حذف شده در آن خوشه موجود باشد.
اين امكان وجود دارد كه آخرين خوشة ذخيرهساز مورد استفاده توسط فايل جديد، همان آخرين خوشهي مورد استفاده توسط فايل حذف شده نباشد. در نتيجه، اين خوشه به طور كامل توسط دادههاي فايل حذف شده، پر شده است. اگر به طور متوسط، دادههاي فايل جديد نيمي از خوشه را پر كرده باشند، آنگاه نيم ديگر آن هنوز داراي دادههاي فايل قديمي است. ميزان اطلاعاتي كه به طور متوسط ميتوان بازيابي كرد، بين 512 تا 2048 بايت متغير است. اگر رمزهاي شكلدهي پردازش واژه را هم به حساب آوريم، حجم آن به يك چهارم صفحه تا يك صفحه كامل ميرسد.
مسالهاي اصلي احتمالاً بايد فايلهاي حذف شدهاي باشد كه هنوز قابل بازيابي هستند. اطلاعاتي كه از انتهاي مجموعه واحدهاي ذخيرهساز مورد استفادة مجدد قرار گرفته، بازيابي ميشوند، معمولاً كوچك هستند و ذخيرهسازي مجدد آنها در چهارچوب ديگري به آساني چهارچوب اولية خودشان نميباشد. به علاوه، استفادهي فزاينده از سيستمهاي عامل جديدي كه اطلاعات را به صورت فشرده در زمان واقعي ذخيره ميكنند، همچنين قابليت بعضي سيستمهاي عامل شبكه در پاك كردن اطلاعات حذف شده و توانمندي سيستمهاي عامل شبكههاي جديد در تخصيص زيرمجموعههاي واحدهاي ديسك در سرورهاي فايل، اين معنا را دربرخواهد داشت كه قابليت بازيابي اطلاعات سودمند كاهش يافته است.
همين پتانسيل بازيابي دادهها در خصوص فلاپي يا ديسك سخت كامپيوتري كه مجدداً فرمت شده نيز ميتواند صحيح باشد. در بسياري موارد، براي بازيابي فايلهايي كه قبلاً در عمليات فرمتسازي مجدد وجود داشتهاند (با اين فرض كه خوشههاي ذخيرهساز مورد استفادهي قبلي اين فايلها، از آن زمان ديگر مورد استفاده قرار نگرفتهاند)، معمولا يك برنامه نرمافزاري كه سيستم عامل آن را فراهم ميآورد يا توسط يك شخص ثالث فروخته ميشود، موجود است. حتي زماني كه عمليات «فرمت نكردن» ممكن نميباشد، اين امكان همچنان وجود دارد كه با استفاده از يك برنامه نرمافزاري خاص تحت عنوان ويراستار ديسك، به جستجوي اطلاعات پرداخت.
در مواردي كه حتي فايل و دادههايش به طور كامل پاك شدهاند، ميتوان نسخههاي قديمي نام فايل را بازيابي كرد. قبل از ويندوز 95، هنگام نامگذاري مجدد يك فايل، نام جديد به طور خودكار روي نام قديمي موجود در شاخه، رويهمنويسي ميشد. با ظهور ويندوز 95، نامگذاري مجدد يك فايل مستلزم ايجاد يك مدخل شاخه جديد شده و نام قديمي به عنوان يك فايل پاك شده تلقي گرديد كه فقط حرف اول آن رويهمنويسي ميشد. به اين ترتيب، نام قديمي فايل در شاخه FAT باقي ميماند و تا زماني كه رويهمنويسي نميشد قابل بازيابي بود. اما بعد از آن مدخل شاخه براي ذخيرة فايل جديد آماده بود.
ديگر منبع بالقوه دادهها، رسانههاي ذخيرهساز ديسك ميباشد كه به طور صحيح كار نميكنند. ديسكتي كه بر روي يك درايو ديسك با تحمل پائين قابل خواندن نيست و در هنگام خواندن، پيام اشتباه ميدهد، ممكن است حداقل قسمتي از آن بر روي درايو ديسك ديگري قابل خواندن باشد. اگر ديسك سختي شكسته به نظر ميآيد و به طور كامل قابل خواندن نيست يا نقص مزبور ناشي از كنترلكنندة مدارات ميباشد، ميتوان آن قسمت را تعويض كرد. حتي اگر آسيب وارده در حد ضربة مغزي جدي باشد، ميتوان اطلاعات آن را با استفاده از سرويسهاي قابل بازيابي ديسك سخت ثالث، مطالعه كرد.
شانس ديگري كه ممكن است در اينجا به وجود آيد، مربوط به اطلاعاتي ميشود كه در ناحيهاي از رسانة ذخيرهساز ديسك نوشته ميشود كه بعداً تا حدودي دچار آسيب ميشود. چنين ناحيههايي از طرف سيستم عامل به عنوان ناحيه غيرقابل استفاده يا «آثار بد» مشخص ميشوند. اطلاعات اين ناحيه حتي با فنون رويهمنويسي نيز پاكشدني نيستند.
همچنين حتي در صورت خرابي قسمتي از رسانه ذخيرهساز يا فساد FAT ، اطلاعات قابل خواندن هستند. زماني كه به علت خرابي در ديسك، يك يا چند بخش ذخيرهساز اطلاعات قابل خواندن نميباشد، براي كپيبرداري از فايل، از يك برنامة كاربردي خاص استفاده ميشود. حتي اگر FAT نيز فاسد شود، فايلها دست نخورده باقي ميمانند.در چنين حالتي، براي تفتيش و بازيابي واحدهاي مختلف فايل موردنظر، از ويراستار ديسك استفاده ميشود. همچنين ميتوانيم براي تعمير و بازگرداندن حالت اوليه ديسك صدمه ديده، از يك برنامه نرمافزاري مانند Power Quest"s lost and Found استفاده كنيم.
تذكر: هنگام بازيابي فايلهاي حذف شده توجه داشته باشيد كه: 1ـ فايل فعال ديگري كه داراي همان نام است، پاك نشود؛ 2ـ بلافاصله فايل حذف نشده را به يك رسانه ذخيرهساز متفاوت ديگر منتقل نماييد؛ و 3ـ فايلها را يكي يكي بازيابي كنيد، به گونهاي كه فايلهاي بازيابي شده، رويهمنويسي نشوند.
ج) تتمهي دادهها
حتي زماني كه اطلاعات رسانههاي ذخيرهساز مغناطيسي پاك شده باشند و فضاي ذخيرهساز براي ذخيرة اطلاعات جديد، دوباره مورد استفاده قرار گرفته باشد، يا حتي زماني كه اين فضا با استفاده از نرمافزار كاربردي WIPE، با دادههايي بيهوده رويهمنويسي شده باشد، بهگونهاي كه نتوان با استفاده از قابليتهاي معمول سيستم آن را بازيابي كرد، باز هم ميتوان اطلاعات قديمي را با استفاده از سختافزار كاربردي ويژه و فنون آزمايشگاهي خاصي مطالعه كرد. اثربخشي اين فنون زماني افزايش مييابد كه رسانه مغناطيسي براي يك مدت مديد يا در درجه حرارت بالا (120 درجه فارنهايت يا بيشتر) نگهداري شده باشد؛ يا اينكه اين تجهيزات دچار نقص فني يا مكانيكي شده باشد. مثلاً هِدهاي نگارش/خواندن تنظيم نباشند. در بعضي موارد، با وجود اين نقص باز هم ميتوان تتمه اطلاعات قديمي را خواند. به همين دليل است كه استانداردهاي دولت آمريكا در خصوص پاكسازي اطلاعات ملزم ميكند كه در آن مكان چندين بار رويهمنويسي شود.
براي كسب اطلاعات بيشتر به «راهنماي درك تتمه دادههاي موجود در سيستمهاي اطلاعاتي خودكار»، تهيه شده از طرف «مركز امنيت ملي رايانهاي» مراجعه فرماييد.
اكثر سيستمهاي رايانهاي اين قابليت را دارند كه پردازش عمليات چاپ را سريعتر از پرينتر متصلي كه ميتواند واقعا خروجي صفحات چاپ شده را تحويل دهد، انجام دهند. اين امر منجر به شهرت برنامههاي «پرينت اسپولر» شده است. پرينتر اسپولرها كار پرينت را از برنامه كاربردي نرمافزاري ميگيرند و آن را به عنوان يك فايل موقت بر روي ديسك ذخيره ميكنند. به گونهاي كه با اين برنامههاي نرمافزاري گمان ميرود عمليات چاپ تمام شده و رايانه براي انجام عمليات ديگري آماده است. آنگاه پرينت اِسپولر در پشت زمينه وارد عمل ميشود و در كار چاپ بر روي كاغذ، چاپگر را تغذيه ميكند. اين همياري همگام با سرعت پرينتر ميباشد.
در ابتدا، پرينت اسپولرها را به عنوان برنامه ضميمه (مكمل) به كاربران MS-Dos ميفروختند. با ظهور مايكروسافت ويندوز، اين برنامه به سيستم عامل اضافه شد و اكنون به عنوان «مدير چاپ» شناخته ميشود. كار اين برنامه اين است كه هر عمليات چاپ را به عنوان يك فايل موقت ذخيره ميكند. اين فايل بعد از اينكه چاپگر عمليات چاپ مورد نظر را تمام كرد، حذف ميشود. چنانچه فضاي ديسك مجدداً به يك فايل جديد اختصاص نيافته باشد، ميتوان فايلهاي محذوف مورد استفادة مدير چاپ را جستجو كرد. در صورتيكه اين فايلها بازيابي شوند، از آنها ميتوان پرينت مجدد گرفت يا اينكه حداقل آنچه را كه قبلاً چاپ شده را مشخص نمود.
ممكن است بعضي سيستمهاي رايانهاي قديميتر، از يك پرينت اسپولر كه در يك سختافزار خارجي جاي دارد و بين كامپيوتر و چاپگر متصل است، استفاده كنند. در صورتي كه چاپگر آماده چاپ نباشد و فرمان چاپ نيز داده شده باشد، اين ابزار به صورت بالقوه ميتواند عمليات مزبور را انجام دهد. همچنين بعضي پرينترهاي ليزري داراي يك ديسك سخت داخلي هستند كه از آن براي ذخيرة تصويري از آنچه كه قرار است پرينت شود، استفاده ميكنند. تا زماني كه ديسك سخت رويهمنويسي نشود، اين اطلاعات در ديسك باقي خواهند ماند.
4ـ4ـ سيستم عامل مايكروسافت ويندوز در كامپيوترهاي روميزي
سيستم عامل ويندوز متعلق به شركت مايكروسافت، يكي از متداولترين سيستمهاي عامل مورد استفاده در كامپيوترهاي روميزي است. يكي از ويژگيهاي ويندوز اين است كه از يك فايل معمولاً پنهان به نام «سُواپ» به عنوان يك حافظه موقتي بزرگِ ذخيرهي دادهها استفاده ميكند تا برنامهها را هدايت كرده و دادههايي را كه در فايلهايي كه در حافظة (RAM) جاي نميگيرند، پياده كند. تجزيه و تحليل فايل سُواپ با استفاده از برنامههاي كاربري خاص، ميتواند بخشهايي از اسناد، URLهاي اينترنت، رمزهاي عبور شبكه و ديگر اطلاعات مفيد را آشكار كند.
ب) پايگاه ثبت اطلاعات و دادههاي ويندوز
ويندوزهاي با نگارش 32 بيت (يعني ويندوز 95 به بالا)، داراي يك پايگاه داده به نام Registry هستند كه از آن براي جستجوي اطلاعات راجع به سختافزار، نرمافزار و موضوعات مورد توجه كاربر استفاده ميشود. از Registry به عنوان «قلب ويندوز» ياد ميشود (خصوصاً با آغاز كار ويندوز 98). در يك جلسه كاري معمولي، پايگاه Registry را ميتوان دهها هزار بار از طريق سيستم عامل و برنامههاي كاربردي مورد استفاده در آن جلسه، ارزيابي كرد. بنابراين، اطلاعات ذخيره شده در آن ميتواند دلايل و مدارك ارزشمندي در خصوص فعاليتهاي مختلف انجام گرفته در كامپيوتر روميزي فراهم آورد.
در نگارشهاي اوليهي (Windows 3.x)، بيشتر محيطهاي نرمافزاري و سختافزاري توسط فايلهاي متني داراي ضميمه "INI" ذخيره ميشوند. فايلهاي INI اوليه كه توسط ويندوز 3.x مورد استفاده قرار ميگيرند عبارتند از: SYSTEM-INI, WIN-INI ، CONTROL.INI، FROGMAN.INI. همچنين برنامههاي كاربردي فردي، اطلاعات فايلهاي INI خصوصي را كه در WINDOWS يا شاخههاي WINDOWS/SYSTEM واقع شدهاند را ذخيره ميكنند. با ظهور ويندوز 95 و بالاتر از آن، بيشتر اطلاعاتي كه قبلاً در فايلهاي INI نگهداري ميشدند، امروزه در Registry و در كنار اطلاعات مضاعفي كه حاوي ويژگيهاي جديدي از نگارشهاي اخير ويندوز ميباشد، ذخيره و تثبيت ميشوند.
در ويندوز 98، Registry عمدتاً از دو فايل پنهان به نامهاي User.dat و System.dat تشكيل ميشود. اين دو فايل در شاخه c:\WINDOWS ذخيره هستند (اگرچه بعضي اطلاعات محدود ذخيره شده در فايلهاي WIN.INI و SYSTEM.INI نيز در اين شاخه يافت ميشوند). علاوه بر نسخه فعال Registry، نسخههاي پشتيبان چندگانهاي نيز در كامپيوتر روميزي موجود ميباشد (به استثناي نسخههاي ذخيرهاي موجود در ديسك سخت).
زماني كه كامپيوتر را هر روز براي اولين بار روشن ميكنيد، ويندوز 98 به طور خودكار يك نسخهي پشتيبان از Registry توليد ميكند (برخلاف ويندوز 95 كه حتي اگر براي دهمين بار در طول روز باشد، باز هم اقدام به ذخيرهي يك نسخهي پشتيبان ميكند). اين نسخههاي پشتيبان خودكار Registry (كه شامل فايلهاي كليدي Registry كاربر غيابي و همچنين فايلهاي SYSTEM.INI و WIN.INI ميشود)، در يك فايل فشرده به نام RBOxx.CAB در شاخهC:\WINDOWS/SYSBCKUP نگهداري ميشوند. در اينجا "xx" يك عدد از صفر تا 99 ميتواند باشد.
توجه داشته باشيد كه SYSBCKUP يك فولدر پنهان است و زماني آشكار ميشود كه ويندوز را طوري پيكربندي كرده باشيم كه شاخهها و فايلهاي پنهان را نشان دهد. در صورت عدم وجود اين فولدر، ويندوز 98 پنج نسخه پشتيبان آخر را ذخيره ميكند (هرچند ممكن است كاربران متبحر اين محيط را نيز تغيير دهند).
همچنين كاربر ميتواند با استفاده از ابزارهاي موجود در ويندوز مانند Registry Checker ، يا با استفاده از ابزارهاي شخص ثالث، نسخههاي پشتيباني از Registry ويندوز تهيه كند. برنامههاي تهية نسخة پشتيبان Registry شخص ثالث، ميتواند نسخههايي از Registry با نامهاي SYSTEM.NUx و USER.NUx SYSTEM.NAV, و USER.NAV، SYSTEM.PCA و USER.PCA تهيه نمايد.
