5. 計算機取證

計算機取證是使用先進的技術和工具，按照標準規程全面地檢查計算機系統，以提取和保護有關計算機犯罪的相關證據的活動。取證的目的包括：通過證據查找肇事者、通過證據推斷犯罪過程、通過證據判斷受害者損失程度及收集證據提供法律支持。電子證據是計算機系統運行過程中產生的各種信息記錄及存儲的電子化資料及物品。對于電子證據，取證工作主要圍繞兩方面進行：證據的獲取和證據的分析。計算機取證的過程可以分為準備、保護、 提取、分析和提交5個步驟。

1)準備階段。包括以下5項工作：獲取授權，取證工作獲得明確的授權（授權書），該授權可由事件發生組織（受害方）或第三方執法機構（公安部門或其他執法機構） 給出；明確目標，對取證的國標情況進行了解，確定取證的目標資料及信息，并對取證的目的有清晰的認識，明確取證要達到什么樣的目標；準備工具，根據對取證環境的了解，準備需要的工具；準備軟件，對取證的軟件進行有效的驗證，確保軟件在取證環境下臺邑有效地運行；準備介質，準備符合取證環境需要的干凈的介質，確保有符合要求的足夠容量的干凈的介質用于取證。

2)保護階段。主要目的是對目標環境進行保護，避免取證導致證據徹底丟失和數據進一步被破壞。

保護工作應確保以下幾點：保證數據安全性，明確哪些取證操作可能導致證據或數據徹底丟失，避免使用這些類型的操作，如不要拔下電源線或關機；保證數據完整性，明確哪些取證操作能確保完整性，取證中不使用可能破壞完整性的操作，例如應該制作磁盤映像，盡量不在原始磁盤上操作；確保目標系統、服務和網絡在取證過程中受到保護，防止其變得不可用、被改變或受到其他危害；同時確保對正常運行的影響最小或沒有。

3)提取階段。從受到侵害的計算機上獲取信息，供隨后的分析和處理。具體的操作。

過程是查看計算機的狀態，復制磁盤上存儲的數據，并將可疑數據復制到可信任的設備上。

4)分析階段。對提取的數據進行詳細的分析，從中發現被攻擊的痕跡或相關線索。 5)提交階段。對從分析中獲取的證據或線索進行規范整理，總結事件發生的原因及在其演變過程以及每一階段采取的行動，并將取證過程詳細地記錄下來，形成文件，一 起提交。若需要，為內部懲罰或法律訴訟行動提供專家支持。