5. 計算機取證

計算機取證是使用先進的技術和工具，按照標準規(guī)程全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的相關證據(jù)的活動。取證的目的包括：通過證據(jù)查找肇事者、通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持。電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品。對于電子證據(jù)，取證工作主要圍繞兩方面進行：證據(jù)的獲取和證據(jù)的分析。計算機取證的過程可以分為準備、保護、 提取、分析和提交5個步驟。

1)準備階段。包括以下5項工作：獲取授權(quán)，取證工作獲得明確的授權(quán)（授權(quán)書），該授權(quán)可由事件發(fā)生組織（受害方）或第三方執(zhí)法機構(gòu)（公安部門或其他執(zhí)法機構(gòu)） 給出；明確目標，對取證的國標情況進行了解，確定取證的目標資料及信息，并對取證的目的有清晰的認識，明確取證要達到什么樣的目標；準備工具，根據(jù)對取證環(huán)境的了解，準備需要的工具；準備軟件，對取證的軟件進行有效的驗證，確保軟件在取證環(huán)境下臺邑有效地運行；準備介質(zhì)，準備符合取證環(huán)境需要的干凈的介質(zhì)，確保有符合要求的足夠容量的干凈的介質(zhì)用于取證。

2)保護階段。主要目的是對目標環(huán)境進行保護，避免取證導致證據(jù)徹底丟失和數(shù)據(jù)進一步被破壞。

保護工作應確保以下幾點：保證數(shù)據(jù)安全性，明確哪些取證操作可能導致證據(jù)或數(shù)據(jù)徹底丟失，避免使用這些類型的操作，如不要拔下電源線或關機；保證數(shù)據(jù)完整性，明確哪些取證操作能確保完整性，取證中不使用可能破壞完整性的操作，例如應該制作磁盤映像，盡量不在原始磁盤上操作；確保目標系統(tǒng)、服務和網(wǎng)絡在取證過程中受到保護，防止其變得不可用、被改變或受到其他危害；同時確保對正常運行的影響最小或沒有。

3)提取階段。從受到侵害的計算機上獲取信息，供隨后的分析和處理。具體的操作。

過程是查看計算機的狀態(tài)，復制磁盤上存儲的數(shù)據(jù)，并將可疑數(shù)據(jù)復制到可信任的設備上。

4)分析階段。對提取的數(shù)據(jù)進行詳細的分析，從中發(fā)現(xiàn)被攻擊的痕跡或相關線索。 5)提交階段。對從分析中獲取的證據(jù)或線索進行規(guī)范整理，總結(jié)事件發(fā)生的原因及在其演變過程以及每一階段采取的行動，并將取證過程詳細地記錄下來，形成文件，一 起提交。若需要，為內(nèi)部懲罰或法律訴訟行動提供專家支持。