بعضي كامپيوترها بر اساس پيشينة چند كاربر تنظيم شدهاند. به گونهاي كه كاربران مختلفي ميتوانند وارد يك كامپيوتر شوند و از برنامههاي محيطهاي غيابي و حضوري خود استفاده كنند. در اين سيستمها كه پيشينة چند كاربر فعال شده است، فايل USER.DAT متعلق به يك كاربر خاص، ميتواند محيطهاي برنامه كاربردي را ذخيره كند. همچنين شاخه C:/WINDOWS\PROFILES\USERNAME حاوي فولدرها و فايلهاي ذيل ميباشد:
1. Application Data-outlook Express: به كتابها و ضمائم راجع به ديدگاهها ميپردازد؛
2. Cookies- Internet Explorer cookies: فايلهايي هستند كه دربرگيرندهي اطلاعات خاصي ميباشند. اين اطلاعات از طريق بعضي وب سايتها قابل دسترسي هستند؛
3. History-Internet Explorer history information: حاوي آدرسهاي وب از آخرين سايتهاي بازديد شده ميباشد؛
4. Temporary Internet Files : اين فايلها توسط كاوشگر اينترنت (Internet Explorer) جهت ذخيرهي نسخههايي از آخرين سايتهاي وب بازديد شده، مورد استفاده قرار ميگيرند؛
5. Favorites: اين فايلها براي ذخيرهي مكانهاي دلخواه (مطلوب)، توسط كاوشگر اينترنت مورد استفاده قرار ميگيرد؛
6. Desktop: فولدرها و آيكونهاي كامپيوترهاي روميزي را ذخيره ميكند؛
7. Recent: اين فايل فهرستي از آخرين اسناد باز شده را در اختيار دارد؛
8. Nethood : دربرگيرندهي راههاي ميانبري كه به فولدِر Network Neighborhood اضافه شدهاند، ميباشد؛
9. My documents: فولدري است كه اسناد را ذخيره ميكند؛ يا
10. Start menu: دربرگيرندهي ميان بُرهاي اضافه شده به منوي شروع غيابي ميباشد.
ويندوز 95، نسخههايي از پيشينة فردي فايلهاي USER.DAT و SYSTEM.DAT را (به همراه نسخههاي پشتيبان) در شاخه C:\WINDOWS/PROFILES/USERNAME ، ذخيره ميكند (به همراه نسخة پشتيباني كه داراي ضميمه DAO ميباشد). همانطور كه قبلاً هم توضيح داديم، USER.DAT حاوي اطلاعات خاص كاربر (از قبيل فهرست آخرين فايلهاي استفاده شده) ميباشد. فايل SYSTEM.DAT نيز حاوي دادههاي راجع به پيكربندي سختافزار و اطلاعاتي در زمينه نرمافزار نصب شده (البته نه محيطهاي مورد استفادة خصوصي كاربران) ميباشد. ممكن است اين فايلها حاوي دلايل و مداركي باشند كه نشان دهد نرمافزار خاصي نصب شده يا در گذشته استفاده شده يا اينكه يكسري عمليات خاص در كامپيوتر انجام شده است.
لازم به ذكر است كه سيستم عامل ويندوز از عملكرد ديگري نيز پشتيباني ميكند كه از آن به
"Remote Registry" ياد ميشود. اين كاركرد نوعي سرويس شبكهاي است كه كار مديريت مركزي فايلهاي Registry موجود در كامپيوترهاي شخصي متصل به شبكه را تسهيل ميكند. اين ميتواند دليلي ديگر باشد براي قطع ارتباط هر شبكه متصل به كامپيوتر شخصي كه در آن حفاظت از ادلة الكترونيك، مطلوب و موردنظر است.
ج- شناساگر منحصر به فرد جهاني (GUID) و توليدات شركت مايكروسافت
ديگر منبع اطلاعات مفيد موجود در فايلهاي ايجاد شده بوسيلة توليدات شركت مايكروسافت (نظير Word, Excel, PowerPoint و احتمالا MSAccess)، شناساگري ميباشد كه فايل را به كامپيوتر خاصي كه جهت ايجاد آن به كار رفته، مرتبط ميسازد.
كامپيوترهاي شخصي با استفاده از كارتهاي رابط شبكه (NIC) ، كه عموما شكلي از كارتهاي اتساعي را به خود ميگيرد و به كامپيوترهاي روميزي وارد ميشود، ميتوانند با شبكههاي محلي ارتباط برقرار كنند. هر يك از كارتهاي رابط شبكه يك شناساگر منحصر به فرد يا «آدرس» (كه معمولا شمارة سريال الكترونيكي ميباشد) در اختيار دارد.
زماني كه ويندوز 98 بر روي كامپيوتر شخصي محتوي NIC نصب ميشود، آدرس آن در قسمت Registry ويندوز كپي ميشود (در اين زمينه از فايل بخصوصي كه اطلاعات راجع به پيكربندي را دنبال ميكند، استفاده ميكند). يك شمارة منحصر به فرد، بر اساس عملكردهاي داخلي ويندوز كامپيوتر شخصي، بيآنكه با NIC ارتباطي داشته باشد، ايجاد ميشود. به اين ترتيب، اين شمارة شناسايي در قسمت Registry به عنوان شناساگر منحصر به فرد جهاني (GUID) برچسب ميخورد.
در هر يك از توليدات دفتر مايكروسافت (نظير پردازشگر متني مايكروسافت، صفحة گستردة Excel و نرمافزار نمايشگر PowerPoint)، شناساگر منحصر به فرد جهاني كامپيوتر شخصي، به هر يك از اسناد ايجاد شده توسط آن كامپيوتر اضافه ميشود. ظاهرا چنين عملي در ويندوز 95 نيز صورت ميگيرد. نتيجة اين فرايند هم ايجاد يك اثر انگشت ديجيتالي ميباشد كه سند مورد نظر را به كامپيوتري كه آن را ايجاد كرده، مرتبط ميسازد.
لازم است نوع خاصي از يك برنامة شناخته شده تحت عنوان ويرايشگر باينري مورد استفاده قرار گيرد تا رمزهاي قالب خاصي كه به اسناد شركت مايكروسافت اضافه شده و شامل GUID نيز ميشود، قابل مشاهده گردد. با اينحال، اغلب برنامههاي كاربردي دوستانه، اين امكان را فراهم ميكنند كه اطلاعات مزبور كشف و مشاهده گردد.
فرايند ثبت الكترونيكي كه توسط مشتريان به كار گرفته ميشود تا نسخة ويندوز خود را به ثبت برسانند (جهت بهرهمند شدن از خدمات پشتيباني و نسخههاي روزآمد)، شناساگر GUID را براي شركت مايكروسافت به عنوان بخشي از اطلاعات ثبتي ارسال ميكند. عموما اين اطلاعات شامل نام كاربر، آدرس، شمارة تلفن، اطلاعات راجع به جمعيتشناسي و اطلاعات مفصل فني راجع به سيستم كاربر ميباشد. نتيجة اين عمل ايجاد پايگاه دادهاي براي شركت مايكروسافت است كه اين امكان را فراهم ميسازد كه با شناساگر NIC مالك كامپيوتر شخصي خاصي ارتباط برقرار نمايد.
پس از تحمل انتقادات سختي كه از طرف حاميان حريم خصوصي در بهار 1999 صورت گرفت، شركت مايكروسافت اعلام داشت كه اطلاعات مزبور را از پايگاههاي داده داخلي خود حذف خواهد كرد و فرايند ثبت اطلاعات مزبور را نيز در توليدات آتي ويندوز 98، تغيير خواهد داد. با اينحال، هيچگونه نشانهاي دال بر ايجاد تغيير روية گذشته در توليدات اين شركت مشاهده نشد و به نظر ميرسد همان روند قبلي ادامه داشته باشد و بطور مخفيانه شناساگر GUID را در هر يك از اسنادي كه توليد ميكند، قرار ميدهد. از طرفي بايد متذكر شد كه شركت مايكروسافت ابزارهايي توليد كرده كه به كاربر اجازه ميدهد اين شناساگر را از فايلهاي ويژهاي پاك كند.
در اواخر مارس 1999، يك ويروس بدخيم متني به نام مليسا در محيط اينترنت منتشر شد. از قرار معلوم، متخصصين كامپيوتر از شناساگر GUID جهت رديابي سازندة ويروس مليسا استفاده كرده بودند. سازندة اين ويروس، ديويد ال. اسميت بود كه در 2 آوريل 1999 دستگير شد.
4ـ5ـ پارتيشنهاي ديسك سخت
ديسك سختها را بايد با استفاده از برنامههايي مانند FDISK (كه در سيستمهاي عامل Dos يا Windows موجود است) يا نرمافزار كاربري قياسپذير بررسي كنيم تا مطمئن شويم كه پارتيشنهاي پنهان آن ايجاد شده است. معمولاً چنين پارتيشنهايي از ديد سيستم عامل بكار گرفته شده در كامپيوتر پنهان هستند. براي دسترسي به اين پارتيشنها لازم است از بعضي برنامههاي كاربردي خاص استفاده شود.
4ـ6ـ سيستمهاي عامل شبكهاي و سرورهاي فايل
منظور از سيستم عامل شبكهاي، سيستمي است كه سرورهاي فايل شبكهاي متصل به شبكههاي پوشش محلي را راهاندازي ميكند. اكثر سيستمهاي عامل شبكهاي، داراي ويژگيهايي شبيه سيستمهاي عامل كامپيوترهاي روميزي (مانند MS-Dos يا Windows) هستند. آنچه در ادامه ميآيد، بررسي ويژگيهاي سيستم عامل شبكهاي Netware ميباشد كه يكي از معروفترين سيستمهاي عامل در اين زمينه است. البته من باب مقايسه، ويژگيهاي مشابه ديگر سيستمها نيز مورد اشاره قرار ميگيرد.
در سيستم عامل Netware، برنامة كاربردي خاصي به نام SALVAGE مورد استفاده قرار ميگيرد تا امكان دسترسي به آخرين فايلهاي حذف شده، فراهم گشته و فرايند بازيابي به مرحلة اجرا درآيد. اين سيستم عامل شبكهاي هر يك از فايلهاي حذف شده را بر مبناي يكسري ويژگيهاي متمايز خود، رديابي ميكند. اين امكان وجود دارد كه فهرست فايلهاي حذف شده را بر اساس ويژگيهاي فايلهاي متنوعي كه وجود دارد، ذخيره كرد تا جستجوي فايل حذف شدة خاصي، به سهولت انجام شود.
يك برنامة كاربردي مرتبط ديگري كه در Netware از آن استفاده ميشود، PURGE نام دارد. از اين برنامه براي پاك كردن دايم كپي فايلهاي محذوف قابل بازيابي كه در دسترس كاربر مخصوص قرار دارند، استفاده ميشود. متصدي سرور فايل ميتواند درخواست كند كه تمامي فايلهاي مستقر در سرور فايل پاك شود. البته برنامه نرمافزاري WIPE همان عملكرد برنامه PURGE را انجام ميدهد. از طرف ديگر، پيكربندي سِروِر را ميتوان طوري تنظيم كرد كه فايل محذوف را بلافاصله پاك كند تا ديگر بازيابي آن فايل غيرممكن شود.
همانطور كه قبلاً هم بحث شد، منبع ديگر اطلاعات پنهان در ديسك سخت يك ايستگاه كاري، اطلاعاتي است كه در انتهاي واحدهاي تخصيصيافتة مجدد ديسك، ذخيره شدهاند. سيستمهاي عامل شبكهاي، بر خلاف همترازهاي روميزيشان، براي عملياتهاي چند كاربره كه نيازمند يك محيط امنتر هستند، طراحي شدهاند. در نتيجه، اكثر سيستمهاي عامل شبكهاي، دادههاي قديمي گنجانده شده در واحدهاي تخصيص يافتة مجدد ديسك را از بين ميبرند. به طوري كه ديگر بين كاربران چيزي به نام محرمانگي به خطر نميافتد.
ديگر مكان نگهداري اطلاعات پنهان و بالقوه مفيد بر روي يك شبكه، دستگاه جانبي چاپ ميباشد. زماني كه كاربر، به يك سيستم رايانهاي مستقل متصل به چاپگر، برنامة چاپ ارسال ميكند، اين عمليات مستقيماً توسط پرينتر پردازش ميشود. اما زماني كه كاربر يك ايستگاه كاري شبكه، عمليات پرينت را به پرينتر شبكه ميفرستد، حتي اگر به پرينتر شبكهاي كه مستقيماً به ايستگاه كاري آن كاربر متصل ميباشد بفرستد، باز هم اين عمليات به سرور فايل هدايت ميشود و از آنجا توسط آنچه كه به عنوان سرور پرينت شناخته ميشود، به پرينتر تحويل داده ميشود.
زماني كه كار پرينت ايستگاه كاري شبكه تمام شد، موقتاً در رديف پرينت سرور فايل ذخيره ميشود. اين رديف، تا زماني كه پرينت سِروِر، عمليات را به پرينتر مناسبي تحويل دهد، از آن نگهداري ميكند. زماني كه دستگاه براي عمليات بعدي آماده ميشود، پرينت سِروِر آن را از رديف ذخيره به پرينتر منتقل ميكند. چنانچه عمليات با موفقيت انجام شود، از رديف مزبور حذف ميشود.
اما چنانچه پرينتر خاموش باشد يا كاغذ نداشته باشد يا به دلايلي درست كار نكند، عمليات در همان رديف موجود در سرورهاي فايل متوقف ميماند و ميتوان آن را به عنوان بخشي از نسخة پشتيبان دورهاي سيستم بازيابي كرد. همچنين تا زماني كه فضاي ديسك استفاده شده توسط عمليات قبلي، آمادة استفادة مجدد نشده است، ميتوان از دستور SALVAGE براي بازيابي محتويات عمليات پرينت خاص استفاده كرد.
ممكن است سرورهاي فايل شبكه، فرآيند حسابداري را نيز هدايت كنند و از كاربران جهت استفاده از فضاي ديسك، كاربري سرور فايل يا ديگر منابع شبكه «اخذ وجه» نمايند. در اين صورت، براي رسيدگي به فعاليتهاي خاص كاربر، به لوگهاي حسابرسي نياز ميباشد. همچنين، بعضي سايتها براي اجراي يك حسابرسي فراگير از آنچه كه كاربران در هنگام استفاده از سيستم انجام ميدهند، از امكانات امنيتي شخص ثالث استفاده ميكنند.
در زمينهي فايلهايي كه بر روي سرورهاي فايل شبكه مشترك ذخيره ميشوند، بهتر است كه فهرستها يا اطلاعات راجع به كنترل دستيابي به زيرشاخه يا فولدري كه در آن دلايل و مدارك مرتبط نگهداري شدهاند را بررسي و كنترل كنيم. اين كار باعث ميشود كه اطلاعاتي در خصوص افرادي كه به اين فايلها دسترسي داشته و آنها را دستكاري نمودهاند، به دست آوريم.
4ـ7ـ نوارهاي نسخههاي پشتيبان
اطلاعاتي كه در يك سيستم رايانهاي ذخيره ميشود، ممكن است در اثر يك پاكسازي غيرعمدي يا خرابي كامپيوتر از دست بروند. همچنين، ممكن است پايگاههاي داده تباه شوند. از اين رو، معمولا نسخهاي از اطلاعات ذخيره شده در ديسك سخت اكثر كامپيوترها، به صورت دورهاي روي يك نوار مغناطيسي، به عنوان نسخه پشتيبان نگهداري ميشود. اكثر سازمانها براي اينكه اطمينان يابند اين نوارها به طور منظم ذخيره ميشوند، روش كار كنترل رسمي دارند.
متداولترين روشي كه در اين زمينه به كار گرفته ميشود، اين است كه هر روزه يك نسخه پشتيبان كامل از تمام سيستم تهيه ميشود. همچنين ميتوان اين ذخيرهسازي كامل را روز در ميان يا هفتهاي يكبار انجام داد. ضمن اينكه ميتوان بعد از آخرين تهيه نسخه پشتيبان كامل، در مقياس كوچكتر، از همه فايلهاي تغيير يافته نيز به عمل آورد. از اين نسخههاي كوچكتر زماني استفاده ميشود كه نسخه پشتيبان كامل قابل اجرا نباشد. در اين زمينه معمولا از چندين نوار به عنوان بخشي از «سيكل نسخه پشتيبان» استفاده ميشود.
يك راهبرد معمول تهيه نسخه پشتيبان اين است كه براي هر روز از هفته، به استثناي جمعه، يك نوار پشتيبان جداگانه به كار بريم (هر چند ميتوان به جاي روز جمعه، روز ديگري را تعيين كرد). نوار روز «دوشنبه» دوباره دوشنبه بعد استفاده ميشود و اين فرايند ادامه دارد. يك نوار پشتيبان مجزا كنار گذاشته ميشود تا در هر جمعه از ماه (جمعه اول ، جمعه دوم و...) به كار گرفته شود. نواري كه در اولين جمعه هر ماه استفاده ميشود، در اولين جمعه ماه بعد نيز به كار گرفته ميشود. هر بار كه يك نوار مورد استفادة مجدد قرار ميگيرد، اطلاعات قديمي آن رويهمنويسي شده و از بين ميروند. سازمان يا شركتي كه از چنين راهبردي استفاده ميكند، قادر است اطلاعات از دست رفتهاي را كه يك ماه قبل بر روي نوار كپي كرده، بازيابي نمايد.
