关于计算机取证的步骤
导读:
在保证以上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:
第一, 在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;
第二, 搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;
第三, 全部(或尽可能)恢复发现的已删除文件;
第四, 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;
第五, 如果可能并且如果法律允许,访问被保护或加密文件的内容;
第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:①所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留;② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;
第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
第八,给出必需的专家证明。
上面提到的计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。
声明:该作品系作者结合法律法规,政府官网及互联网相关知识整合,如若内容错误请通过【投诉】功能联系删除.
相关知识推荐
目前我国很看重著作权的保护,不仅有相关的法律进行著作权以及其衍生权利的规定,还有专门的机关对侵犯著作权进行管辖。因此我国著作权侵权案件得到了良好的解决,那么计算
身份证过期去户籍所在地的派出所换新的身份证。根据民法典规定,可以在户籍所在地派出所更换,也可以在异地派出所更换。本人到居住地公安机关居民身份证异地受理点申请更换
两张身份证注销其中一个的办法:当事人拥有双重身份证的,应前往户籍所在地的公安机关,带上本人后办理的身份证办理注销手续。当事人应书面说明该身份证的形成原因。
当事人的所有隐私信息都是被法律保护的,所有公民都享有隐私权,侵犯隐私权的当事人应当承担相应的法律责任。《民法典》规定,自然人享有隐私权。任何组织或者个人不得以刺
网络销售是用第三方身份的行为属于违法行为,属于交易欺诈的范畴,当事人应当承担相应的法律责任。我国《民法典》规定,一方以欺诈手段,使对方在违背真实意思的情况下实施