什么是计算机取证

计算机取证不过是简单地将计算机调查和分析技术应用于潜在的、有法律效⼒的证据的确定和获取。计算机取证是分析硬盘、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形似的存储介质以发现犯罪证据的过程。

计算机取证(Computer forensics)是恢复隐藏或删除的，可以用于证据的数据。重点调查从计算机硬盘和其他存储介质中获得的数据，这些数据可以作为“使⼈定罪的”或“辨明⽆罪的”证据。⽹络取证 (Network forensics)与计算机取证的区别在于重点调查针对网络实施的犯罪行为或入侵行为。数据恢复 (Data Recovery)是指恢复由于意外原因而删除或丢失的信息，通常明确知道需要查找的数据。灾难恢复 (Disaster Recovery)是指使用计算机取证技术恢复客户丢失的信息，包括数据恢复和业务重建。

计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的”痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取近是计算机领域和法学领域的一门交叉科学，被广泛应用于计算机犯罪和事故，包括网络入侵、知识产权盗用和网络欺骗等。随着人们生活对电子产品和网络的依藏，计算机取证必将逐渐应用到生活的方方面面。

一个典型的计算机取证技术流程包括 4 个阶段，依次是：保护现场、证据获取、证据鉴定与分析和证据追踪与提交结果。

为了保证取证信息的准确性，不受到外界因素的过多干扰方便后续的办案过程，应在进行计算机取证工作前 保护现场 ，并在实际工作开展的过程中对现场进行仔细的勘察，判定信息的存在点位以及信息的有效性。另外，计算机取证人员在现场也需要对问题进行具体分析，想要保证数据的完整性与安全性，首先需要落实目标检材工作的基本要点，保证流程能够在这一环节中得到整合以此提升取证的实效性。物理证据的收集工作包括影像资料的提取、证据的管理以及规范收集工作的流程，这样才能提升现场证据保护的效果，为后续的取证工作与信息分析过程打下良好的基础。

电子数据的获取是必要的信息收集环节，在收集到规定的电子信息后要立即对其进行分析与进一步处理，并在数据结构的整合基础上利用计算机技术进行证据阐释，在这一过程中产 生的各种信息都需要执行统一的归档管理规定。这就是 证据获取 阶段的主要工作。

证据在提取后，首先需要对其进行 鉴定，并就其合理性执行具体的判定分析活动。另外，由于计算取证这一环节可能涉及到修改或是损毁，因此更要充分利用计算机取证技术优化处理过程。同时，在执行取证的过程中全程都需要有人监督以保证证据的准确性。证据分析 是最为重要的信息处理步骤，计算机类型与使用系统等都需要根据证据类型与周围环境进行集中判定，在优化证据体系的同时也能够强化其关联作用。

证据追踪 与上述的各个环节均有所区别，区别的关键在于这一过程属于「动态取证」步骤，既需要整合互联要求，还要在控制管理效果的同时完善取证过程，以此保证取证过程的最终效果；证据的提交 是整个取证流程中的最后一个环节，需要做的工作很多，包括证据的划分与信息约束，都可以利用计算机取证技术进行。在得出最终数据后，应进行汇总以方便后续的工作过程。

经过以上计算机取证技术流程的梳理，可以归纳出计算机取证技术主要包括：数据获取技术（主要的数据来源包括：存储介质和网络通信数据。例如可以通过网络嗅探方式将捕获的数据持久化存储从而将数据获取问题转换为存储介质数据获取问题）、数据分析技术、计算机犯罪分析技术、数据解密技术、证据保管、证据完整性的实现技术以及反取证技术。