علاوه بر راهبرد فوقالذكر، بعضي سازمانها نوار پشتيبان جديدي را براي يك روز معين از هر ماه (مثلا اولين جمعه هر ماه) به كار ميبرند. سپس آن نوار را براي هميشه در بايگاني نگه ميدارند. در چنين موردي، اين امكان وجود دارد كه دادههايي را كه در گذشته حذف شدهاند، دوباره بازيابي شوند. اما اطلاعاتي كه در يك روز ايجاد ميشوند و در همان روز نيز حذف ميگردند (قبل از اينكه نسخهبرداري پشتيبان به اجراء گذاشته شود) در هيچ مجموعه پشتيباني قابل دستيابي نخواهند بود.
بسياري سازمانها، به دليل حجم فزاينده دادههاي قابل خواندن بوسيله كامپيوتر، دريافتهاند كه با اين فنون سنتي تهيه نسخه پشتيبان، ديگر قادر نيستند يك نسخه پشتيبان كامل از مجموعه نوارهاي تحت كنترل پديد آورند، يا در ساعات غيركاري اين مجموعه اطلاعات پشتيبان را تهيه كنند. هماكنون بسياري از سايتها، در جستجوي استفاده از فناوريهاي تهيه نسخههاي پشتيبان جديد هستند كه از آن جمله ميتوان به سيستمهاي مديريت ذخيرهساز سلسله مراتبي (HSM) اشاره كرد. اين فناوري جديد قادر است تهيه نسخه پشتيبان را سريعتر و در حفرههاي ژرف ذخيرهساز به انجام برساند.
در بعضي اجراهاي HSM، زماني كه فايل به سيستم ذخيرهساز آن منتقل ميشود، يك «حافظ مكان» در ديسك اصلي باقي ميماند. از اين حافظ مكان زماني استفاده ميشود كه كاربر به يك شاخه از فايلها يا اطلاعات سيستمي خاصي از يك فايل نياز دارد. حذف اولية يك فايل، ممكن است منجر به حذف حافظ مكان گردد نه فايل اصلي سيستم HSM . همچنين از آنجائيكه سطوح پاييني سيستم ذخيرهساز HSM نميتواند بطور تصادفي فايلها را پاك كند، براي يك مدت زمان طولاني از فايلهايي كه ظاهرا حذف شدهاند، نگهداري ميكند.
بسياري سازمانها، براي اينكه از نوارهاي ذخيرهساز پشتيبان خود در برابر حوادث غير مترقبه نظير آتشسوزي، سيل و زمينلرزهها محافظت كنند، تمام يا قسمتي از آنها را در خارج از محل ذخيرهسازي نگهداري ميكنند. چنين نوارهايي عموماً به صورت روزانه يا هفتگي توسط پيك خاص به اين مكان فرستاده ميشوند و نوارهاي قديميتر براي استفاده مجدد در چرخة نسخة پشتيبان عودت داده ميشوند.
همچنين، علاوه بر اين نوع تهية نسخههاي پشتيبان منظم و رسمي، بعضي سازمانها نسخههاي پشتيباني در اختيار دارند كه آنها را به طور موقت و در واكنش به يك رويداد خاص به وجود آوردهاند. به عنوان مثال، متصديان سيستم يا ديگر كاركنان پشتيباني، معمولاً قبل از نصب نرمافزار جديد يا ارتقاء نرمافزار يا سختافزار، نسخة پشتيبان موقتي ايجاد ميكنند.
بسياري از كاربران، از كارهاي خود شخصاً نسخة پشتيبان تهيه ميكنند (معمولاً بر روي فلاپي). چنين فرايندي ميتواند به منظور ايجاد يك آرشيو دايمي از اسنادي كه نيازي به نگهداري آنها در سيستم نيست، يا به عنوان روشي جهت انتقال نسخهاي از كار در جريان بين كامپيوتر اداره، كامپيوتر قابل حمل و در منزل صورت پذيرد.
نوارهاي مغناطيسي كه از آنها براي تهية نسخة پشتيبان استفاده ميشود، توانمندي مشابهي در نگهداري اطلاعات قديمي دارند. معمولا اطلاعات بر روي نوارهاي مغناطيسي و از ابتداي آنها ضبط ميشود. همانند نوارهاي ويديويي و صوتي، اگر اطلاعات جديدي كه بر روي اطلاعات قديميتر ضبط ميشوند كوتاهتر از آنها باشند، در آن صورت بخشي از اطلاعات قديميتر در انتهاي نوار باقي خواهند ماند.
اين نوارها شبيه نوار VCR است. يك نوار VCR داراي دو برنامه تلويزيوني نيم ساعته است كه بعداً از آن جهت ذخيرهي يك كليپ خبري 20 دقيقهاي، مجدداً استفاده ميكنند. با اينحال، هنوز آخر نوار 10 دقيقه از برنامة اول را دارد و برنامة دوم نيز تمامي آن پياده شده است. نرمافزار تكثير نوار استاندارد، تتمهي اطلاعات قديميتر را تكثير يا كپيبرداري نميكند. بنابراين بهتر است نوارهاي پشتيبان قديميتر را در جايي نگهداري كنيم تا در صورت لزوم، بعداً از آنها براي مقاصد مربوط به دادخواهي استفاده كنيم.
در پايان، هر بار كه فرآيند تهية نسخة پشتيبان به اتمام ميرسد، معمولاً يك مدخل در لوگ فايل
ساخته ميشود كه دربرگيرنده تاريخ، زمان و توضيحاتي در خصوص اطلاعاتي است كه از آنها نسخة پشتيبان تهيه شده است. اين فايل معمولاً به صورت دورهاي پاك يا مجددا راهاندازي ميشود. همچنين ميتوان اين فايلها را به همراه ساير فايلهاي سيستم، روي نوار ذخيره كرد. با انجام بازرسي از اين لوگ فايلها، ميتوانيم به وجود مجموعههاي پشتيباني پي ببريم كه ايجاد شدهاند، اما هنوز افشاء نشدهاند.
4ـ8ـ پايگاههاي داده
از اين پايگاهها براي ذخيره انواع اطلاعات شغلي و شخصي استفاده ميشود. هر پايگاه داده داراي يك يا چند جدول است. مثلاً پايگاه داده حسابهاي قابل وصول، داراي يك جدول حاوي فهرست همه مشتريان تجاري ميباشد و جدول ديگر آن دربرگيرندهي تمامي فاكتورهاي فروش ميباشد. ممكن است جدولهاي ديگر به عنوان يك مرجع يا منبع موثق جداولي نظير فهرست تمامي استانها باشند. بعضي پايگاههاي داده در يك فايل چند جدول ذخيره ميكنند و بعضي ديگر براي ذخيرهي هر جدول يك فايل جداگانه به كار ميبرند.
در هر جدول اسناد و مدارك بسياري وجود دارد. هر يك از اين اسناد حاوي اطلاعاتي در مورد يك «موضوع» مبنايي است. به عنوان مثال، هر سند موجود در جدول مشتري، دربرگيرندهي اطلاعاتي راجع به يك مشتري خاص ميباشد. اطلاعات راجع به يك موضوع (مثلاً مشتري)، در يك يا چند «زمينه» نوشته شدهاند. هر سند داراي شمارگان مشابهي از زمينهها ميباشد (اگر چه ممكن است در هر زمينه اطلاعات موجود نباشد). اما تعداد اسناد موجود در هر جدول، يكسان باقي نميماند و با كم و زياد شدن موضوعات، تعداد آنها نيز تغيير مييابد.
اصولا اسناد به همان ترتيبي كه اضافه ميشوند، در جدول ذخيره ميگردند. اما اگر بخواهيم آنها را به ترتيب ديگري در اختيار داشته باشيم (مثلاً به ترتيب نام مشتري ذخيره شوند)، در اين صورت لازم است يك يا چند فهرست ديگر ايجاد كنيم. ترتيب فيزيكي اين اسناد معمولاً تغيير نمييابد، بلكه هرگاه كاربر بخواهد پايگاه دادهها را در يك ترتيب خاص ديگر ببيند، به فهرست مزبور مراجعه ميكند. ممكن است اين فهرستها، به عنوان جداولي در همان فايل پايگاه داده ذخيره شوند يا اينكه بسته به نوع پايگاه داده، در يك فايل ديسك جداگانة ديگر ذخيره گردند.
چنانچه سند در پايگاه داده حذف شود، با علامت "deleted" مشخص ميشود و در اكثر عملياتهاي پايگاه داده ظاهر نميگردد. اما اطلاعاتي كه در آن گنجانيده شده، در حقيقت پاك نميشود. در بعضي پايگاههاي داده، اسناد جديدي كه اضافه ميشوند، جاي اسناد محذوف را ميگيرند. در حاليكه در بعضي پايگاههاي داده ديگر، اسناد جديد در آخر فايل اضافه ميشوند.
براي اينكه اطلاعات مندرج در اسناد حذف شده در پايگاه دادهها به طور دايمي پاك شوند، از يك روش كار مخصوص بنام «فشردهسازي» يا «بستهبندي» در پايگاه دادهها استفاده ميكنند. در بعضي موارد، اين كار از طريق نگارش مجدد اسناد پوياي پايگاه داده در يك فايل جديد و حذف فايل قديمي آن، كه حاوي اسناد محذوف است، به نحو كامل انجام ميگيرد.
امروزه، چندان از روشكاري كه در واقع اطلاعات حذف شده را پاك ميكند و فضاي اشغال شده توسط اين اطلاعات را مورد استفادة مجدد قرار ميدهد، استقبال چنداني نميشود. نتيجه اين ميشود كه اطلاعات حذف شده، هفتهها، ماهها، يا در بعضي موارد حتي سالها بعد از حذف ظاهري همچنان وجود دارند. به علاوه، ارزيابي سيستم رايانهاي كمي پس از عمليات فشردهسازي پايگاه داده، موجب ميشود كه بتوان نسخة قديميتر پايگاه داده را كه در يك فايل ديسك حذف شده قرار دارد و تاكنون به فايل جديدي اختصاص داده نشده، به دست آورد.
ديگر منبع مفيد اطلاعات موجود در پايگاه دادهها، به سيستمهاي سِروِر/ مشتري معروف است. اين اطلاعات را ميتوان از طريق ارزيابي مبادلات فايلهاي ايجاد شده بوسيلة انواع خاصي از سيستمهاي مديريت پايگاه داده به دست آورد. اين نوع سيستمها بدين منظور طراحي شدند كه ريسك از دست دادن دادهها در اثر خرابي يا مشكل داشتن كامپيوتر را كاهش يابد. همه تبادلاتي (اعم از اضافات، حذفها، يا اصلاحات) كه توسط اين نوع پايگاه دادهها پردازش ميشود، در يك لوگ تبادل متوالي ضبط و ذخيره ميشوند.
در صورتي كه خرابي كامپيوتر موجب تباهي اطلاعات پايگاه داده شود، ميتوان نسخة قديميتر پايگاه را از آخرين نسخة پشتيبان سيستم پياده كرد و سپس با پردازش تبادلات موجود در لوگ تبادل، پايگاه را به وضعيت عادي برگرداند. با بررسي اين لوگ تبادل، كه در زمان موردنظر ضبط شده است، ميتوان آنچه را كه اتفاق افتاده است بازسازي كرد.
4ـ9ـ فايلهاي واژهپرداز (پردازش متن)
فايلهاي واژهپرداز حاوي نمونههاي متعددي از اطلاعات الكترونيك هستند كه به طور معمول اين اطلاعات را در نسخه پرينت شده يك سند نميتوان پيدا كرد. اين نوع اطلاعات شامل موارد ذيل ميشود:
ـ حوزههاي خلاصهنويسي اسناد: اين حوزهها انتخابي هستند و از آنها براي ذخيره اطلاعات راجع به يك سند استفاده ميشود. سازمانهايي كه از يك سيستم مديريت اسناد برخوردار نيستند، ميتوانند از اين ويژگي براي ذخيره خلاصه اطلاعات راجع به اسنادي كه توليد ميكنند، استفاده زيادي ببرند؛
ـ اظهار نظرات: گاهي اوقات كاربران ميخواهند اظهار نظري راجع به يك سند داشته باشند، بي آنكه محتواي آن تغييري پيدا كند. ويژگي شرح يا اظهارنظر سند، به كاربر امكان ميدهد متني را كه قرار است تفسير شود انتخاب كند. سپس پنجره جداگانهاي را باز كند و شرح و تفاسير را در آنجا تايپ نمايد. شرح و توضيحاتي كه توسط افراد مختلف ارايه ميشود، به طور جداگانه پيگيري و نشان داده ميشوند. با در اختيار داشتن سختافزار مناسب، اظهارنظرات ميتواند گفتاري، نوشتاري و متني باشد. نظرات كتبي را ميتوان مستقيما به سند اضافه كرد و موقعيت آن همانند هر طرحريزي موضوع ديگري ميباشد. به طور معمول اظهارنظرات از مقابل ديدگان پنهان است و در صورتي كه بخواهيم آن را مشاهده كنيم، بايد قسمت مشاهدة نظرات روشن باشد. زماني ميتوان توضيحات مربوطه را به همراه سند پرينت گرفت كه امكانات خاص پرينت از آن فعال باشد؛ .
ـ پيگيري بازنگري: از عملكرد «نشانهگذاري بازنگري» براي كنترل و ردگيري تغييراتي كه در يك سند ايجاد ميشود، استفاده ميشود. علايم بازنگري ميتوانند نشان دهند كه تغييرات سند توسط چه كسي، كجا و چه زماني انجام شدهاند. اگر چند نفر كار بازنگري را انجام داده باشند، در اين صورت نرمافزار Word به بازنگري هر فرد رنگ خاصي ميدهد و نام آن فرد، تاريخ و زمان بازنگري را با زدن برچسب مشخص مينمايد. نشانههاي بازنگري را ميتوان در زمان ويرايش سند اضافه كرد. با توجه به امكانات موجود، نشانههاي بازنگري را ميتوان پنهان كرده و صرفا بر روي صفحه نمايش نشان داد و/يا بر روي نسخههاي پرينت آن مشاهده كرد.
ـ فرهنگ لغتها: فرهنگ لغتها دربرگيرندة نامهايي است كه در مكاتبات يا ديگر اسناد، حتي زماني كه اسناد مربوطه حذف شدهاند، به كار ميرود (مانند نام اشخاص، محصول يا شركتها). نرمافزار
Word Perfect داراي دو فرهنگ لغت است كه ميتوان آنها را كاوش كرد: «فرهنگ لغت مكمل كاربر»، و «فرهنگ لغت اسناد»؛ در نرمافزار Word ، امكان فراهم آوردن يك يا چند فرهنگ لغت وجود دارد؛
ـ متن پنهان: ويژگي كه از آن به «متن پنهان» ياد ميشود، به كاربر اجازه ميدهد وارد متن پنهان يك سند شود. اين متن در صورتي روي صفحه نمايش ظاهر ميشود يا ميتوان از آن پرينت گرفت كه فرمان خاصي داده شود يا اقدام خاصي توسط كاربر به عمل آيد؛
ـ جداول: جداول در اسناد واژهپرداز، همانند صفحه گستردههاي كوچك هستند. از اين رو، با دسترسي به كپي الكترونيكي يك سند، ميتوان به فرمولهايي دسترسي پيدا كرد كه اگرچه وارد رايانه شدهاند، اما قابل پرينت نيستند؛
ـ پانوشتها و سرصفحات پنهان: معمولاً از انتشار اطلاعات مندرج در سرصفحات و پانوشتهاي يك سند به صورت پرينت يا ظاهر شدن بر روي صفحه نمايش جلوگيري ميشود. براي اين كار معمولاً «رمز جلوگيري» را وارد ميكنند.
ـ فرمان Undo: اطلاعات راجع به تغييرات اخير يك سند (از جمله حذفهايي كه صورت گرفته)، در همان سند نگهداري ميشود تا بتوان با كمك فرمان Undo از آن برخوردار شد. نرمافزار Word Perfect 8.0 ميتواند تا مرز 300 عمليات را در Undo (به عنوان يك حافظه موقتي (buffer)) ذخيره كند (البته، عملكرد غيابي 10 مرحله را دربرميگيرد و گزينة configuration نيز پيشبيني شده تا از ذخيرهسازي عملكردهاي Undo در سند ممانعت به عمل آيد).
