3.分析：提取出有用证据，分析判断其中的关联性。将数据转换为可读可见的形 式，所有分析最好在原始证据的备份中进行，原始证据应该被安全的获取以保持 证据的完整性。 4.报告：所有操作都必须以日志形式记录，所有的结果都必须以报告形式记录。
这个流程适用于电子数据取证的各个环节，包括侦查、勘验和电子数据检验鉴定。 其中，评估属于侦查阶段，获取在勘验阶段，分析贯穿于勘验和鉴定检验阶段，报告属于 鉴定检验阶段，整个流程中需要实时记录所有动作，以便证据具备效力和过程可以回溯。

6.密码破解
当找到的文件被密码保护，需要利用密码破解技术破解密码，以达到访问内容的目 的。

7.书签和记录找到的数据
对上述找到的文件和内容进行书签，以方便再次分析，同时也记录分析的动作，满 足司法需要。通过分析和关联书签的数据，形成证据链。
4、报告
电子数据取证的最后阶段，也是最终目的，是整理取证分析的结果，将其形成 “证据链”供法庭作为诉讼证据。 取证人员应当根据取证的原始记录，按照司法要求形成鉴定意见或者检验报告。 意见或报告里要体现犯罪行为的时间、地点、直接证据信息、系统环境信息，同时 要包括取证过程以及对电子数据的分析结果和报告。

2.确定取证的人员。
按照人员的不同专业特长，配备符合实际需要的取证人员。根据相关要求，无 论是现场勘验还是检验鉴定，都需要两人以上。

3.确定使用的取证设备。根据取证要求，挑选适合的取证设备，尽量做到有冗余。 4.确定取证目标，决定哪些设备和数据应该被获取。如硬盘、U盘、照片、图表、 文档、数据库等。如果进行现场取证，还获取案件有关的额外信息。例如，电子 邮箱账号、地址；ISP登录用户名；网络拓扑；用户、系统日志；用户名、密码 等。

（1）查看文件信息
例如文件名、文件大小等信息以及其他关联文件信息；确定关联文件的数量和类型。例如， IE历史访问记录关联的下载文件。

（2）检查文件内容 （3）检查文件元数据
通过分析文件数据结构，提取文件中隐含的数据。例如图像文件中的GPS定位信息。
3、分析

5.数据恢复
数据恢复技术是对已删除的、丢失的数据进行恢复，嫌疑人通过计算机进行犯罪后， 往往将计算机中可以反映或证明自己犯罪行为的数据删除掉，甚至对硬件设备进行损坏， 用于摧毁犯罪证据、掩盖犯罪事实。 数据恢复可以恢复删除文件、文件松弛区（Slack）和未分配空间中的数据。
3、分析
分析是电子数据取证的核心和关键，分析涵盖了所有取证技术，是最体现取证 人员取证能力的环节。 分析的内容包括系统信息、文件信息、长信息等多种信息。黑客入侵案件还有 进行功能分析，例如远程控制和木马程序的功能和危害程度等。
不同类型的案件需要不同的分析方法，典型的分析过程（步骤）主要包括：

1.获得取证目标的基本信息
电子数据取证原则与流程
河南开合软件技术有限公司
20170519
一、电子数据取证的基本原则

1.取证流程符合国家和地方的法律法规，从事取证的执法人员得到法律的授权。

2.必须采取完全可靠的取证方法来保证电子数据的完整性、连续性。作为证据使 用的电子数据被正式提交给法庭时，必须能够说明在数据从最。
2、获取
电子数据取证原则上不允许在原始存储介质上直接进行分析比如硬盘。即使提 取原始物证，例如硬盘、U盘，也要求对其进行写保护的前提下进行分析。对于手机 等移动设备，要求可回溯，记录过程。目前电子数据取证更倾向使用获取，在获取 的镜像和数据上进行分析。
写保护（只读），是获取和分析电子数据的前提。写保护对于电子数据取证， 主要有以下作用：
（B）易失性数据通常需要根据受害系统的性质和安全管理的政策规定来决定是让可疑计算机 继续运行以进行易失性证据的获取，还是立即拔掉电源或者进行正常的关机过程。比如在互 联网入侵案件中，如果未对计算机取得镜像之前切断网络或关机，就可能毁掉入侵者的登陆IP、 内存中运行的程序信息等有用证据。 （C）收集易失性数据的基本步骤：



a.运行可信的程序； b.记录系统时间和日期； c.确定登录信息（包括远程用户） ； d.记录所有文件的创建、修改和访问时间; e.确定打开的端口；
2、获取

f.列出与打开端口相关的应用程序； g.列出所有正在运行的进程； h.列出所有当前和最近的连接； i.再次记录系统时间和日期。

1.镜像获取
镜像获取是对源存储介质进行逐比特位的复制，可以提取到所有的数据内容， 需要分析的时间也最长。取证意义上的获取必须是对原始驱动器每一个比特的精确 镜像。因为一般的备份程序（例如Ghost）只能对单个的文件系统做备份，他无法捕 获松弛区、未分配空间及Swap文件。

