计算机取证

5. 计算机取证

计算机取证是使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动。取证的目的包括：通过证据查找肇事者、通过证据推断犯罪过程、通过证据判断受害者损失程度及收集证据提供法律支持。电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品。对于电子证据，取证工作主要围绕两方面进行：证据的获取和证据的分析。计算机取证的过程可以分为准备、保护、 提取、分析和提交5个步骤。

1)准备阶段。包括以下5项工作：获取授权，取证工作获得明确的授权（授权书），该授权可由事件发生组织（受害方）或第三方执法机构（公安部门或其他执法机构） 给出；明确目标，对取证的国标情况进行了解，确定取证的目标资料及信息，并对取证的目的有清晰的认识，明确取证要达到什么样的目标；准备工具，根据对取证环境的了解，准备需要的工具；准备软件，对取证的软件进行有效的验证，确保软件在取证环境下台邑有效地运行；准备介质，准备符合取证环境需要的干净的介质，确保有符合要求的足够容量的干净的介质用于取证。

2)保护阶段。主要目的是对目标环境进行保护，避免取证导致证据彻底丢失和数据进一步被破坏。

保护工作应确保以下几点：保证数据安全性，明确哪些取证操作可能导致证据或数据彻底丢失，避免使用这些类型的操作，如不要拔下电源线或关机；保证数据完整性，明确哪些取证操作能确保完整性，取证中不使用可能破坏完整性的操作，例如应该制作磁盘映像，尽量不在原始磁盘上操作；确保目标系统、服务和网络在取证过程中受到保护，防止其变得不可用、被改变或受到其他危害；同时确保对正常运行的影响最小或没有。

3)提取阶段。从受到侵害的计算机上获取信息，供随后的分析和处理。具体的操作。

过程是查看计算机的状态，复制磁盘上存储的数据，并将可疑数据复制到可信任的设备上。

4)分析阶段。对提取的数据进行详细的分析，从中发现被攻击的痕迹或相关线索。 5)提交阶段。对从分析中获取的证据或线索进行规范整理，总结事件发生的原因及在其演变过程以及每一阶段采取的行动，并将取证过程详细地记录下来，形成文件，一 起提交。若需要，为内部惩罚或法律诉讼行动提供专家支持。