ممكن است اطلاعات ديگري نيز توسط برنامه واژهپرداز رديابي شده و به دست آيد. اما اين اطلاعات لزوماً در يك سند خاص ذخيره يا نگهداري نميشوند. معمولا چنين اطلاعاتي به طور جداگانه توسط هر كاربر برنامه رديابي شده و شامل موارد ذيل ميشوند:
ـ دفترچههاي آدرس: از امكانات دفترچه آدرس براي ثبت و ذخيرهي آدرس افراد و سازمانها استفاده ميشود. زماني كه بخواهيم با استفاده از بعضي الگوهاي واژهپرداز خاص، در آينده جهت ارسال فاكس يا نامه دسترسي سريع به آدرسها داشته باشيم، ميتوانيم اطلاعات مرتبط به آن را جمعآوري و ذخيره كنيم. اطلاعات موجود در دفترچه آدرس معمولاً در پيكربندي خاص يا فايلهاي دادهها ذخيره ميگردند؛
ـ جستجو و جايگزيني: برنامههاي زيادي وجود دارد كه آخرين مدخلهاي مورد جستجوي كاربر را ذخيره ميكنند؛
ـ لوگفايلها : نگارشهاي خاصي از Word Perfect، ايجاد لوگفايلهاي اختياري را مورد پشتيباني قرار ميدهند كه در آنها يك حساب مميزي از نام همه اسنادي كه ويرايش شدهاند، ذخيره ميگردد؛
ـ نام آخرين فايلهايي كه باز شدهاند: امروزه بسياري از برنامههاي مبتني بر ويندوز، فهرستي از چند سندي كه اخيراً توسط كاربر خاصي ويرايش شده است را ذخيره و نگهداري ميكنند. در ويندوز 95، منوي START داراي يك گزينه به نام "Document" است كه 15 سند آخري را (مانند واژهپرداز و ديگر انواع اسناد) كه برنامههاي خاصي به آن دسترسي پيدا كردهاند، مورد جستجو و رديابي قرار ميدهد؛ يا
ـ فهرستنويس: Word Perfect داراي يك فهرستنويس ساخته شده در درون فايل است كه فهرستي قابل جستجو از تمام متن و از كل اسناد موجود در يك شاخه خاص، به وجود ميآورد. اين فهرستها بطور متناوب روزآمد ميشوند. جستجوي اين فهرستها با استفاده از لغات كليدي مربوط به يك امر دادخواهي يا پيجويي، ميتواند ما را از وجود يك فايل مرتبط كه از آخرين مرتبهاي كه فهرست روزآمد شده حذف گرديده است، مطلع كند.
همچنين برنامههاي واژهپرداز بسياري داراي منابع پنهان اطلاعات هستند كه بعضي از اين منابع را ميتوان با كمك متخصص بازيابي نمود. اين منابع اطلاعات پنهان شامل موارد ذيل ميشود:
ـ ذخيره سريع: از اين ويژگي ميتوان براي افزايش سرعت ذخيرهي نسخهاي از سند جاري موجود در ديسك، استفاده كرد. افزايش يا بهبود در سرعت ناشي از اين حقيقت است كه فقط تغييرات افزايشي ذخيره ميشوند (يعني قسمتهايي از سند كه اضافه، جايگزين يا براي حذف شدن مشخص شدهاند). تغييرات بينابيني، از قبيل قسمتهاي از متن كه حذف شدهاند را ميتوان بازيابي نمود.
ـ نگهداري نگارش پيشين: اين امكان ديگري است كه نگهداري نگارش پيشين همه اسناد را اجباري ميكند. نسخه قديمي مجدداً با يك پسوند خاص نامگذاري شده و در همان زيرشاخه به عنوان نگارش جديد نگهداري ميشود. بعضي سيستمهاي عامل مينيكامپيوتر، مانند VMS، طوري تنظيم شدهاند كه اين كار را به طور خودكار انجام ميدهند.
ـ روش ذخيرهي نگارشهاي جديد: با اين روش، هر بار كه سند ذخيره ميشود، فايل جديد بازنويسي ميشود و به دنبال آن نسخة قديمي فايل مجددا نامگذاري ميگردد. در Word Perfect، نامگذاري مجدد نسخة قديمي با پسوند "bk!" است. نگارش در سند با نام اصلي فايل صورت ميگيرد. سپس اگر برنامة «تهية نسخة پشتيبان از سند اصلي»، آماده اجرا نبود، نسخه قديمي حذف ميشود. اين فرايند، در شرايط بد عمل كردن كامپيوتر در جريان ذخيرهسازي، از سند محافظت ميكند. اما ميتواند چندين نگارش قديميتر را بر روي ديسك، در وضعيت حذف شده اما قابل بازيابي نگهدارد.
ـ استفاده گسترده از فايلهاي موقتي: اگر يك سند بسيار بزرگ را در يك برنامه واژهپرداز بازيابي كنيم، بخشي از آن سند، كه تقريباً به بزرگي كل سند است، در يك يا دو فايل موقتي نوشته ميشود. اين كار سرعت عمليات "Go To" را از ابتدا تا انتهاي سند افزايش ميدهد. همچنين از فايلهاي موقتي براي ذخيرهي نسخهاي از متن حذف شده از يك سند استفاده ميشود. ضمن اينكه اين امر باعث تقويت فرمان Undelete نرمافزار نيز ميشود.
ـ نسخههاي پشتيبان زمانبندي شده: نسخة پشتيبان زمانبندي شده موجب ميشود كه كپي سند ويرايش شده به طور متناوب بر روي ديسك ضبط شود. اين نوع تسهيلات به كاربر اين امكان را ميدهد كه در زمان نقص منبع تغذيه يا ديگر مشكلات، بتواند قسمتي از كارش را بازيابي كند. زماني كه كاربر برنامة واژهپرداز را به اجرا درميآورد، نسخة پشتيبان زمانبندي شدة مذكور حذف ميگردد. اين امر به كاربر اجازه ميدهد سندي را كه هنوز ذخيره نشده بازيابي كند. درست مانند اينكه در آخرين لحظهاي كه كامپيوتر با نقص مواجه شده، از آن سند نسخة پشتيبان تهيه شود. هر بار كه يك نسخة پشتيبان زمانبندي شد ذخيره ميشود، معمولاً بين 5 تا 15 دقيقه، نسخه قديميتر مجدداً نامگذاري شده و حذف ميگردد. همه نسخههاي پشتيبان زمانبندي شدهي اسنادي كه حذف گرديدهاند، در يك فايل حذف شده نگهداري ميشوند. اما اين فايل از روي رسانة ذخيرهساز قابل بازيابي است.
ـ سرصفحات غيرقابل مشاهده: بعضي برنامههاي واژهپرداز، اطلاعات خاص سيستمي را در سرصفحة فايل سند ذخيره ميكنند. عموما اين اطلاعات از طريق عمليات معمول پردازش واژه توسط كاربر قابل رؤيت نيستند و دسترسي به آنها امكانپذير نميباشد. اما اين اطلاعات با استفاده از نرمافزار كاربردي خاصي قابل رؤيت ميشوند؛ يا
- عمليات ذخيرهساز اصلاح شده: بعضي سازمانها، برنامههاي نرمافزاري واژهپرداز خود را طوري اصلاح ميكنند كه بتوانند در هر مرحله از ذخيرهسازي سند، عمليات بزرگ خاصي را اجرا كنند. به عنوان مثال، هر نسخة پشتيباني كه ذخيره ميشود، يك نسخه از آن در ديسك سخت داخلي كاربر نگهداري ميشود تا در صورت بروز مشكل در شبكه، دسترسي به آن فراهم باشد. بنابراين، ضروري است كه پرسيده شود آيا نصب ويژه نرمافزار مربوطه، خصوصاً در عمليات ذخيرهسازي، اصلاح شده يا ارتقاء پيدا كرده است يا خير.
با اينكه اطلاعات و فنون مندرج در اين قسمت در رابطه با اسناد واژهپرداز نوشته شده است، اما بسياري از اين خصوصيات و منابع پنهان اطلاعات مفيد، در ديگر برنامههاي نرمافزاري از قبيل برنامة صفحة گسترده يا برنامههاي نمايش گرافيكي قابل اجرا هستند.
لازم به ذكر است كه شماري از برنامههاي نوشته شده در ويندوز، عملكرد «اتصال و گنجانيدن» را پشتيباني و تقويت ميكنند. اين فرايند به كاربر اين امكان را ميدهد كه «موضوعي» را از برنامة ديگري به سند اضافه كند. كامپيوترهاي مكينتاش، محتوي برنامه مشابهي به نام «انتشار و عضويت» ميباشد. بكارگيري اين برنامه كاربر را قادر ميسازد، طرح گرافيكي يا صفحة گسترده ايجاد شده در برنامة صفحة گسترده را به نامهاي كه در برنامة پردازش واژه ايجاد شده، منضم كند. اين موضوع خارجي در ميان سند ظاهر خواهد شد. اما بسته به نوع ضميمهسازي، ميتوان موضوع مربوطه را در خارج از سند نيز نگهداري كرد. از اين رو، حذف سندي كه محتوي اين موضوعات ميباشد، منجر به حذف خود آن موضوع نخواهد شد.
4ـ10ـ پست الكترونيكي
معمولا سيستمهاي پست الكترونيكي، جهت اقامه دعوا يك منبع بسيار عالي از دلايل و مدارك مفيد جهت اقامة دعوا ميباشند. امروزه علم الكترونيك باعث شده همانطور كه ادلة الكترونيك جايگزين مدارك كاغذي ميشوند، پست الكترونيكي نيز جاي اداره پست را بگيرد. پست الكترونيكي به طور فزايندهاي در مكاتبات شغلي به كار ميرود و اغلب كپيهاي پيامهاي ارسالي بيش از آنچه كه كاربر فكر ميكند يا انتظار دارد، در سيستم نگهداري ميشود.
نويسندگان پيامهاي الكترونيكي غالبا انتظار دارند كه پيامشان فقط توسط دريافت كنندهي مورد نظر رؤيت شود و سپس حذف گردد. از اين رو، آنها نامههاي الكترونيكي خود را بيپرده و صريح مينويسند، امري كه در مكاتبات رسمي صورت نميگيرد.
ممكن است مكاتبات پست الكترونيكي افكار يا ايدههاي ابتدايي را منعكس كنند. معمولا پيامهاي پست الكترونيكي توسط سازمانها بازبيني نميشوند و صرفاً نظرات شخصي طرفين مكاتبه را منعكس ميكنند. اما دادگاهها و مقامات نظارتي براي انعكاس جايگاه سازمان، ميتوانند اين پيامها را مورد تجزيه و تحليل قرار دهند.
سيستمهاي پست الكترونيكي داراي چند كاربر را ميتوان به دو دسته تقسيم كرد. گروه اول، سيستمي است كه طرحريزي مشتري/سرور را دارد و اطلاعات از سرور به ساير كامپيوترهاي متصل به آن منتقل ميشود. اين نوع سيستم داراي برنامهاي است كه با استفاده از آن، كاربران با برنامة پست الكترونيكي سِروِر مركزي ارتباط برقرار ميكنند. اين برنامه كار ذخيره و كنترل دستيابي به پيامها را انجام ميدهد. اين نوع سيستم امنيت و قابليت اطمينان بيشتري فراهم ميكند و به سِروِر اين امكان را ميدهد كه خدمات پشتيباني، از قبيل اجراي خودكار مقررات نگهداري پيام را انجام دهد.
سيستمهاي پست الكترونيكي نوع دوم طوري طراحي شدهاند كه داراي يك شاخه مشترك هستند. اين شاخه در دسترس مستقيم همة كاربران قرار دارد و از آن براي توزيع و ذخيرهسازي پيامهاي الكترونيكي استفاده ميشود. شاخة مشترك اين نوع طرح در مقايسه با نوع اول، از آن عموميت برخوردار نميباشد كه ويژگيهاي ساختاري آن بتواند مقررات نگهداري پيام را به مرحلة اجرا گذارد.
خصوصيت مشترك اكثر سيستمهاي پست الكترونيكي اين است كه كاربران ميتوانند با ايجاد فولدرهايي پيامهاي خود را در آن ذخيره كنند. بسياري از كاربران با استفاده از اين امكانات، نسخههايي از پيامهاي الكترونيكي خود را با نام فرستنده/گيرنده يا با عنوان پيام ذخيره ميكنند.
همچنين سيستم پست الكترونيكي با ايجاد يك فولدر غيابي، به طور خودكار نسخه نامههاي الكترونيكي كه كاربر فرستاده است را در آن ذخيره ميكند. كاربر ميتواند پيامهاي ذخيره شده در فولدر «نامههاي ارسال شده» را در دورههاي زماني مشخص حذف نمايد. همچنين اين توانايي را دارد كه از ذخيرهسازي پيامهاي خاصي در فولدر مذكور جلوگيري نمايد.
ويژگي مشترك ديگر اين سيستمها اين است كه به كاربران اجازه ميدهد پيامهايي را كه به طور اتفاقي حذف شدهاند را بازيابي نمايند. يك روش اجراي اين كاركرد آن است كه براي نگهداري كپي تمامي پيامهاي حذف شده، از فولدري كه خود سيستم ايجاد كرده است، استفاده كنيم. برنامة اين فولدر را ميتوان طوري تنظيم كرد كه در زماني كه كاربر برنامه پست الكترونيكي را شات داون ميكند، محتويات آن بيرون بريزند. اگر برنامه پست الكترونيكي براي كاربر طوري تنظيم شده باشد كه پيامهاي حذف شده را در پايان هر جلسه پيام الكترونيكي به جاي بيرون ريختن نگهداري كند، در اين صورت پيامها براي يك دورهي زماني قابل ملاحظه ذخيره ميمانند. چنانچه كاربر در مورد سيستم پست الكترونيكي آموزش نديده باشد، حتي نميداند كه پيامهاي حذف شده در حال انباشت شدن هستند.
به همان نسبت كه سيستم بيشتر مورد استفاده قرار ميگيرد، اندازة فولدرهاي پست الكترونيكي هر يك از كاربران نيز بزرگتر ميشود. ممكن است از كاربران خواسته شود كه پيامهاي الكترونيكي را به صورت دورهاي بايگاني نمايند و پيامهاي قديميتر را حذف نمايند. فولدر نامههاي ارسال شده، اولين گزينة پاكسازي ميباشد. زيرا نسخهاي از هر پيام ارسال شده را داراست. در عمليات بايگاني، پيامهاي ذخيره شده در فولدر فعال، به يك فايل ديسك خارجي انتقال مييابد. بنابراين، در هنگام بازبيني سيستم پست الكترونيكي بايد از اين مورد نيز مطمئن شويم كه آيا بايگاني صورت گرفته است و در اين صورت، مكان اين فايلها كجاست.
در بعضي موارد، ممكن است فولدرهاي پست الكترونيكي به جاي اينكه در شاخه مشترك يا در پايگاه داده پست الكترونيكي مستقر در سرور فايل ذخيره شوند، در كامپيوتر شخصي كاربر ذخيره گردند. كارمنداني كه از كامپيوتر قابل حمل يا خانگي براي دستيابي به سيستم پست الكترونيكي دستهجمعي استفاده ميكنند، تقريباً هميشه فولدرهاي خود را در يك كامپيوتر شخصي جداگانه ذخيره ميكنند. بنابراين، لازم است اينگونه كامپيوترهاي شخصي را نيز در زمرة تفتيش دادههاي الكترونيكي قرار دهيم.
سيستمهاي پست الكترونيكي قادرند منابع ادله الكترونيكي مضاعفي در اختيار داشته باشند كه ميتوان آنها را با كمك متخصص رايانه بازيابي نمود. فولدرهاي پست الكترونيكي و پيامهاي فردي كه در آنها موجود ميباشد، معمولاً در يك فايل پست الكترونيكي كه نوعي پايگاه داده است، ذخيره ميشوند. پيامهاي پستي كه از چنين فايلي حذف ميشوند، عموما به دليل برخي مقاصد اجرايي، به طور فيزيكي پاك نميشوند. بلكه مانند ديگر پايگاههاي داده، فضايي كه در اين فايل اشغال ميشود، با علامت آماده براي استفاده مجدد مشخص ميگردد.
در سيستم پست الكترونيكي تسهيلاتي وجود دارد كه پيامهاي حذف شده را پاكسازي ميكند و فضاي اشغال شده توسط چنين پيامهايي را مجدداً آمادهي كاربري مينمايد. اما اين پاكسازي يا فشردهسازي، معمولاً فقط در دورههاي زماني معين و در صورتيكه فضاي ديسك درايو از فايلهاي پست الكترونيكي لبريز شده باشد، انجام ميگيرد.