2.数据获取 （1）文件获取


1、评估
电子数据取证可能在固定环境（实验室）或者移动环境（现场）中进行。无论 哪种环境，在评估阶段，电子数据取证人员需要获得以下授权和信息： 1.获得法律授权。 取证需要履行相关的审批手续，在符合法律要求的前提下方可以行动。


2.案件信息和嫌疑人信息。
案件信息有利于取证人员判断嫌疑人的行为动作。通过判断嫌疑人的计算机水 平，有助于判断是否有数据隐藏、加密、删除等损害证据的行为。
三、典型的电子数据取证流程

1.单机环境电子数据取证
单机环境电子数据取证主要是指从存储电子数据的介质中获取、分析电子数据证据 的过程。存储电子数据的介质不仅限于计算机存储介质，还应该包括各种可以存储数据的 电子设备，如移动存储器（例如U盘）、移动终端（例如手机、平板电脑）等。 单机环境电子数据取证具有以下特点：

某些案件中，仅仅需要获取特定的文件。例如，黑客入侵案件中，重点要获取各种日 志文件，例如Web日志、系统日志等，以及网站文件及其数据库。文件获取利用文件 属性和文件签名技术，可以快速地过滤和搜索到特定的文件，通过写保护的方式，将 文件提取到外置存储器上。
2、获取

（2）易失性证据获取

（A）在电子数据取证过程中，主要从嫌疑人机器的文件中寻找犯罪证据，然而有些重要的犯 罪证据往往存在于嫌疑人机器的寄存器、缓存或内存中，这些证据包括当前登录的用户列表、 整个文件系统的时间/日期戳、当前运行着的进程列表、当前打开的套接字列表、在打开的套 接字上监听的应用程序等，这些数据往往被称为易失性数据，系统关闭后这些数据便全部丢 失且不可能恢复。
三、典型的电子数据取证流程

2.网络环境电子数据取证
当前，网络环境下的电子数据取证相比于单机环境下的电子数据取证难度更高。由 于网络环境下的电子数据取证通常涉及多台计算机设备或者移动终端，该环境下的电子数 据取证呈现以下特点：

（1）数据量大

网络环境的电子数据往往分散保存在电子设备中，更有可能是云存储。这就决定了分析的数 据量巨大。
关键词搜索不依赖文件系统，设置的关键词以二进制的形式，在介质中进行遍历， 直到命中结果。关键词搜索往往可以搜索到删除文件、文件松弛区（Slack Space）和未 分配空间（Unallocated Space）的关键词，以达到找到数据的目的。

4.文件分析
针对过滤或者查找到的文件的信息和元数据进行分析，主要关注以下方面：

（2）数据类型相对单一

网络环境的犯罪行为主要为网络入侵行为，决定了其入口较少，留存在数据类型明确的文件 中，例如日志。

（3）数据格式复杂化

不同的网络应用保存的数据格式不同，需要进行格式化再进行分析。同时，特殊的网络应用 可能会使用加密和特殊算法。
请各位同仁点评，谢谢！

1.写保护符合电子数据“原始性”的要求。通过写保护，取证过程中的任何操作 都不会影响电子数据，保证获取和分析的电子数据的可靠性。 2.写保护符合“非法证据排除”的要求。通过写保护设备，任何人员，包括电子 数据取证人员，在监管的前提下，无法向存储介质写入数据。

2、获取
获取主要分为镜像获取和数据获取。
3.从事取证的执法人员必须经过专业的培训。


4.任何针对数据的获取、存储、运输、分析检查的活动都必须记录在案，存档待 查。
5.取证人员应该配备符合要求的取证工具。

二、电子数据取证的流程

1.评估：电子数据人员应该针对工作作出全面的评估，以决定下一步采取的行动。

2.获取：电子数据必须保存于原始状态中，它防止被不正确的处理方法所影响、 损坏或者被删除。
基本信息包括系统类型，账户信息、安装时间、关机时间等。基本信息可以为电子 数据取证人员提供目标的一个基本状况，为下一步的取证工作打下良好基础。

2.文件过滤
文件过滤依赖于操作系统、文件系统和应用程序。利用文件属性，例如M-A-C时间、 后缀名、逻辑大小、物理大小等属性信息进行过滤。
3、分析

3.关键词搜索

（1）数据保存在相对稳定的环境中

电子数据存储在单独的电子设备中，不容易受到其他因素的影响，获取和分析相对比较容易， 能够提取出完整的数据。

（2）人机关联

单机环境中，嫌疑人往往在场，因此对于电子数据与嫌疑人进行确定有比较充分的证据。

（3）取证的难度较低

对于单机存储的分析，时间要求不是很紧迫，可以利用多种取证工具，进行详细的挖掘。

3.电子数据存储的环境。
是保存在固定设施中还是保存在虚拟空间中，你确定属于单机取证还是网络取 证，还是二者兼有。
1、评估
获得以上信息后，可以根据情况进行取证的相关准备，包括：

1.制定取证策略。
按照取证的对象决定取证的方法、预案、取证顺序。包括是否需要与传统取证 方式配合，如DNA、痕迹等，以免毁灭证据。