Điều tra dữ liệu đề cập đến việc nghiên cứu hoặc điều tra dữ liệu kỹ thuật số và cách nó được tạo ra và sử dụng. Điều tra dữ liệu là một thuật ngữ rộng, vì pháp y dữ liệu bao gồm việc xác định, bảo quản, khôi phục, phân tích và trình bày các thuộc tính của thông tin kỹ thuật số. Liên quan đến khôi phục dữ liệu, việc kiểm tra dữ liệu có thể được tiến hành trên thiết bị di động, máy tính, máy chủ và bất kỳ thiết bị lưu trữ nào khác.
Điều tra dữ liệu cũng có thể được sử dụng trong các trường hợp liên quan đến việc theo dõi các cuộc gọi điện thoại, tin nhắn hoặc email di chuyển qua mạng. Các chuyên gia điều tra kỹ thuật số có thể sử dụng giải mã, thiết kế ngược, tìm kiếm hệ thống nâng cao và phân tích cấp cao khác trong quy trình pháp y dữ liệu của họ.
Hai loại dữ liệu thường được thu thập trong điều tra dữ liệu. Loại dữ liệu đầu tiên được thu thập trong pháp y dữ liệu được gọi là dữ liệu liên tục. Dữ liệu liên tục là dữ liệu được lưu trữ vĩnh viễn trên ổ đĩa, giúp bạn dễ dàng tìm thấy hơn. Loại dữ liệu khác được thu thập trong pháp y dữ liệu được gọi là dữ liệu biến động. Dữ liệu biến động là dữ liệu vô thường khó nắm bắt, khiến loại dữ liệu này khó khôi phục và phân tích hơn.
4.1. Quy trình điều tra Database
Quy trình điều tra dữ liệu có 4 giai đoạn: thu thập, kiểm tra, phân tích và báo cáo.
Ngoài ra còn có các kỹ thuật khác nhau được sử dụng trong điều tra dữ liệu. Một trong những kỹ thuật này là phân tích ổ đĩa chéo (cross-drive), liên kết thông tin được tìm thấy trên nhiều ổ đĩa cứng.
Một kỹ thuật thứ hai được sử dụng trong điều tra dữ liệu được gọi là phân tích trực tiếp (live analysis). Phân tích trực tiếp kiểm tra hệ điều hành của máy tính bằng cách sử dụng pháp y tùy chỉnh để trích xuất bằng chứng trong thời gian thực. Khôi phục các tệp đã xóa là kỹ thuật thứ ba phổ biến đối với các cuộc điều tra pháp y về dữ liệu.
4.2. Công cụ điều tra dữ liệu
Có nhiều loại phần mềm pháp y dữ liệu khác nhau có sẵn cung cấp các công cụ kiểm tra dữ liệu của riêng họ để khôi phục hoặc trích xuất dữ liệu đã xóa. Ngoài ra còn có nhiều công cụ pháp y dữ liệu thương mại và mã nguồn mở để điều tra dữ liệu pháp y. Phần mềm bảo mật như phần mềm phát hiện và phản hồi điểm cuối và phần mềm ngăn chặn mất dữ liệu thường cung cấp các công cụ giám sát và ghi nhật ký cho pháp y dữ liệu như một phần của giải pháp bảo mật dữ liệu rộng hơn.
4.3. Ứng dụng
Ví dụ 1: Xây dựng lại dữ liệu hàng .
Trong thử nghiệm này, chúng tôi đánh giá khả năng của công cụ của chúng tôi trong việc tạo lại dữ liệu trực tiếp từ một hình ảnh với các trang DBMS. Quá trình xây dựng lại nội dung trang giống nhau đối với đĩa hoặc bộ nhớ (điểm khác
biệt duy nhất là bản sao trong bộ nhớ của trang có thể tạm thời khác với phiên bản trên đĩa do các bản cập nhật). Hơn nữa, nội dung của bộ đệm bộ đệm cơ sở dữ liệu cung cấp một số thông tin chi tiết về các hàng đã được truy cập gần đây bởi các truy vấn của người dùng, vì vậy chúng tôi đã chọn để trực quan hóa bộ đệm bộ đệm cơ sở dữ liệu khi các truy vấn khác nhau đang được thực thi.
Hình trên hiển thị nội dung của bộ đệm cache Oracle (50K trang), với mỗi dấu chấm đại diện cho một trang duy nhất và biểu đồ thanh tóm tắt số lượng trang. Ban đầu bộ đệm đệm được tích hợp trước với dữ liệu tổng hợp từ một số bảng (được tổng hợp thành một thanh trong biểu đồ thanh), được hiển thị trong ảnh chụp nhanh đầu tiên và biểu đồ thanh tương ứng bên dưới.