حتي زماني كه فايلهاي پست الكترونيكي براي بازيابي فضاي اشغال شده پاك ميشوند، باز هم روشي كه در غالب موارد بكار گرفته ميشود، اين است كه همه محتويات فعال (حذف نشده) فايل در يك فايل جديد نوشته ميشود و سپس فايل قديمي حذف ميگردد. ممكن است فايل قديمي، تا زمان كه به فضاي اشغال شده ديسك براي ذخيرهي دادههاي جديد نيازي نباشد، به صورت حذف شده اما قابل بازيابي در سيستم باقي بماند. بنابراين، اطلاعات پست الكترونيكي كه انتظار ميرفت براي هميشه پاك شدهاند را ميتوان با استفاده از تسهيلات خاصي قابل بازيابي نمود.
مثال تاريخي مهمي كه ميتوان در زمينة بازيابي پست الكترونيكي زد، راجع به بررسي جريان وايت واتر سناي آمريكا ميباشد. در اين جريان فايلهاي وايت واتر متعلق به وينست فوستر، متعاقب مرگ وي در سال 1993 مورد بررسي قرار گرفت. پيامهاي پست الكترونيكي مبادله شده ميان منشي جناب فوستر و مشاور كاخ سفيد - به نام برنارد نوبسام - كه حذف شده بودند، بازيابي شدند. آن پيامها، محتوي موضوعاتي راجع به اهمال كارمندان كاخ سفيد در برخورد با ادلة كليدي دفتر جناب فوستر بود.
دست آخر اينكه، اكثر سازمانهاي بزرگ، از چند مركز پستي الكترونيكي استفاده ميكنند. حتي اگر يك پيام پست الكترونيكي با موفقيت از يك مركز زدوده شود، هنوز اين امكان وجود دارد كه چنانچه پيام اصلي، دريافت كنندگاني از ساير مراكز داشته باشد، نسخههايي از اين پيام در آن مراكز بايگاني شده باشد. همچنين ميتوان از اين مراكز چندگانه در زماني كه پيام الكترونيكي از سازماني به سازمان ديگر ارسال ميشود، استفاده كرد. زماني كه اين گونه ارتباطات از طريق اينترنت يا شبكه ثالثي برقرار ميشود، ممكن است نسخههاي مضاعفي در سيستمهاي مياني توليد شده باشد.
بعضي كاربران از بيشتر از يك سيستم الكترونيكي استفاده ميكنند كه لازم است هر يك از اين سيستمها كنترل و بررسي شود. به عنوان مثال، بعضي در سيستم پست الكترونيكي مبتني بر شبكه LAN يك e.mail box دارند، ضمن اينكه از اعتبار پست الكترونيكي يك شبكه بزرگ و اصلي يا از برنامة groupware كه پست الكترونيكي ديگري در اختيار ميگذارد، استفاده ميكنند. بسياري از كاربران علاوه بر در اختيار داشتن پست الكترونيكي منزل يا شركت، از يكي از خدمات پست الكترونيكي بر مبناي وب نيز استفاده ميكنند. ارائهدهندگان اينگونه خدمات، در دسترسي به پست الكترونيك تسهيلات بيشتري فراهم ميكنند و سطح بيشتري از حريم خصوصي/ناشناختگي را بوجود ميآورند. چنانچه كاربران به پايگاههاي داده بيروني يا خدمات آن لاين دسترسي داشته باشند، ميتوانند محيطهاي الكترونيكي بيشتري را براي خود فراهم آورند. بنابراين، جهت تفتيش پست الكترونيكي لازم است تمامي مراكز الكترونيكي ممكن را تعيين نماييد و از آنها تحقيق به عمل آوريد.
در بعضي موارد، كاربراني كه از پستهاي الكترونيكي چند كاربره استفاده ميكنند، يك يا چند box را طوري برنامهريزي ميكنند كه به طور خودكار پيامهاي دريافت شده را به يك box منتخب ارسال نمايد تا تنها به يك منبع براي كنترل پيامهاي جديد نياز باشد. بعضي از باكسهاي پست الكترونيك ارسال شده، نسخههايي از تمامي پيامهاي ارسال شده را نزد خود نگهداري ميكنند.
تفتيش اطلاعات مندرج در يك سيستم پست الكترونيكي ميتواند كار بسيار وقتگيري باشد. با توجه به تعداد نسخههاي پشتيبان يك سيستم پست الكترونيكي كه ممكن است بر روي نوارهاي پشتيبان ذخيره شده باشند، فرآيند بازبيني ميتواند واقعاً پرهزينه باشد. اما نميتوان از چنين بازبيني يا بازرسيهايي اجتناب كرد. زيرا ممكن است در چنين سيستمهايي دلايل و مدارك دالّ بر مجرميت كشف شود.
الف) برنامه پست الكترونيكي Novell"s Groupwise
يك برنامه پست الكترونيكي متداول كه در بسياري از سازمانها به كار ميرود، Groupwise است كه متعلق به سيستم Novell ميباشد. اين برنامه بر مبناي يك شاخه مشترك يا سِروِر ـ مشتري عمل ميكند.
پيامهاي الكترونيكي جديد در فولدر MAILBOX متعلق به Groupwise ذخيره ميشوند. اين پيامها را ميتوان به طور خودكار يا دستي به ديگر فولدرهاي ايجاد شده توسط كاربر، انتقال داد يا كپي كرد (البته از طريق بكارگيري مقررات). نسخههاي پيام ارسالي در فولدري كه SENT ITEMS ناميده ميشود، ذخيره ميگردند. اگر يك پيام الكترونيكي به ديگر كاربر برنامة Groupwise فرستاده شود (برخلاف ارسال از طريق اينترنت)، در اين صورت بعضي اطلاعات خاص (نظير تاريخ رؤيت پيام توسط دريافت كننده و تصرف در آن نظير حذف و دستكاري) ردگيري ميشود.
برنامه Groupwise را ميتوان طوري تنظيم كرد كه پيامهاي قديميتر (از يك دورهي خاص) را حذف يا بايگاني نمايد. پيامهاي بايگاني شده را از تجهيزات اصلي ذخيرهساز پيام جدا ميكنند و در يك مكان بايگاني مجزا ذخيره مينمايند. با برنامه Groupwise به طور مستقيم ميتوان اين پيامها را مورد بررسي و ارزيابي قرار داد.
دفترچة راهنماي آدرس سيستم اصلي (كه فهرستي از نشانيهاي لازم را براي كاربر سيستم فراهم ميآورد) Novell Groupwise Address Book ناميده ميشود. همچنين، برنامه Groupwise به طور غيابي دفترچه آدرس ديگري به نام "Frequent Contacts" كه در آن آدرسهاي پست الكترونيكي مخاطبان جديد ذخيره ميشود، ايجاد ميكند. بنابراين، اين دفترچه، نوعي لوگ را تشكيل ميدهد كه در آن آدرسهاي پست الكترونيكي اشخاصي كه از آنها پيام دريافت ميشود يا به آنها ارسال ميشود را ثبت و نگهداري ميكند. همه كاربران پست الكترونيكي ميتوانند دفترچه راهنماي آدرس مضاعفي براي خود ايجاد كنند.
همچنين برنامة Groupwise، اين امكان را فراهم ميآورد كه با نصب نگارشي از آن بر روي كامپيوتر خانگي يا قابل حمل اداري، بتوان از راه دور دسترسي داشت يا از آن استفاده كرد. با استفاده از اين سيستمهاي راه دور و قابل حمل، ميتوان كپيهاي اطلاعاتي را كه از سيستم پست الكترونيك اداري پاك شده است را بازيابي نمود.
پيامهاي الكترونيك ارسالي در شاخهاي به نام WPGWSEND ذخيره ميشوند، در حاليكه پيامهاي ورودي در WPGWRCV ذخيره ميگردند. لوگ فايلهايي كه الگوي REMOTEx.LOG (در اينجا x يك عدد صحيح مفرد ميباشد) را به كار ميگيرند، اطلاعات راجع به تاريخ/ زمان ارتباط با شاهراه كامپيوتر ميزبان و لوگهاي مربوط به نقل و انتقال فايل را در خود ذخيره ميكنند. جهت نگهداري كپيهاي پيامهاي پست الكترونيك شخصي و ضمائم آن (در يك قالب انحصاري)، از زيرشاخههاي خاص مضاعفي كه بدين منظور توليد شده، استفاده ميشود. همچنين با استفاده از ابزارهاي بازيابي، ميتوان پيامهايي را كه هنوز اطلاعات جديدي بر روي آنها ذخيره نشده است، بازيابي نمود.
نسخههاي به روز شده دفترچههاي آدرس را ميتوان با درخواست از سيستم پست الكترونيكي اصلي پياده كرد (و همواره سيستم دوردست پيام جديد را كنترل نميكند). اين امر بدين معناست كه حتي اگر اطلاعات راجع به ارتباط يك شخص خاص از دفترچه آدرس پست الكترونيكي سيستم رايانهاي اداره حذف شده باشد، ميتوان آن را از دفترچه آدرس يك رايانهي دوردست به دست آورد؛ البته به شرطي كه نسخهي به روز شدة اين دفترچه از زمان حذف درخواست نشده باشد. همچنين، نسخههايي از بعضي پيامهاي خاص كه از سيستم پست الكترونيك اداري حذف شدهاند، در پايگاه داده پست الكترونيكي سيستم دوردست مشتري موجود ميباشد. البته اين نوع پيامها تنها به پيامهايي كه در كامپيوتر شخصي راه دور نوشته شدهاند منحصر نميشود، بلكه پيامهايي كه براي بازديد، در كامپيوتر راه دور پياده شدهاند را نيز شامل ميشود.
همچنين از برنامة Groupwise براي رديابي اطلاعات مربوط به گاهشماري (تقويم)/ برنامهريزي و فهرست اموري كه بايد انجام داد، استفاده ميكنند. چنين اطلاعاتي را ميتوان در صورت تقاضا، از سيستمهاي راه دور بازيابي نمود و در صورتي كه به علل خاصي پاك نشوند، ميتوان آنها را در آن سيستمها نگهداري كرد. .
4ـ11ـ نرمافزار فاكس نصب شده در كامپيوتر روميزي
بسياري از كامپيوترهاي اداري با وصل شدن به دستگاه مودم قادرند به طور مستقيم فاكس دريافت كنند يا بفرستند. سيستم ويندوز براي تقويت چنين قابليتهايي، امكانات رايگان (اما با عملكرد محدود) ارايه ميدهد. هچنين شركتهاي فروش ثالث بسياري وجود دارد كه برنامههايي با عملكرد بالاتر در اين زمينه ارايه ميدهند. يكي از متداولترين برنامهها در اين زمينه، برنامهي WinFax است.
به طور غيابي، برنامه WinFax از چهار فولدر استفاده ميكند كه عبارتند از:
1ـ OUTBOX : از فاكسهاي در جريان نگهداري ميكند؛
2ـ RECEIVE LOG : از فاكسهاي در حال رسيدن نگهداري ميكند؛
3ـ SEND LOG : از فاكسهاي ارسال شده ( از جمله آنهايي كه با موفقيت ارسال نشدهاند) نگهداري ميكند؛ و
4ـ WASTEBASKET : از اطلاعات و فاكسهاي حذف شده نگهداري ميكند. (زماني كه اطلاعات يا يك فاكس از يكي از فولدرهاي ديگر حذف ميشود، به اين فولدر انتقال مييابد. ميتوان اين فولدر را به گونهاي تنظيم كرد كه زماني كه كاربر از برنامه خارج ميشود، «خالي شود»).
نسخههاي اصلي اطلاعات موجود در اين فولدرها در زيرشاخه DATA (از شاخه اصلي برنامه WINFAX) ذخيره ميشوند. به عنوان مثال، هر برگهي فاكسي كه دريافت ميشود، به عنوان يك فايل و با ضميمهي FXR ذخيره ميشود. هر برگهي فاكس ارسال شده نيز به عنوان يك فايل و با ضميمهي FXD ذخيره ميشود. فايلهاي اضافي نيز اطلاعات راجع به هر رويداد را نگهداري ميكنند. حتي اگر يك رويداد/ فاكس از داخل برنامه WinFax حذف شود، هنوز اين امكان وجود دارد كه نسخههاي پاك نشدهي فايلهاي مندرج در شاخه DATA (كه قبلاً ذكر شد) را بازيابي نمود.
4ـ12ـ رمز منبع نرمافزار
رمز منبع نسخهاي قابل خواندن توسط كاربر از يك برنامه كامپيوتري ميباشد. در بعضي موارد، عمليات كامپيوتر از طريق اجرا يا تفسير مستقيم رمز منبع كنترل ميشود. اما اين عمليات معمولاً به كندي صورت ميگيرد. براي تسريع در اين فرايند، معمولاً رمز منبع به آنچه كه به عنوان رمز ماشين يا رمز شيء شناخته ميشود، ترجمه ميگردد. اين نوع رمز ، شكلي از برنامه كامپيوتري است كه اگرچه به آساني توسط افراد قابل درك نيست، اما نوع بهينهتري براي اجراي در كامپيوتر ميباشد.
آخرين نسخهي رمز منبع، به موازات توسعه برنامه كامپيوتري، به طور مستمر ذخيره ميشود. حتي پس از اينكه يك برنامه كامپيوتري كامل ميشود، براي بهبود نرمافزار به طور پيوسته عيب و نقص آن برطرف ميشود و بر توانمنديهاي آن اضافه ميگردد. نسخههاي جديد اين برنامه به عنوان نسخههاي روزآمد و مجهزتر و كارآتر شناخته ميشوند.
شركتهاي سازنده نرمافزار، در توسعهي اوليه يك برنامهي رايانهاي، يا به عنوان بخشي از تغييرات در حال جريان براي بهبود يك برنامه، از برنامههاي «كنترل نگارش جديد» استفاده ميكنند. چنين نرمافزاري با ذخيره نمودن تغييرات مختلف به عملآمده بين نسخه اصلي نرمافزار و نگارشهاي جديد در حال توليد، در اجراي فرآيند تكامل آن كمك شاياني ميكند. هرگونه افزايش، حذف يا اصلاح ثبت ميشود.
با اينكه ممكن است پرينت يك فايل رمز منبع خاص با نگارش الكترونيكي آن كاملا يكسان باشد، اما نگارشهاي الكترونيكي چندگانهاي كه در مراحل مختلف تدوين و توسعهي اين فايل به دست ميآيد، ميتواند در جريان مربوط به تعرض به حق نشر كه در آن موضوع توسعهي مستقل برنامه نرمافزاري مطرح است، كاربرد مفيدتري داشته باشد. اينگونه دلايل و مدارك، از دادههاي الكترونيكي موجود در برنامة «كنترل نگارش جديد» به دست ميآيد؛ ضمن اينكه ميتوان آنها را از طريق بررسي نسخههاي مختلف رمز منبع، كه در جريان فرآيند توسعه ذخيره شدهاند، نيز بدست آورد.
ديگر منابع مربوط به رمز منبع در مراحل مختلف توسعه و ارتقاء آن ميتواند از طرف اشخاص ثالثي نظير دارندگان جواز و/يا نمايندگيهاي معتبر در دسترس قرار گيرد. بعضي از دارندگان جواز، در راستاي تسهيل اصلاح نرمافزارشان و به عنوان بخشي از ضمانت جوازشان، نسخهاي از رمز منبع را در اختيار قرار ميدهند.
نسخههاي رمز منبع را ميتوان نزد معتمد يا ضامن، به نفع دارندهي جواز و بدون دسترسي به آن سپرد. همچنين اين نسخهها ميتواند از آن جهت براي يك خوانده در دعواي نقض حق نشر مفيد باشد كه اثبات كند وي به طور مستقل اقدام به توسعة نرمافزار كرده است يا براي خواهان نشان دهد كه رمز نقضكننده، در نگارش پيشين نسخة نرمافزار خوانده قرار داشته است.
گاهي اوقات كارفرما مايل است فهرستي از سايتهاي مخصوص وب را كه مورد بازديد كارمند خاصي قرار گرفته، بازديد كند. هدف ديگر از اين كار ميتواند بررسي ميزان بهرهوري كارمند باشد.
فعاليت اينترنتي را ميتوان از طريق بررسي لوگ سرور فايلهاي ديوار آتشين و پراكسي و همچنين با استفاده از اسنيفرهاي الكترونيكي ترافيك شبكه تشخيص داد. اما دلايل و مدارك مربوط به فعاليت اينترنتي را ميتوان با توجه به دادههاي ذخيره شده در كامپيوتر مورد استفاده براي دسترسي به اينترنت به دست آورد.
