在执行计算机调查取证时,首要步骤是确保目标系统的安全性,防止任何改动、损害或数据丢失,以保持证据的完整性。
其次,调查人员会全面搜索系统中的所有文件,包括正常文件、已删除但未被新数据覆盖的文件、隐藏文件、受密码保护和加密的文件。这一步旨在获取尽可能多的信息来源。
接着,将着重恢复已删除的文件,以弥补可能被忽视的线索。同时,还会深入挖掘操作系统和应用程序的隐藏文件、临时文件和交换文件,以揭示更多的信息。
如果法律允许,调查人员会尝试访问那些受保护或加密的文件内容,以获取关键证据。在磁盘特殊区域,如未分配磁盘空间和文件的“slack”空间中,也会展开详细的分析,寻找可能遗留的有价值信息。
完成上述步骤后,会生成一份详尽的系统分析报告,包括系统状态、文件结构、数据和作者信息,以及关于隐藏、删除、保护和加密行为的分析。同时,提供专业的专家证明以支持调查结果。
然而,传统的静态取证方法已不能适应如今日益复杂的计算机犯罪手段。当前的趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构相结合,实现动态取证。这将使取证过程更为系统、智能,且具有更高的灵活性和多样性。
计算机调查取证(Computer Forensics)是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。近些年来,越来越多的电子证据被各类案件所涉及,计算机调查取证也逐渐成为一门热门专业。