什么是計算機取證

計算機取證不過是簡單地將計算機調查和分析技術應用于潛在的、有法律效?的證據的確定和獲取。計算機取證是分析硬盤、光盤、軟盤、Zip和Jazz磁盤、內存緩沖以及其他形似的存儲介質以發現犯罪證據的過程。

計算機取證(Computer forensics)是恢復隱藏或刪除的，可以用于證據的數據。重點調查從計算機硬盤和其他存儲介質中獲得的數據，這些數據可以作為“使?定罪的”或“辨明?罪的”證據。?絡取證 (Network forensics)與計算機取證的區別在于重點調查針對網絡實施的犯罪行為或入侵行為。數據恢復 (Data Recovery)是指恢復由于意外原因而刪除或丟失的信息，通常明確知道需要查找的數據。災難恢復 (Disaster Recovery)是指使用計算機取證技術恢復客戶丟失的信息，包括數據恢復和業務重建。

計算機取證在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的”痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取近是計算機領域和法學領域的一門交叉科學，被廣泛應用于計算機犯罪和事故，包括網絡入侵、知識產權盜用和網絡欺騙等。隨著人們生活對電子產品和網絡的依藏，計算機取證必將逐漸應用到生活的方方面面。

一個典型的計算機取證技術流程包括 4 個階段，依次是：保護現場、證據獲取、證據鑒定與分析和證據追蹤與提交結果。

為了保證取證信息的準確性，不受到外界因素的過多干擾方便后續的辦案過程，應在進行計算機取證工作前 保護現場 ，并在實際工作開展的過程中對現場進行仔細的勘察，判定信息的存在點位以及信息的有效性。另外，計算機取證人員在現場也需要對問題進行具體分析，想要保證數據的完整性與安全性，首先需要落實目標檢材工作的基本要點，保證流程能夠在這一環節中得到整合以此提升取證的實效性。物理證據的收集工作包括影像資料的提取、證據的管理以及規范收集工作的流程，這樣才能提升現場證據保護的效果，為后續的取證工作與信息分析過程打下良好的基礎。

電子數據的獲取是必要的信息收集環節，在收集到規定的電子信息后要立即對其進行分析與進一步處理，并在數據結構的整合基礎上利用計算機技術進行證據闡釋，在這一過程中產 生的各種信息都需要執行統一的歸檔管理規定。這就是 證據獲取 階段的主要工作。

證據在提取后，首先需要對其進行 鑒定，并就其合理性執行具體的判定分析活動。另外，由于計算取證這一環節可能涉及到修改或是損毀，因此更要充分利用計算機取證技術優化處理過程。同時，在執行取證的過程中全程都需要有人監督以保證證據的準確性。證據分析 是最為重要的信息處理步驟，計算機類型與使用系統等都需要根據證據類型與周圍環境進行集中判定，在優化證據體系的同時也能夠強化其關聯作用。

證據追蹤 與上述的各個環節均有所區別，區別的關鍵在于這一過程屬于「動態取證」步驟，既需要整合互聯要求，還要在控制管理效果的同時完善取證過程，以此保證取證過程的最終效果；證據的提交 是整個取證流程中的最后一個環節，需要做的工作很多，包括證據的劃分與信息約束，都可以利用計算機取證技術進行。在得出最終數據后，應進行匯總以方便后續的工作過程。

經過以上計算機取證技術流程的梳理，可以歸納出計算機取證技術主要包括：數據獲取技術（主要的數據來源包括：存儲介質和網絡通信數據。例如可以通過網絡嗅探方式將捕獲的數據持久化存儲從而將數據獲取問題轉換為存儲介質數據獲取問題）、數據分析技術、計算機犯罪分析技術、數據解密技術、證據保管、證據完整性的實現技術以及反取證技術。

回答所涉及的環境：聯想天逸510S、Windows 10。