关于计算机取证的步骤
www.110.com 2010-07-19 16:10
在保证以上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:
第一, 在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;
第二, 搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;
第三, 全部(或尽可能)恢复发现的已删除文件;
第四, 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;
第五, 如果可能并且如果法律允许,访问被保护或加密文件的内容;
第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:①所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留;② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;
第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
第八,给出必需的专家证明。
上面提到的计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。
- 上一篇:怎样进行计算机取证
- 下一篇:民事诉讼中电子证据举证规则的完善
相关文章
- ·关于审理涉及计算机网络著作权纠纷案件适用法
- ·山东省版权局关于开展打击非法预装计算机软件
- ·最高人民法院关于审理涉及计算机网络域名民事
- ·最高人民法院关于审理涉及计算机网络著作权纠
- ·北京市地方税务局关于计算机软件转让收入认定
- ·四川省版权局关于加强计算机软件著作权保护的
- ·人事部办公厅关于加强计算机软件正版化管理工
- ·《 最高人民法院关于审理涉及计算机网络著作权
- ·关于计算机网络广告的法律思考
- ·最高人民法院关于审理涉及计算机网络著作权纠
- ·怎样进行计算机取证
- ·计算机取证的原则
- ·计算机取证的方式
- ·计算机取证是什么
- ·关于计算机预装绿色上网过滤软件的通知
- ·厦门市关于计算机软件产品享受税收优惠政策的
- ·关于非法侵入计算机信息系统罪
- ·关于破坏计算机信息系统罪
- ·关于利用计算机实施犯罪的提示性规定
- ·中国保险监督管理委员会关于寿险公司计算机2
最新文章
推荐文章
- · 论电子证据的独立地位
- · 电子证据的认证一例
- · 电子证据均可维权