本章先简单介绍了电子数据取证的概念和发展历程

Guide to Computer Forensics and Investigation 5th Edition 第一章

本章先简单介绍了电子数据取证的概念和发展历程

电子数据取证的有关技术简介

也介绍了电子数据取证和其他学科之间的关联，例如有专门负责漏洞/威胁评估和风险管理的部门，负责网络入侵检测和事件响应的部门以及数字调查部门。这三个部门代表的三个学科会在取证工作中不断交叉，相互协助工作。

一般来说，电子数据取证取证用于调查可以从计算机硬盘驱动器或其他存储媒体检索到的数据。

取证人员从计算机或其组件中检索信息。检索到的信息可能在驱动器上，但可能不容易找到或破译。

另一方面，网络取证产生了关于攻击者如何访问网络以及他们可能已经复制、检查或篡改的文件的信息。网络取证人员使用日志文件确定用户何时登录，确定用户访问了哪些url，他们如何登录到网络，以及从什么位置登录。

网络取证也试图确定受害者的电脑上留下了哪些痕迹或新文件，以及做出了哪些更改。

数字取证也不同于数据恢复，后者涉及检索因错误删除或在电涌或服务器崩溃期间丢失的信息。在数据恢复中，通常您知道要查找什么。

数字取证是一项恢复用户隐藏或删除的数据的任务，其目标是确保恢复的数据是有效的，从而可以作为证据使用。在这方面，数字取证不同于从现场复原的其他类型的证据。

当现勘人员提取出血液、头发或子弹时，他们就能识别出那是什么。

当笔记本电脑、智能手机或其他数字设备被取回时，它的内容是未知的，这对检查人员来说是一个挑战。

证在极端的情况下，技术人员可以使用电子显微镜和其他复杂的设备从已经损坏或故意重新格式化的机器中检索信息。这种方法通常成本高昂，所以通常不使用。

本书涉及的法律程序相关内容为国外法律，不适用于国内法律程序

作为一名专业人士，你必须在任何时候都表现出最高水平的专业行为。

要做到这一点，你必须在调查过程中保持客观性和机密性，不断扩展你的技术知识，并诚实地行事。

保持客观性意味着你要根据你的教育、培训、经验和案件中的证据来形成自己的观点。在你用尽所有合理的线索并考虑到现有的事实之前，避免对你的发现下结论。

1、对你正在调查的案件类型进行初步评估——评估你正在处理的案件类型，与案件有关的其他人交谈，并就事件提出问题。执法部门或公司安全人员是否已经没收了计算机、磁盘、外围设备和其他部件?你需要去办公室或其他地方吗?电脑是用来犯罪的，还是包含其他犯罪的证据?

2、确定案件的初步设计或方法——概述调查案件所需遵循的一般步骤。如果嫌疑人是一名员工，您需要获取他或她的系统，请确定是否可以在工作时间获取计算机，或者必须等到晚上或周末。如果你正在准备一个刑事案件，确定执法人员已经收集了哪些信息。

3、创建一个详细的清单——通过创建一个详细的步骤清单和每个步骤的估计时间来完善总体大纲。这个大纲可以帮助你在调查过程中保持正轨。

4、根据您正在调查的计算机的操作系统确定您需要的资源，列出您计划用于调查的软件，指出您可能需要的任何其他软件、工具或专家协助。

5、获取并复制证据驱动器——在某些情况下，您可能会扣押多台带有cd、dvd、USB驱动器、移动设备和其他可移动媒体的计算机。（在本章的例子中，你只使用 USB驱动器。）为磁盘做一个检查副本。

6、识别风险——列出在你处理的案件类型中你通常预期的问题。这个列表被称为标准风险评估。例如，如果嫌疑人似乎熟悉计算机，他或她可能已经设置了一个登录方案，当有人试图更改登录密码时，该方案会关闭计算机或覆盖硬盘上的数据。

7、减少或最小化风险——确定如何将风险最小化。例如，如果您正在使用的计算机上，嫌疑人可能已经用密码保护了硬盘驱动器，那么您可以在开始之前复制多个原始媒体。然后，如果在从磁盘检索信息的过程中销毁了一个副本，则会有其他副本。

8、测试设计——回顾你做出的决定和你完成的步骤。如果你已经复制了原始媒体，测试设计的一个标准部分包括比较散列值（在第 3 章和第 4章讨论），以确保你正确地复制了原始媒体。

9、分析和恢复数字证据-使用软件工具和您收集的其他资源，并确保您已经解决了任何风险和障碍，检查磁盘，以找到数字证据。

10、调查您恢复的数据-查看从磁盘恢复的信息，包括现有文件、已删除文件、电子邮件和Web 历史记录，并组织文件以帮助找到与案件相关的信息。

11、完成案例报告——写一份完整的报告，详细说明你做了什么以及你发现了什么

在现有的数字取证硬件和软件中，将计算机工作站或笔记本电脑配置为取证工作站非常简单。

所有这些都是必需的∶

其他有用项目包括∶

●文本编辑器工具

●图形查看程序

本文作者：Rayi