برنامههاي نرمافزاري مرورگر وب از قبيل Netscape Navigator و Microsoft Internet Explorer به كاربران اين امكان را ميدهند كه سايتهاي مورد علاقه خود را به اصطلاح «چوب اَلِف» كنند (با گذاشتن علامتي مشخص نمايند). در نتيجه، اولين سايت يا مكان مورد بازديد، فايل مشخص شده ميباشد. تا زماني كه بخواهيم آن فايل را حذف كنيم، اطلاعات موجود در آن نگهداري ميشود.
همچنين مرورگرهاي وب معمولاً يك باكس آدرس URL فراهم ميآورند كه كاربر ميتواند آدرس يك سايت اينترنتي را مستقيماً در آنجا وارد كند. باكس آدرس URL اين امكان را فراهم ميآورد كه با فشار دادن دكمه "drop-down" خلاصه تاريخچهاي از آدرسهايي را كه كاربر وب با استفاده از برنامة مرورگر در اين مكان ثبت كرده است، نشان داده ميشود.
همچنين، برنامههاي مرورگر وب با تشكيل يك لوگ، تمام سايتهايي را كه از طريق اين برنامه مورد بازديد قرار گرفتهاند را در آن ذخيره ميكنند (از جمله زمان و تاريخ اين بازديد نيز ثبت ميشود). اطلاعاتي كه در فايل history براي مدت زماني نگهداري ميشود، توسط كاربر مرتب و هماراست ميشود.
برنامههاي مرورگر وب به سايتهاي وب اين امكان را ميدهد تا دادههايي كوچك تحت عنوان "cookies" را كه در ديسك سخت كامپيوتر كاربر و در يك فايل مخصوص ذخيره شدهاند، upload كنند. در كنار پيوند دادن بازديدهاي اخير به بازديدهاي پيشين، به اين نوع دادهها ميتوان از طريق سايتهاي وبي كه مورد بازديد متوالي قرار ميگيرند، دسترسي پيدا كرد. همچنين با بازبيني فايل cookie ميتوان دريافت كه آيا از سايت وب خاصي بازديد شده است يا خير (با اين فرض كه آن سايت از اطلاعات "cookies" استفاده ميكند). لازم به ذكر است كه ميتوان برنامههاي مرورگر وب را طوري تنظيم كرد كه ديگر فايلي بنام "cookies" ايجاد نشود و اين اطلاعات را ميتوان از طريق خود كاربران و يا تجهيزات شخص ثالث، كه معمولاً براي كمك به حفظ حريم خصوصي در اينترنت موجود ميباشند، حذف نمود.
همچنين عموما مرورگرهاي وب بخشي از ديسك سخت كامپيوتر كاربر را به عنوان «صندوق» ذخيرهي جديدترين نسخههاي مطالب در دسترس قرار گرفته، مورد استفاده قرار ميدهند. با بازبيني محتواي اين صندوق، ميتوان به اطلاعات ارزشمندي در خصوص فعاليت يك كاربر خاص با اينترنت دست پيدا كرد. ميزان فضاي اختصاص يافته به صندوقِ ذخيره، ميتواند توسط كاربر تعيين شود. با اضافه كردن فايلهاي جديد، فايلهاي قديميتر حذف ميشوند. كاربران ميتوانند محتويات اين صندوق را به طور موقت حذف كنند.
برنامههاي مرورگر وب با در اختيار داشتن پست الكترونيكي و امكانات مطالعه اخبار Usenet ميتوانند اطلاعات ديگري نيز در خصوص فعاليتهاي انجام شده در اينترنت فراهم آورند. گاهي اوقات، برنامههاي مرورگر وب از برنامههاي كاربردي plug-in نظير Adobe Acrobat استفاده ميكنند كه اين برنامهها خود حاوي لوگهايي هستند كه در آنها آخرين اسناد و مدارك بازديد شده و از برنامههاي كاربردي plug-in استفاده شده موجود ميباشد.
در بعضي موارد، يك برنامه كاربردي خاص مانند helper مداركي را در اختيار ميگذاردكه دال بر مورد بازديد از يك سايت خاص ميباشد. به عنوان مثال، بعضي سايتهاي مربوط به بزرگسالان از كاربران خود ميخواهند جهت دريافت و نمايش يك فيلم ويدئويي زنده اكشن، نوعي برنامه helper خاص را نصب نمايند.
بسياري از منابع فوقالذكر ميتوانند نسخههايي از فايلهاي حذف شدهاي داشته باشند كه هنوز قابل بازيابي هستند. همچنين، تتمهي دادههاي حاصل از فعاليت با اينترنت نيز در فايل swap ويندوز موجود ميباشد.
4ـ14ـ نرمافزار AOL
سازمان AOL ، بيشترين خدمات آن لاين را ارايه ميدهد و شبكه واحدي است كه كامپيوترهاي فردي را به اينترنت متصل مينمايد. براي دسترسي به AOL به يك نرمافزار ويژه نياز است و مانند بسياري از برنامههاي ديگر، نصب نرمافزار آن موجب پديد آمدن بعضي ويژگيها و امكانات ميشود.
نصب نگارش 4.0 اين نرمافزار، نتايج ذيل را به همراه دارد: در شاخهاي كه آن برنامه در آن نصب شده (C:\AmericaOnline4.0\)، فايلهاي INSTALL.LOG و VERSION.INF به وجود ميآيد. به فايل WIN.INT يك مدخل اضافه ميشود و خود آن نيز در بايگاني Registry ويندوز ثبت ميشود. (اين ثبت و ضبط در مكانهاي مختلف انجام ميگيرد، مثلاً در محل تنظيم نسخه نرمافزار، افزودن دستورالعملهاي مربوط به برداشتن قطعه نصب شده، افزودن خطوطي براي ايجاد امكان اجرا از منوي start و tray icon).
امكانات زيادي وجود دارد كه فرآيند كنترل كاربري را تسهيل ميكند. به عنوان مثال، نرمافزار AOL ، 25 سايتي كه اخيرا مورد بازديد قرار گرفتهاند را نگهداري ميكند. اين نرمافزار به كاربران اجازه ميدهد مكانهاي مطلوب و مورد نظر خود را بصورت سفارشي براي خود انتخاب كنند.
شاخه اَمِريكا آن لاين داراي چند زير شاخه ميباشد كه عبارتند از: AOLTEMP (براي نگهداري فايلهاي موقتي بوجود آمده توسط نرمافزار AOL)، DOWNLOAD (براي نگهداري فايلهايي كه از طريق خدمات AOL پياده ميشوند)، Spool و ORGANIZE از زير شاخه TOOLS (براي نگهداري نسخههاي داخلي رمز AOL كه بارها مورد دسترسي قرار ميگيرند). اطلاعات روزآمد و جديد به طور خودكار و به صورت دورهاي پياده ميشوند (بنابراين تجزيه و تحليل اين شاخه، تقريباً ميتواند ما را به زمان آخرين دستيابي يك رايانه خاص از طريقAOL نزديك كند).
AOL به كاربران اجازه ميدهد كه براي خود يك يا چند نام مستعار ايجاد كرده و از آن استفاده نمايند (مثلاً نام كاربر ، ميتواند مستعار باشد. از اين نام براي تشخيص هويت كاربر و حمايت از حريم خصوصي او استفاده ميشود). از زيرشاخه ORGANIZE ، براي ذخيرهي فايلي در خصوص نامهاي مستعار استفاده ميشود (نام چنين فايلهايي مستعار است و داراي ضميمه DOS نميباشد). اين زيرشاخه اطلاعات خاصي را رديابي ميكند و ارتباطات هر يك از اين نامهاي مستعار را پنهان ميسازد و برقراري ارتباط با خدمات را تسهيل ميبخشد. همچنين براي رديابي اطلاعات راجع به وب سايتهايي كه از طريق استفاده از نام مستعار مورد بازديد قرار گرفتهاند، فايلي با نام مستعار و با ضميمة ARL ايجاد ميشود. از زيرشاخه CACHE كه داراي سطحي پايين است نيز براي ذخيرهي فايلcache در خصوص نگهداري هر نام مستعار استفاده ميشود. جداي از اطلاعات موجود در اين گونه فايلها، اطلاعات مربوط به اصلاح فايل، ميتواند ما را در خصوص آگاهي از آخرين زمان و تاريخي كه يك كاربر خاص به AOL يا نرمافزار آن دسترسي پيدا كرده است، ياري نمايد.
همچنين AOL ويژگي ديگري در اختيار دارد كه "Automatic AOL" ناميده ميشود. اين ويژگي به كاربران اجازه ميدهد بعضي عمليات خاص را به صورت آف لاين انجام دهند (مانند خواندن و جواب دادن به پست الكترونيكي و مرسولات گروه خبري و تابلوي اعلانات). فايلهايي كه در شاخههاي ORGANIZE و CACHE ذخيره ميشوند، علاوه بر ديگر اطلاعات، نسخهي پيامهايي را كه به صورت آف لاين نوشته ميشوند و منتظر انتقال به AOL هستند را نيز ذخيره مينمايند. همچنين وجود يك دفترچهي آدرس داخلي كه در آن آدرس گيرندگان، در كامپيوتر شخصي ثبت شده است، كار ارسال نامههاي الكترونيكي را تسهيل ميكند. به علاوه با در اختيار داشتن يك كنترلكنندة حروف ميتوان از آن براي كنترل املاي پيامهاي نوشته شده در AOL استفاده كرد. مزيت اين غلطگير آن است كه ممكن است داراي اطلاعاتي راجع به افراد و موضوعات مندرج در اين پيامها باشد كه در فرهنگ لغت كنترلكنندة حروف پيدا نميشود.
البته اطلاعات مذكور، تنها مواردي را دربرميگيرد كه به طور محلي در كامپيوتر جهت دسترسي به AOL ذخيره شدهاند. اطلاعات اضافي مربوط به فعاليت يك كاربر خاص، معمولاً در خود سيستم AOL ذخيره و رديابي ميشود.
4ـ15ـ برنامههاي كنترل از راه دور
بسياري از شركتها و سازمانهاي كوچك، براي اينكه كارمندانشان بتوانند با استفاده از كامپيوتر راه دور و مودم به كامپيوتر ادارهشان دسترسي داشته باشند، از برنامههاي كنترل از راه دور (ياPC هاي مشترك كه جهت شمارهگيري بكار ميرود) استفاده ميكنند. اينگونه برنامهها داراي توليداتي نظير ReachOut، PcAnywhere، CarbonCopy، Co-Session ميباشند. در بعضي موارد، كاركنان (خصوصاً آنهايي كه قصد دارند محل كار را ترك كنند) در امر نسخهبرداري از اطلاعات محرمانهي شركت با استفاده از يك كامپيوتر خانگي، كه در آنجا كمتر توسط كاركنان ديگر در كارشان وقفه ايجاد ميشود، احساس راحتي بيشتري ميكنند.
بسياري از برنامههاي كنترل از راه دور، لوگ فايلهايي ايجاد ميكنند كه ميتواند دلايل و مدارك مفيدي به حساب آيد. بحث ذيل راجع به اطلاعاتي ميباشد كه بوسيلة يكي از محصولات به نام ReachOut رديابي شده است.
براي اينكه برنامة ReachOut حجم انتقال اطلاعات به كامپيوترهاي دوردست را كاهش دهد، به طور پنهاني از يك صندوق جهت ذخيرهسازي تصاوير و گرافيكهايِ مورد كاربرد مكرر، استفاده ميكند. اين امر بدين دليل است كه فرايند مزبور كار بازيابي كپي اينگونه گرافيكها را از ديسك سخت داخلي نسبت به برنامة ReachOut كه آنها را از كامپيوتر دوردست انتقال ميدهد، سريعتر انجام ميدهد. براي اينكه فايل cache به طور معمول براي دورههاي بعدي نيز در دسترس باشد، طي اين دورهها در ديسك سخت كامپيوتر نگهداري ميشود (فايلهاي "cache" داراي ضميمه RCC هستند و در شاخه برنامه ReachOut ذخيره ميشوند). هنگامي كه فايلcache اشباع ميشود، برنامة ReachOut، bitmapهايي را كه در اين فايل كمترين استفاده از آنها شده را با آنهايي كه اخيراً از كامپيوتر دوردست بيشترين بازيابي را داشتهاند، جايگزين ميكند.
همچنين اين برنامه داراي لوگ فايلي است كه در آن اطلاعات مربوط به همه ارتباطات (موفق يا ناموفق) انجام شده با رايانههاي دوردست نگهداري ميشود. در اين فايل، تاريخ و زمان هر ارتباط، طول مدت آن و اينكه آيا كامپيوتر ارتباط را برقرار كرده يا دريافت نموده است، ذخيره ميشود (اين امر بدين معناست كه هم در كامپيوتر برقرار كنندة ارتباط و هم در كامپيوتر دريافت كنندهي آن ارتباط، يك لوگ فايل موجود ميباشد). همچنين در صورتي كه سيستم خاموش نشود، تجهيزات لوگبرداري انتقال فايل را نيز رديابي ميكند. برنامهي ReachOut ، به طور غيابي، فايلي تحت عنوان ReachOut.RLG در شاخه ReachOut بوجود ميآورد يا اضافه ميكند.
با برخورداري از تسهيلات ايجاد لوگ ميتوان آنها را در راستاي حذف رويدادها يا اطلاعات قديميتر از چند روز معين به كار برد؛ يا زماني كه فايل به يك اندازه معين ميرسد، روي اطلاعات آن دوباره نوشته شود. حتي زماني كه اطلاعات به طور ارادي يا خودكار از لوگ فايلReachOut حذف ميشوند، هنوز اين امكان وجود دارد كه بتوان نسخههاي قديمي فايل و/يا بخشهاي محذوف آن را بازيابي نمود.
فهرستي از مكالمه كنندگان بر روي كامپيوتر مربوطه فراهم ميگردد تا فقط كساني بتوانند مكالمه كنند كه مجوز لازم يعني رمز عبور و user-ID را داشته باشند. اگر اين فرايند به مرحلة اجرا درآيد، باعث ميشود كاربراني خاص اجازة رديابي كلية فعاليتها را داشته باشند (يا حداقل كسانيكه اطلاعات مربوط به رمز عبور و User-ID يك كاربر ديگر را در اختيار دارند، ميتوانند چنين عملي را انجام دهند).
4ـ16ـ تطبيق جنايي ديسك نرم
در بعضي موارد، نشان دادن مسير استخراج اطلاعات بالقوه حساس الكترونيكي، امر بسيار مفيدي ميباشد. شركت فناوريهاي نوين ، كه يك شركت سازنده و توسعه دهندهي تجهيزات نرمافزاري جنايي رايانههاست، براي پردازش دلايل و مدارك رايانهاي و شناسايي خطرهاي تهديد كنندة امنيت رايانهاي، تجهيزات و آموزشهايي را فراهم ميآورد كه از آن طريق ميتوان فلاپي را با رايانهاي كه دادهها را بر روي آن ضبط كرده تطبيق داد. اگر چه در حال حاضر اين فرايند خسته كننده و وقتگير است، اما تلاش زيادي در جريان است تا با توسعه نرمافزار خودكار به بهبود اين فرآيند كمك گردد.
- نمونههايي از فايلهايي كه با علامت «پنهان» مشخص شدهاند، عبارتند از: 1ـ فايلهاي بوت MS-DOS كه هنگاميكه كامپيوتر در ابتدا روشن ميشود، اجرا ميشوند؛ 2ـ فايلSwap كه در ويندوز استفاده ميشود.
- در ويندوز 98، يك فايل يا زيرشاخه (كه folder نيز ناميده ميشود) را ميتوان با گذاشتن علامت «hidden» در Windows Explorer my computer، مخفي نگه داشت. براي پيدا كردن اين فايل يا زيرشاخه، بايد روي آن راست كليك كنيم و سپس بر روي Properties كليك نماييم.
- بر روي منوي view، بر روي گزينة folder options كليك كنيد. سپس بر روي گزينة view كليك كنيد و سپس گزينة show all files را انتخاب كنيد. دارا بودن ويژگي ناقص باعث ميشود كه فايلهاي سيستمي يا پنهان نشان داده نشوند.
- به عنوان مثال، اندازة هر واحد فضاي ذخيرهساز ديسك، زماني انتخاب ميشود كه ديسك سخت كار خود را براي اولين بار آغاز كرده و هنوز دادهها در آن ذخيره نشدهاند. اندازه بخش يك ديسك فرمت شدهي MS-DOS ، 512 بايت است.
- به عنوان مثال، اندازة هر خوشه براي يك ديسك فرمت شدهي MS-DOS بين 1024 تا 4096 بايت ميباشد.