Hình ảnh thứ hai cho thấy các trang được lưu trong bộ nhớ cache sau khi các bảng khách hàng và bộ phận được truy vấn với tổng số khoảng 7000 trang đĩa (sử dụng 50 truy vấn khác nhau) với biểu đồ thanh tương ứng bên dưới; hai hình ảnh sau đây cho thấy điều gì xảy ra sau khi bảng sắp xếp hàng đã được truy cập nhiều lần bởi các truy vấn. Ảnh chụp nhanh thứ ba cho thấy các hiệu ứng bộ nhớ đệm sau khi thực hiện 100 (120 trang) truy vấn sắp xếp hàng (được tóm tắt trong biểu đồ thanh thứ ba) và ảnh thứ tư cho thấy kết quả thực hiện thêm 200 truy vấn tương tự để ghi đè lên toàn bộ bộ đệm cache một cách hiệu quả, thay thế tất cả các truy vấn trước đó dữ liệu được lưu trong bộ nhớ cache. Trong khi lineorder truy vấn thêm lên đến xấp xỉ (300*120) 36K trang, hãy nhớ lại rằng các chỉ mục thường được sử dụng để tạo điều kiện truy cập bảng. Do đó, có một số trang chỉ mục, không được hiển thị trên biểu đồ thanh, có trong hình ảnh chụp nhanh cuối cùng.
Nội dung của ảnh chụp nhanh bộ đệm đệm hiện tại phản ánh dữ liệu đã được truy cập gần đây. Tuy nhiên, lưu ý rằng tất cả các truy vấn trong thử nghiệm này đều được chọn để đảm bảo rằng các trang của chúng được lưu vào bộ nhớ đệm đầy đủ. Phần thảo luận chi tiết về các chính sách bộ nhớ đệm cơ sở dữ liệu nằm ngoài phạm vi của bài báo này, nhưng lưu ý rằng khi truy vấn đang truy cập một số lượng lớn các trang (ví dụ: hơn một phần ba tổng kích thước bộ nhớ đệm bộ đệm), thì chỉ một phần cụ thể của lần đọc dữ liệu được lưu vào bộ nhớ đệm. Điều này được thực hiện để tránh loại bỏ quá nhiều trang của bảng khác khỏi bộ đệm đệm và được sử dụng để lý luận về dữ liệu bảng nào đã được truy cập gần đây.
Ví dụ 2 : khôi phục dữ liệu bị lỗi
Sử dụng một trong những nhà cung cấp dịch vụ đám mây phổ biến, chúng tôi đã thuê một phiên bản và tạo một cơ sở dữ liệu mới bằng PostgreSQL - ở đây chúng tôi sử dụng một dịch vụ đám mây để minh họa rằng dữ liệu có thể được quét từ các phiên bản lân cận hoặc ngừng hoạt động nếu chúng không được làm sạch đúng cách (thực sự là dò tìm các phiên bản đối với dữ liệu cá nhân sẽ chống lại Điều khoản dịch vụ). Sau khi tải PostgreSQL bằng điểm chuẩn SSBM (Scale4, 24M hàng trong bảng sắp xếp hàng), chúng tôi đã tắt cơ sở dữ liệu và xóa (sử dụng rm) các tệp có chứa bộ nhớ cơ sở dữ liệu.
Dung lượng đĩa đã xóa được đánh dấu là “khả dụng” và cuối cùng sẽ bị ghi đè bởi các tệp mới. Chúng tôi mô phỏng quá trình ghi đè này bằng cách thực hiện ghi ngẫu nhiên 1 KB trên toàn ảnh đĩa một cách ngẫu nhiên. Chúng tôi sử dụng tính năng ghi nhỏ để kiểm tra khả năng xây dựng lại trang của công cụ khi các trang bị hỏng một phần (nếu toàn bộ trang bị ghi đè, thì nó chỉ đơn giản là biến mất). Khi một tỷ lệ phần trăm nhất định của các khối 1 KB được ghi vào đĩa một cách ngẫu nhiên, chúng tôi đã đo lượng dữ liệu mà công cụ của chúng tôi có thể phục hồi.
Bảng trên tóm tắt kết quả theo các trang bảng đã phục hồi. Cột thứ hai có số khối ban đầu, trước khi xảy ra bất kỳ thiệt hại nào trên trang và sau đó chúng tôi hiển thị phân bổ cho 10% và 25% giá trị thiệt hại. Mặc dù tổn thất chính xác khác nhau tùy thuộc vào vận may của từng bảng cụ thể, nhưng số lượng trang phục hồi trung bình tương ứng chặt chẽ với số lượng thiệt hại gây ra.
Cuối cùng, lưu ý rằng việc chạy một truy vấn trong PostgreSQL sau khi ghi đè siêu dữ liệu trang đã khiến Kết nối với máy chủ bị mất. Đang cố gắng đặt lại: Không thành công; thay đổi kích thước của tệp lưu trữ bảng (ví dụ: thêm hoặc bớt một vài byte) gây ra LỖI: kích thước yêu cầu cấp phát bộ nhớ không hợp lệ
2037542769.