计算机取证

计算机取证的目标 ：

使调查的结果能够经受法庭的检查。

应该从一开始就把计算机作为物证对待，在不对原有物证进行任何改动或损坏的前提下获取证据；

证明你所获取的证据和原有的数据是相同的；

在不改动数据的前提下对其进行分析；

务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因。

从技术角度看，计算机取证是分析

计算机取证的主要原则有以下几点：

首先，尽早搜集证据，并保证其没有受到任何破坏；

其次，必须保证“证据连续性”（有时也被称为“chain of custody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；

最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的

根据电子证据的特点，在进行计算机取证时，首先要尽早搜集证据，并保证其没有受到任何破坏。在取证时必须保证证据连续性，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。特别重要的是，计算机取证的全部过程必须是受到监督的，即由原告委派的专家进行的所有取证工作，都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下。

取证

（1）保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统，不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。

（2）确定电子证据。在计算机存储介质容量越来越大的情况下，必须根据系统的破坏程度，在海量数据中区分哪些是电子证据，哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据，确定这些记录的存放位置和存储方式。

（3）收集电子证据。

记录系统的硬件配置和硬件连接情况，以便将计算机系统转移到安全的地方进行分析。

对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理，如果将来出现对收集的电子证据发生疑问时，可通过镜像备份的数据将目标系统恢复到原始状态。

用取证工具收集的电子证据，对系统的日期和时间进行记录归档，对可能作为证据的数据进行分析。对关键的证据数据用光盘备份，也可直接将电子证据打印成文件证据。

利用程序的自动搜索功能，将可疑为电子证据的文件或数据列表，确认后发送给取证服务器。

对网络防火墙和入侵检测系统的日志数据，由于数据量特别大，可先进行光盘备份，保全原始数据，然后进行犯罪信息挖掘。

各类电子证据汇集时，将相关的文件证据存入取证服务器的特定目录，将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。

（4）保护电子证据

对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的

在保证以上几项基本原则的情况下，计算机取证工作一般按照下面步骤进行：

第一， 在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或

取证准备（Preparation）

操作准备

设备准备

证据识别（Identification）

现场证据保护

设备保管

证据收集（Collection）

原始证据提取

原始证据保存

证据分析（Analysis）

取证分析

结论报告

证据提交（Presentation）

证据展示

证据返还

电子证据需要借助计算机的辅助程序来查看，分析电子证据的信息需要很深的专业知识，应依靠专业的取证专家。通常进行的工作包括。

（1）借助自动取证的文本搜索工具，进行一系列的关键字搜索查找最重要的信息。

（2）对文件属性、文件的摘要和日志进行分析，根据已经获得的文件或数据的用词、语法、写作或软件设计编制风格，推断可能的作者。

（3）利用数据解密技术和密码破译技术，对电子介质中的被保护信息进行强行访问，获取信息。

（4）分析Windows系统的交换文件和硬盘中未分配的空间，这些地方往往存放着犯罪嫌疑人容易忽视的证据。

（5）对电子证据进行智能相关性分析，发掘同一事件不同证据间的联系。如分析分布式拒绝服务攻击证据时，可对某一时间段来自攻击者的IP在不同系统中留下的痕迹，按一定顺序罗列和评估其相关性。

计算机取证常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和镜像工具等。