- در MS-DOS ، اولين نشانه در مدخل شاخه فايل با هگزبايت (hexbyte) "E5"، كه آن را به عنوان فايل پاك شده ميشناسد، عوض ميشود.
- به عنوان مثال، ميتوان به برنامههاي : Symantec Corp."s Norton Utilities، يا PC Tools Programs براي كامپيوترهاي شخصي يا Mac Tools براي سيستم مكينتاش، يا SofTouch system"s GammaTech Utilities براي سيستمهاي عامل OS/2 اشاره كرد.
- به عنوان مثال، فرمان MS-DOS"s UNDELETE در قالب Delete Sentry يا recycle bin در ويندوز 95 و 98.
- به عنوان مثال، با بكارگيري SALVAGE در Novell Netware ويندوز 95 و 98، فايلهايي كه با انتقال نشانهشان به trash can حذف ميشوند، تا زماني كه خالي نشده است، قابل بازيابي هستند.
- يك فايل زماني ميتواند آخرين خوشه ذخيرهساز را پر كند كه اندازة آن مضربي دقيق از اندازة خوشه باشد. مثلاً فايلي كه بر روي يك خوشة 1024 بايتي ثبت ميشود، براي اينكه اين فضا را به طور كامل پر كند، بايد اندازة 1024 بايت يا مضربي از 1024 بايت (byte) باشد (مثلاً 2048، 4096).
- مثلاً، فرض كنيد يك خوشه 2048 بايتي داريم و فايل ما هم 2049 بايت ميباشد. اگر اين فايل به طور كامل خوشة اول را پر كند، يك بايت از فايل اضافه ميآيد كه در خوشة دوم ذخيره ميشود. در نتيجه، هنوز 2047 بايت از خوشة دوم باقي ميماند كه رويهمنويسي نخواهد شد و اين احتمال وجود دارد كه دادههاي حذف شدة فايل پيشين بازيابي شوند.
- اگر آخرين خوشه مورد استفاده فايل جديد همان آخرين خوشة مورد استفادة فايل حذف شده باشد، آنگاه در صورتي دادههاي فايل حذف شده قابل بازيابي هستند كه طول آنها بيشتر از طول دادههاي فايل جديد اضافه شده در همان خوشه باشد.
- اندازههاي خوشه ذخيرهساز را 1024 تا 4096 بايت در نظر بگيريم.
- اين فرايندها به عنوان بخشي از سيستم عامل ديسك در (MS-DOS 6.0) ، ويندوز 95 و نسخههاي بالاتر و برنامههاي اختياري شخص ثالث از قبيل stacker موجود است.
- به عنوان مثال، برنامة Novell Netware اطلاعات موجود در خوشهاي را كه مورد استفاده فايل واقعا پاك شدهاي قرار گرفته، رويهمنويسي ميكند. اين امر زماني بوقوع ميپيوندد كه فضاي مورد استفادة فايل، پاك شده باشد. پاك شدن اين فضا هم در دو صورت قابل وقوع است: 1- (اگر پيكربندي شده باشد) توسط متصدي سرور فايل، فرمان PURGE صادر شده باشد 2- فضاي اشغال شده توسط فايل محذوف، براي ذخيره اطلاعات جديد مورد نياز باشد.
- به عنوان مثال، سيستم عامل شبكهاي Novell Netware 4.0 و نگارشهاي بالاتر آن
- نگارشهاي اوليه MS-Dos فرمتسازي نميكردند و ديسكهايي كه بر روي انواع اوليه سيستم عامل MS-Dos فرمت ميشدند، معمولاً قابل بازيابي نبودند. اما در انواع جديد اين سيستم عامل كه در آن فرمت نكردن مدنظر ميباشد، كاربران با اجراي فرمان FORMAT، به طور اتفاقي (و بدون استفاده از پارامتر U) ميتوانند دادهها را بازيابي نمايند.
- نمونهاي از يك برنامه كه ميتوان از طريق آن چنين دادههايي را مشاهده كرد، برنامة Directory Snoop از نرمافزار Briggs ميباشد.
- توجه داشته باشيد كه بعضي برنامههاي نرمافزار كاربردي، به صورت دورهاي يك نسخة پشتيبان ثانويه از دادههاي موجود در FAT را توليد ميكند تا در صورت فاسد شدن نسخة اوليه، بتوان از آن استفاده كرد.
- استانداردهاي دولت معمولاً به طور متناوب سه بار رويهمنويسي با بيت صفر و يك 1-bits, 0-bits)) را ميطلبد. سپس يك رويهمنويسي باارزش F6h انجام ميگيرد. دست آخر هم يك گذر نهايي، نگارش مذكور را تأييد ميكند.
- مستندات نرمافزاري همراه ويندوز، دربرگيرندة اطلاعات كمي در خصوص Registry ميباشند. اما در كتاب Windows 98 Registry for Dummies نوشتة جي.وي. ويدوك و ام.بي. ويلكنيز، اطلاعات كلي خوبي در راستاي مقاصدمان وجود دارد.
- بعضي از اين فايلها، در صورتي كه مطابق نگارشهاي جديدتر ويندوز روزآمد شده باشند، ميتوانند در كامپيوترهاي قديميتر به عمر خود ادامه دهند.
- در حوالي انتهاي سند، به دنبال GUID باشيد.
- سيستمهاي عامل شبكهاي سراسري متداول كه مبتني بر طراحي سِروِر اختصاصي ميباشند، شامل سيستمهاي ذيل ميشود: Novell"s Netware، Banyan"s Vines ، IBM"s OS/2 LAN Server، و Microsoft"s Windows NT. . نوع ديگر سيستم عامل شبكهاي، كه به عنوان شبكه كامپيوتري نظير به نظير (Peer-to-Peer) شناخته ميشود، داراي سرور فايل اختصاصي نيست. نمونههايي در اين زمينه شامل Microsoft"s Windows for work groups ، و Artisoft"s lantastic ميشود. همچنين كامپيوترهاي مجهز به ويندوز 95 و 98 را ميتوان در يك شبكة نظير به نظير، به يرمز يگر متصل نمود.
- فايلها را ميتوان از طريق زمان/ تاريخ حذف، اندازه، نام يا نام كاربري كه آن را حذف كرده است، ذخيره كرد.
- اين امر به طور كامل امكانپذير است، اگر سِروِر ما بر روي «پاكسازي فوري فايلهاي محذوف»، "Immediate Purge of Deleted Files" ، بر روي "on" در فايل AUTOEXEC.NCF تنظيم شده باشد. لازم است كه اين تنظيم يا پيكربندي كامپيوتر كنترل شود، زيرا اگر روي "on" تنظيم نباشد (و روي "off" باشد)، سِروِر مقادير معتنابهي فايلهاي قابل بازيابي خواهد داشت. در غير اينصورت و يا اگر فقط شاخههاي غيرمرتبط حاوي فايلهاي قابل بازيابي باشد، اين ميتواند نشانگر آن باشد كه برنامه PURGE ، كل فايلهاي محذوف سِروِر يا شاخه مربوطه را تحت تأثير قرار داده است. همچنين، زماني كه فايلهاي قابل بازيابي موجود در يك حجم خاصي را بازبيني ميكنيم، بهتر است اين موضوع را هم بررسي كنيم كه قديميترين فايلهاي قابل بازيابي از چه زماني وجود داشتهاند (اين امر كمك ميكند كه از هرگونه دستكاري فايلها مطلع شويم).
- با اينحال، همانطور كه قبلاً هم بحث شد، ممكن است عمليات پرينت توسط برنامه پرينت اسپولر (Print Spooler) يا برنامه مجري چاپ ويندوز (Print Manger) قطع و شنود شود.
- در سِروِري كه از نرمافزار Netware استفاده ميكند، هر رديف پرينت زيرشاخه خاص خود را دارد كه به طور غيابي در مجموعة SYS تحت عنوان زيرشاخه SYSTEM به وجود ميآيد. هر عمليات پرينتگيري، به عنوان يك فايل مجزا در رديف زيرشاخه پرينت ذخيره ميشود.
- به عبارت ديگر، مشخص شود چه برنامههايي اجرا شده و چه فايلهايي ايجاد، حذف يا اصلاح شده است.
- منظور از تباه شدن پايگاه دادهها اين است كه دسترسي به بعضي اطلاعات غيرممكن ميشود يا اينكه دستيابي به كل پايگاه داده تحت تأثير قرار ميگيرد. اگر موضوع تنها تباه شدن فايلهاي اندكس باشد، ميتوان آن را با ايجاد مجدد اين فايلها توسط كامپيوتر حل كرد. اما اگر اطلاعات موجود در اين فايلها يا پايگاهها واقعاً آسيب جدي ديده باشند، در آن صورت لازم است كه نسخهي پشتيباني از آن پايگاه داده تهيه كرده تا از طريق نوار نسخه پشتيبان بازيابي شود.
گاهي اوقات، تباه شدن پايگاه داده بلافاصله كشف نميشود. امكان كشف چنين موضوعي در صورتي امكانپذير است كه تجربيات جستجوگر اطلاعات بر روي پايگاه داده به آن حد برسد كه از چنين موضوعي آگاهي يابد. از اين رو، نوارهاي پشتيبان براي مدت طولانيتر نگهداري ميشوند تا در زمان لازم بتوان آن اطلاعات از بين رفته را از اين نوارها مسترد كرد.
- البته جديدترين اطلاعاتي كه بر روي نوار ضبط ميشود، از لحاظ اندازه نسبت به اطلاعاتي كه قبلاً روي آن نوار ضبط شدهاند، كوچكتر است. در نتيجه، قسمتهايي از اطلاعات ذخيرهشدهي قبلي، كماكان قابل بازيابي هستند.
- فرض ميكنيم اطلاعات به حد كافي در سيستم نگهداري شده است تا بتوان آن را در يكي از مجموعههاي نسخة پشتيبان هفتگي بازيابي نمود. به عبارت ديگر، اين اطلاعات تا روزي كه يك نوار پشتيبان هفتگي مورد استفاده قرار ميگيرد، در سيستم قرار دارد و تا زماني كه همان نوار در يكي از هفتههاي معادل در ماه آينده مورد استفاده مجدد قرار ميگيرد، در سيستم نگهداري ميشود.
- فرض ميكنيم اطلاعات به حد كافي در سيستم نگهداري شده است تا بتوان آن را در يكي از مجموعه نوارهاي پشتيبان ماهيانه ضبط كرد.
- سيستمهاي HSM به طور خودكار فايلها را بين درايوهاي ديسك مغناطيسي با سرعت و پرهزينه و آنهايي كه از هزينة كمتر برخوردار است، اما از ديسكهاي نوري جوك باكس كمسرعت و واحدهاي نوار مغناطيسي تشكيل شده است، تغيير مكان ميدهند. مبناي كار در اين زمينه چنين است كه يك سيستم چند ـ سطحي ايجاد ميشود و اين سيستم به طور پويا دادههايي را كه بندرت در دسترس قرار ميگيرند را به سطوح پايينتر نقل مكان ميدهد. در اين سطوح، دادهها با رسانههاي ذخيرهساز كمهزينهتر نگهداري ميشود. رسانههاي قابل پاكسازي با سرعت متوسط كه به طور اتفاقي در دسترس هستند، از قبيل ديسكهاي نوري قابل نگارش مجدد، به عنوان سطح دوم ذخيرهسازي در سيستمهاي HSM عمل ميكنند. اين رسانهها در اين سطح، فايلهايي را ذخيره ميكنند كه اكثر اوقات مورد نياز كاربران هستند (يعني بعد از فايلهايي كه همه وقت مورد نياز است و در ديسك سخت ذخيره ميشوند و در سطح اول ذخيره ميشوند، قرار ميگيرند). رسانههاي با سرعت پايين كه به طور اتفاقي نميتوان آنها را پاك كرد، مانند نوار يا ديسكهاي نوري با يك بار قابليت نگارش، سطح سوم ذخيرهسازي HSM را تشكيل ميدهند. در اين سطوح فايلهايي كه كمتر مورد استفاده قرار ميگيرند، نگهداري ميشود.
- به عنوان مثال، اطلاعات ذخيره شده بر روي نوارها يا رسانههاي نوري با يك بار قابليت نگارش.
- اين لوگ تبادل معمولاً هر بار كه با موفقيت از پايگاه دادهها نسخة پشتيبان تهيه ميشود، پاك شده يا دوباره راهاندازي ميشود.
- نسخهاي از لوگ تبادل مربوطه روي نوار پشتيبان سيستم براي دورة زماني مورد نظر ضبط ميشود.
- هم برنامه Word Perfect و هم Microsoft word زمينههاي غيابي را فراهم ميكنند كه ميتوان جهت ذخيرهسازي اطلاعات راجع به يك سند استفاده كرد. Word Perfect به طور خودكار در توليد تاريخ، نام مؤلف و تايپيست آن سند دخالت ميكند. ممكن است Microsoft word نيز نام نويسنده، تاريخ توليد سند، آخرين باري كه ذخيره شده، آخرين فردي كه آن را ذخيره كرده، شماره بازنگري، كل زماني كه صرف ويرايش سند شده و تاريخ و زماني كه آخرين بار سند پرينت شده را ثبت و ضبط نمايد. اطلاعات مشابه ديگر در ساير برنامههاي كاربردي مايكروسافت از قبيل Power Point و Project اخذ و ذخيره ميشود.
- نرمافزار Micorosoft Word ، امكان استفاده از توضيحات مندرج در بخش پنهان متن را فراهم ميآورد. حروف اول نام نويسندهي توضيحات در كنار آن ثبت ميشود. همانند متن پنهان، فقط در صورتي ميتوان شرح و توضيحات و محتواي آنها را بر روي صفحة مانيتور مشاهده كرد يا از آنها پرينت گرفت كه بعضي فرمانهاي خاص به كامپيوتر داده شود.
- فرهنگ لغت مكمل (Supplemental User Dictionary)، براي استفادهي كاربر تهيه شده و از آن جهت افزودن لغات يا نامهايي كه ممكن است در سند جا افتاده باشند، استفاده ميشود. اين سند توسط كاربر خصوصاً از لحاظ املاء كلمات چك ميشود.
- فرهنگ لغت اسناد (Document Dictionary)، فرهنگ كوچكي است كه ضميمه سند اصلي ميشود. اين فرهنگ زماني مفيد واقع ميشود كه به دنبال كلمات يا اسمهايي براي يك سند خاص باشيم، يا اينكه چند نفر يك سند را ويرايش ميكنند.
- به عنوان مثال، Word Perfect 6.1 فهرستي از 10 سند اخيري كه در دسترس يك كاربر خاص قرار داشته را نگهداري ميكند. Word97 نيز به طور پنهاني چهار فايل آخري را كه بر روي آن كار شده است را نشان ميدهد و با تنظيم آن ميتوان 9 فايل آخر را مشاهده كرد.
- اما ميتوان با استفاده از Windows" TWEAK UI applet (Paranoia tab) ، ويندوز را در رديابي و كنترل 15 سند آخر ناتوان كرد.
- فايلي كه در آخرين مرحلة اجراي فهرستنويس وجود داشته، اما از آن زمان حذف شده را ميتوان با جستجوي فهرست حتي اگر فايل اصلي نيز ديگر بازيابي نشود، بازيابي نمود.
- اين كاركرد هم در Word و هم در Word Perfect به صورت پنهان موجود ميباشد.
- اين عملكرد در Word Perfect، «تهية نسخة پشتيبان از سند اصلي» (Original Document Backup) ناميده ميشود. عملكرد مشابهي را نيز ميتوان در Word جستجو كرد. به اين ترتيب كه در گزينة Save options، قسمت "always create a backup copy" را بررسي كنيم.
- در Word Perfect، نگارش قديمي فايل با پسوند"bk!" ذخيره ميشود.
- به عنوان مثال، ميتوان سيستم عامل VMS را طوري برنامهريزي كرد كه نسخه اصلي هر سند و سه نسخه قبل از آن را نگهداري كند. نسخههاي قديمي، 1، 2 يا 3 پسوند ضميمهاي در آخر نام فايل دارند.
- اگر برنامة واژهپرداز پس از قطع غيرطبيعي دوباره شروع به فعاليت كند، جهت بازيابي، فهرستي از اسناد ذخيره شده به طور خودكار در اختيار كاربر قرار ميگيرد.
