Gewiste data
Een harde schijf werkt een beetje zoals een boek. Vooraan staat een inhoudstafel met naast ieder hoofdstuk een paginanummer. Bij een harde schijf is dit niet anders, maar dan voor ieder bestand. Naast een document, foto, email of om het even welk bestand staat telkens de exacte locatie op de harde schijf, de zogenaamde “offset”. Bij het ‘openen’ van een document, verspringt de kop van de harde schijf naar die exacte locatie om zo het bestand te kunnen tonen. Uiteraard zit dit technisch iets moeilijker in elkaar, maar zo is het begrijpbaar voor iedereen.
Bij het verwijderen van een bestand, wordt enkel de inhoudstafel aangepast en wordt de offset vrijgegeven. Dit wil zeggen dat de informatie wel nog op de harde schijf staat, doch niet meer kan teruggevonden worden door de computer. Dit noemen we de gewiste ruimte.
Om gewiste data terug te halen dient forensische analysesoftware de volledige harde schijf op patronen van soorten bestanden controleren. De documenten kunnen volledige gerecupereerd worden, zolang deze gewiste ruimte niet werd overschreven met nieuwe informatie. Daarom is het ook van belang om de computer nog zo weinig mogelijk te gebruiken om uw data succesvol te kunnen recupereren. Soms is een deel reeds overschreven, maar niet alles. Zo kunnen wij bijvoorbeeld nog de laatste 5 pagina’s van een document terugvinden die bestond uit 7 pagina’s, kan de bovenste helft van een foto teruggevonden worden, enz.
Slack space
Alle bovenstaande stappen kunnen ook herhaald worden in de “slackspace”. De harde schijf is namelijk onderverdeeld in blokjes van gelijke grootte. Als een bestand net niet in zo een blokje past, dan wordt een tweede blokje gebruikt. Maar dit laatste blokje is daarom niet volledig beschreven. De resterende ruimte in zo’n blokje noemt men de “slackspace”. Ook daar kan nuttige informatie staan, zoals flarden van een internet geschiedenis of van een email. Sleutelwoorden uit een bepaald document die werd gewist, waaruit kan aangetoond worden dat dit document aanwezig is geweest op die computer, de datum waarop een bepaald programma werd geïnstalleerd, enz..
