5. 計(jì)算機(jī)取證

計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)的活動(dòng)。取證的目的包括：通過(guò)證據(jù)查找肇事者、通過(guò)證據(jù)推斷犯罪過(guò)程、通過(guò)證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持。電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品。對(duì)于電子證據(jù)，取證工作主要圍繞兩方面進(jìn)行：證據(jù)的獲取和證據(jù)的分析。計(jì)算機(jī)取證的過(guò)程可以分為準(zhǔn)備、保護(hù)、 提取、分析和提交5個(gè)步驟。

1)準(zhǔn)備階段。包括以下5項(xiàng)工作：獲取授權(quán)，取證工作獲得明確的授權(quán)（授權(quán)書(shū)），該授權(quán)可由事件發(fā)生組織（受害方）或第三方執(zhí)法機(jī)構(gòu)（公安部門(mén)或其他執(zhí)法機(jī)構(gòu)） 給出；明確目標(biāo)，對(duì)取證的國(guó)標(biāo)情況進(jìn)行了解，確定取證的目標(biāo)資料及信息，并對(duì)取證的目的有清晰的認(rèn)識(shí)，明確取證要達(dá)到什么樣的目標(biāo)；準(zhǔn)備工具，根據(jù)對(duì)取證環(huán)境的了解，準(zhǔn)備需要的工具；準(zhǔn)備軟件，對(duì)取證的軟件進(jìn)行有效的驗(yàn)證，確保軟件在取證環(huán)境下臺(tái)邑有效地運(yùn)行；準(zhǔn)備介質(zhì)，準(zhǔn)備符合取證環(huán)境需要的干凈的介質(zhì)，確保有符合要求的足夠容量的干凈的介質(zhì)用于取證。

2)保護(hù)階段。主要目的是對(duì)目標(biāo)環(huán)境進(jìn)行保護(hù)，避免取證導(dǎo)致證據(jù)徹底丟失和數(shù)據(jù)進(jìn)一步被破壞。

保護(hù)工作應(yīng)確保以下幾點(diǎn)：保證數(shù)據(jù)安全性，明確哪些取證操作可能導(dǎo)致證據(jù)或數(shù)據(jù)徹底丟失，避免使用這些類型的操作，如不要拔下電源線或關(guān)機(jī)；保證數(shù)據(jù)完整性，明確哪些取證操作能確保完整性，取證中不使用可能破壞完整性的操作，例如應(yīng)該制作磁盤(pán)映像，盡量不在原始磁盤(pán)上操作；確保目標(biāo)系統(tǒng)、服務(wù)和網(wǎng)絡(luò)在取證過(guò)程中受到保護(hù)，防止其變得不可用、被改變或受到其他危害；同時(shí)確保對(duì)正常運(yùn)行的影響最小或沒(méi)有。

3)提取階段。從受到侵害的計(jì)算機(jī)上獲取信息，供隨后的分析和處理。具體的操作。

過(guò)程是查看計(jì)算機(jī)的狀態(tài)，復(fù)制磁盤(pán)上存儲(chǔ)的數(shù)據(jù)，并將可疑數(shù)據(jù)復(fù)制到可信任的設(shè)備上。

4)分析階段。對(duì)提取的數(shù)據(jù)進(jìn)行詳細(xì)的分析，從中發(fā)現(xiàn)被攻擊的痕跡或相關(guān)線索。 5)提交階段。對(duì)從分析中獲取的證據(jù)或線索進(jìn)行規(guī)范整理，總結(jié)事件發(fā)生的原因及在其演變過(guò)程以及每一階段采取的行動(dòng)，并將取證過(guò)程詳細(xì)地記錄下來(lái)，形成文件，一 起提交。若需要，為內(nèi)部懲罰或法律訴訟行動(dòng)提供專家支持。