- به عنوان مثال، برنامه 123 صفحة گسترده لوتوس (lotus 123 SpreadSheet):
ـ از تسهيلاتي برخوردار است كه به طور خودكار، نسخهاي از سند را در فواصل زماني از پيش تعيين شده ذخيره ميكند؛
ـ داراي تجهيزات نظارتي است كه بازبينيهاي به عمل آمده توسط چند نفر از يك سند را پيگيري ميكند؛
ـ داراي اطلاعات زيادي دربارهي برنامه صفحة گسترده ميباشد. كاربر ميتواند اطلاعات راجع به نويسنده، عنوان، موضوع، كليد واژهها، توضيحات و تجديدنظرها را وارد سيستم كند. سيستم نيز اطلاعات راجع به تاريخ و زمان توليد سند و آخرين باري كه بازبيني شده، نام آخرين كاربري كه سند را بازبيني كرده، كل تعداد بازبينيها و كل زمان صرف شده در ويرايش يك سند خاص را رديابي و فراهم ميآورد.
- دي.اس. اسكاپسكي «اينترنت و تجارت: راهنمايي وكيل در ورود به مسائل حقوقي»، فصل پنجم، مؤسسة حقوقي كامپيوتري 1996.
- در برنامة پستي مايكروسافت، اين فولدر Wastebasket ناميده ميشود.
- برنامة پستي مايكروسافت گزينهاي با نام Empty Wastebasket When Exiting در اختيار دارد.
- اين فايل ديسك خارجي را بعداً ميتوان در يك فلاپي ديسك (به صورت off-line) ذخيره نمود تا در ديسك سخت كامپيوتر فضاي مفيد بيشتري داشته باشيم. هر زمان كه بخواهيم پيامهاي ذخيره شده در يك فايل آرشيو را بازبيني كنيم، ميتوانيم آنها را از آرشيو به فولدر فعال انتقال دهيم.
- ر.ك. (سي.زيرن) «همكار فوستر از ايراد خدشه به اخبار ترسيد»، (2 آگوست 1995).
- نمونههاي سيستم پست الكترونيكي شامل موارد ذيل ميشود: Hotmail، Juno، Yahoo mail، Altavista،
Net@dress و Mail Excite . اين نوع سيستمها به كارمندان اجازه ميدهند در هنگام كار با مرورگر وب، نامه الكترونيكي شخصي خود را دريافت كنند و ديگر لازم نيست كه نامههاي الكترونيكي از طريق سيستم پست الكترونيكي شركت يا سازمان مربوطه فرستاده شود.
- مشتريان ميتوانند از اشخاص ثالث بخواهند يك نسخه از رمز منبع را براي آنها نگهداري كنند. به اين ترتيب، اين اطمينان فراهم ميآيد كه در زمان بروز مشكلات اقتصادي، براي توسعهدهندة نرمافزار پشتگرمي مستمري وجود دارد.
- به عنوان نمونه، ميتوان سايتهاي هرزهنگاري را ذكر كرد. مثال ديگر، دسترسي به يك سايت اطلاعات محرمانه تجاري، راهاندازي سيستم تجارت آن لاين (on-line) يا اقدام به معامله غير قانوني درون سازماني.
- Internet Explorer اين سايتها را به عنوان "Favorites" ميشناسد و هر يك از آنها را در يك فايل جداگانه در شاخه "windows/favorites" ذخيره مينمايد. اما Navigator همه اين سايتها را در يك فايل جداگانه تحت عنوان "bookmark.htm" ذخيره مينمايد.
- Navigator، اين اطلاعات را در فايلي به نام "netscape.hst" ذخيره ميكند. اما Internet Explorer، اين اطلاعات را در شاخه "Windows/History" ذخيره مينمايد. اطلاعات اين قسمت براي يك دورة زماني تنظيم شده نگهداري ميشود. ضمن اينكه ميتوان اين اطلاعات را در دورههاي زماني مشخص پاك نمود.
- Navigator اين اطلاعات را در فايلي به نام "Cookies.txt" ذخيره ميكند. در حاليكه Internet Explorer از شاخهاي به نام "Windows/cookies" براي ذخيرهي اين اطلاعات استفاده ميكند.
- در اين زمينه، Navigator براي ذخيرة اطلاعات از شاخهاي به نام "cache" استفاده ميكند؛ در حاليكه، Internet Explorer، از شاخه Windows/Temporary Internet Files استفاده ميكند.
-[1] Magnetic Resonance Imaging
- دادههايي كه به طور گزينشي بر روي ديسكت يا ديگر رسانههاي قابل جابهجايي ذخيره شدهاند را نبايد از نظر دور داشت. كاربران، اغلب نسخههاي پشتيبان فايلها را بر روي فلاپي ذخيره ميكنند. اين نسخهها توليد يا افشاء نميشوند (يعني در فهرست اسناد مندرج در سوگندنامه جاي ميگيرند). زيرا جزء نسخههاي پشتيبان «شخصي» به حساب ميآيند. بنابراين مهم است كه سؤالات صحيحي مطرح كنيم.
- بسياري از اين ابزارها حداقل 10تا 50 يا حتي 100 شمارة تلفن را كه به محل مزبور زده ميشود، ذخيره ميكنند.
- يك سرور پراكسي (Proxy) اينترنت ميتواند داراي لوگهاي مفيد يا فعاليتهاي آن لاين (on-line) باشد. همچنين اين سرور نسخههايي را در حافظة نهايي آخرين اطلاعات بازيابي شده، نگهداري ميكند.
- حافظهي پيجر و برنامههاي شمارهگير سريع كه در تلفن همراه (بيسيم) تعبيه شدهاند را چك كنيد. بعضي تلفنهاي همراه آخرين شمارههاي تلفن دريافت يا زده شده را در خود ذخيره ميكنند. بعضي شركتهاي تأمين خدمات تلفن همراه (PCS) ، خدماتي نظير پست صوتي يا دريافت فاكس را نيز ارايه ميدهند.
- تقريباً همة ماشينهاي فاكس، لوگهاي الكترونيكي دريافت و ارسال پيام را به دست آورده و ذخيره ميكنند. در بيشتر موارد، چنين لوگهايي به طور خودكار ميتوانند شماري از مبادلات انباشت شده را پرينت كنند (و آنها را پاك كنند). همچنين، بسياري از ماشينهاي فاكس از حلقههاي فيلمي استفاده ميكنند كه در فرايند چاپ مورد استفاده قرار ميگيرند. در اين گونه موارد، اينگونه حلقهها ميتواند محتوي نسخهاي از هر آنچه باشد كه بر روي آن ماشين، چاپ شده است كه شامل فاكسهاي دريافت شده، لوگهاي عملياتي و صفحات پنهاني مرتبط با فاكسهاي ارسال شده ميباشد. همچنين بسياري از ماشينهاي فاكس حافظهاي دارند كه خروجيهاي فاكس را در خود ذخيره ميكند. (بنابراين، لازم است فورا در خلال تفتيش اماكن، مورد بررسي و ارزيابي قرار گيرند).
- در بعضي موارد، حتي ممكن است دادهها را از رسانة ذخيرهساز آسيبديده مانند ديسك سخت بازيابي نمود. بسياري از شركتهاي تأمين خدمات بازيابي دادهها، خدمات مفيدي را در اين زمينه ارايه ميدهند: مهندسين آموزش ديدهي ويژه، تجهيزات و يك «اتاق تميز» در اختيار دارند كه در آن ميتوان ديسك سخت آسيب ديده را جدا، تعمير و مجددا پيكربندي كرد. يا حتي اگر قطعه خراب شده قابل تعمير نباشد، با استفاده از تجهيزات اين اتاق به نوعي ميتوان اطلاعات ذخيره شده را استخراج كرد.
- EDI مجموعهاي از استانداردها است كه مبادلة كامپيوتر به كامپيوتر اسناد شغلي را بين خطوط ارتباطي سيستمهاي رايانهاي شركتهاي مختلف انجام ميدهد.
- پيشنويسهاي قبلي را ميتوان براي نشان دادن عناصر مذاكره يا شرايطي كه در طول مذاكرات با آنها موافقت شده اما در نسخة اجرايي تواقفنامه وجود عيني ندارند، مورد استفاده قرار داد.
- بررسي فرمولها و بهينهسازي برنامهها، باعث پيدايش پيشفرضهايي ضمني ميشود كه جهت نيل به نتيجه يا برآمد مشخص بكار ميروند و موجب فهمي بهتر از روابط بين عناصر دادههاي مختلف ميشود و اين امكان را فراهم ميآورد كه سناريوهاي جايگزين مختلفي را مورد بررسي قرار دهيم.
- سيستم مديريت اسناد معمولاً اين ويژگي برجسته را دارد كه زمان و شخصي را كه از اسناد خاصي بازديد كرده يا آنها را اصلاح كرده، رديابي و كنترل ميكند.
- در اين خصوص، نامههاي الكترونيكي بسيار خطرناك هستند. زيرا برخلاف ديگر نوشتارهاي ارتباطي رسمي، فرد مينشيند و آنچه را كه فكر ميكند مينويسد و ميفرستد. مكاتبات الكترونيكي بين دو فرد همتا دربارة مشكلات سازمان، معمولاً رُك هستند. معمولا مردم در خلوتگاهها چيزهاي نامربوط زيادي به هم ميگويند. همچنين از پست الكترونيكي ميتوان براي شايعهپراكني خصوصاً در اخراجهاي غيرمنصفانه استفاده كرد. عامل ديگري كه پست الكترونيكي را خطرناك ميسازد، اين است كه برخلاف تصور بسياري از افراد، نامههاي الكترونيكي براي دورههاي زماني طولاني ذخيره شده و پاك نميشوند.
- به عنوان مثال، اكنون چند برنامه PC موجود است كه افراد را در تهيه پيشنويس بازبينيهاي اجرايي راهنمايي ميكنند. (مانند برنامة Manage Pro از شركت Advantos performance Systems )
- در يك دعواي مسئوليت ناشي از توليد، شكايت مشتري يا پايگاههاي دادههاي حمايت فني، ميتواند در نشان دادن اينكه چه زماني شركت از عيب يا مشكل محصول خود مطلع شده، بسيار مفيد باشد. سوابق خدماتي يا اسناد راجع به قسمتهاي مختلف ميتواند ميزان خرابي مكرر آن قطعه يا محصول را تشخيص دهد. بعد از شناسايي پايگاههاي داده مربوطه، بايد از شكل اسنادي كه مورد استفاده قرار ميگيرد سؤال شود تا سؤالات راجع به محصول بتواند فهرستي از زمينههاي مرتبط را دربرگيرد. فهرستي از گزارشات استاندارد كه از اين پايگاهها تهيه ميشود، بايد تعيين و تأييد گردد. همچنين ميتوان از برنامههاي گزارش شخص ثالث نيز براي تهيه گزارشهاي سفارشي استفاده كرد.
- توجه داشته باشيد كه بعضي برنامههاي تقويمي (گاهشماري) به طور خودكار اطلاعاتي را كه از حد زماني مشخصي قديميتر شدهاند را از فايل تقويم اصلي به فايل آرشيو منتقل ميكنند و/يا اينكه به كاربر اختيار ميدهند تا اطلاعات قديميتر را حذف كند.
- موضوعات نمايشي را ميتوان در يك نمايشگاه فروش ارايه داد. اين ارايه ميتواند توسط هر يك از طرفين و خارج از توافقنامة كتبي صورت گيرد.
- يك فايل قابل دريافت حسابهاي طرف مقابل، مشتريان گذشته شركت را فهرستبرداري ميكند. از اين فايل ميتوان در يك منازعة قراردادي جهت حمايت از اين ادعا كه شركت تجربه و صلاحيت كافي در اجراي قراردادهاي خود و انجام بعضي پروژهها نداشته است، استفاده كرد. در يك مورد مسؤوليت ناشي از توليد، بررسي پرداختهاي انجام شده به مشتريان ناراضي ميتواند بيانگر اين باشد كه طرف مقابل از آن مشكل آگاهي داشته است.
- طرحهاي ذخيره شده در برنامههاي ساخت و توليد CAD/CAM ميتواند بيانگر موارد ذيل باشد: چگونه يك محصول طراحي ميشود، دوام و استحكام آن، طرحهاي ديگري كه مدنظر بوده اما براي ساخت انتخاب نشدند، و گاهشناسي فرآيند طراحي.
- رسيدهاي ترابري در دادخواهي به قصد مطالبة خسارت، عامل مؤثر و مفيدي محسوب ميشوند. همچنين بعضي شركتهاي بزرگ حمل و نقل از سيستمهايي استفاده ميكنند كه حركت يك كاميون خاص را در زمان واقعي رهگيري ميكنند. در بيشتر موارد، اين اطلاعات به شكل الكترونيكي ذخيره و بايگاني ميشوند.
- اكثر سيستمهاي تلفني شغلي، اطلاعاتي را در رابطه با مكالمات تلفني ضبط و نگهداري ميكنند. مانند هويت فرد تلفنكننده، تلفن شونده و مدت مكالمه. همچنين نوع آنالوگ يا ديجيتالي بودن تلفن (يعني مكالمه از طريق مودم) را نيز مشخص ميكنند.
- براي فرستادن پيام به پيجرها مدتي بود كه از نرمافزار مبتني بر PC استفاده ميشد. اين نرمافزار معمولاً يك لوگ فايل ايجاد ميكند كه در آن تاريخ و زمان پيج، فرد پيج شونده و كل متن پيام ارسال شده را ذخيره مينمايد.
- نرمافزار مديريت پروژه خصوصاً در نشان دادن اقدامات پيشگيري يا ايمني كه متعاقباً برچيده ميشوند تا در پول و وقت صرفهجويي شود، ميتواند مفيد باشد. بعضي برنامهها مانند Microsoft Project به كاربران اين امكان را ميدهد كه اطلاعات پروژه (baseline) را براي مقايسه با نسخه موجود، ذخيره كنند.
- بسياري از كاربران ويندوز، هنوز براي اجراي بعضي عملياتهاي خاص، مايلند از برنامه "drop to Dos" استفاده كنند. اما امروزه برنامههاي زيادي تحت عنوان "Dos Shell" براي تسهيل اين كار وجود دارد. بسياري از كاربران نيز بعضي فرمانهاي تاريخي Dos را دنبال ميكنند. به عنوان مثال، برنامة Praxim ، كار پيمايش (Scrolling) را از طريق 30 فرمان متوالي، كه منتشر شده بود، انجام ميدهد. از اين دستورات براي نشان دادن دلايل و مداركي در رابطه با كپيبرداري و حذف فايل، استفاده ميشود.
- چنين برنامههايي ميتواند فايلهاي صوتي ـ شنيداري ايجاد كنند كه در آنها ضبط آخرين ديكته موجود ميباشد. همچنين اين فايلها حاوي فهرستي از واژگان سفارشي ميباشد كه توسط كاربر به سيستم اضافه شدهاند.
- برگرفته از كتاب «داستان جنگ» نوشتة جان بري هيل از مؤسسة رسيدگي جنايي به موضوعات كامپيوتري
- براي اينكه شركتها ثابت كنند دادههاي الكترونيكي از زمان توليدشان تغييري نكرده است، بايد يكسري روشكارهاي خاص و مكانيسمهاي كنترل دسترسي به دادهها را تدوين كرده و توسعه دهند.
- يك سيستم مديريت اسناد، به صورت بالقوه داراي مميزي يا لوگ فايلهايي است كه ميتواند فهرستي از اسناد و مدارك توليد شده، حذف شده، تغيير يافته يا بازديد شده در طول يك دورة زماني خاص را نشان دهد.
- به عنوان مثال، لوگ موجود از يك خط حذف شده يا پيام الكترونيكي پاك شده، ميتواند بطور بالقوه نسبت به پيام اصلي بسيار بيشتر دالّ بر مجرميت باشد.
- مطمئن شويد كه نام فايل تغيير نيافته است و ديسك و زيرشاخهاي را كه فايل در آن ايجاد شده است، به طور دقيق تعيين نماييد. هر يك از اين موارد ميتواند اطلاعات مهمي را در رابطه با فايل منتقل نمايد.
- به عنوان مثال، سيستم عامل ويندوز، تاريخ و زماني كه هر فايل ايجاد ميشود، تغيير مييابد يا براي آخرين بار به آن دسترسي يافته را نشان ميدهد. در خصوص ويندوز 95 و نگارشهاي بعدي آن، اين اطلاعات را با انتخاب قسمت مندرجات فايل، file"s "Properties" ، ميتوان ديد.
نشانی : تهران، فلکه اول شهران، انتهای خیابان شهید نظری، خیابان کوهسار، پلاک ۱۶۳، (داروخانه ستایش)، طبقه ۳، واحد ۱۳
تلفکس : 44337217 - 44337891
ایمیل : iranitlawyer@gmail.com
وکیل مسئول : رضا پرویزی