电子数据取证学习笔记-5

书接上回，在文件挖掘和网络数据分析的相关内筒之后，下面开始为您展示电子数据取证的原则与流程。

9、电子数据取证的原则与流程

9.1 电子取证的基本原则

1、取证流程符合国家和地方的法律法规，从事取证的执法人员得到法律的授权；
2、必须采取完全可靠的取证方法来保证电子数据的完整性、连续性。即在作为证据使用的电子数据被正式提交给法庭时，必须能够说明在数据从最初的获取状态到在法庭上出现状态之间的任何变化；
3、从事取证的执法人员必须经过专业的培训；
4、任何针对数据的获取、存储、运输、分析检查的活动都必须在案，存档待查；
5、取证人员应该配备符合要求的取证工具。

9.2 电子取证的流程

电子数据取证主要是通过对存储介质进行获取、分析，从中发现与案件相关的线索和情报信息。

电子数据取证流程步骤

1、评估

电子数据人员应该针对工作作出全面的评估，以决定下一步采取的行动；

2、获取

电子数据必须保存于原始状态中，防止被不正确的处理方式所影响、损坏或者被删除。

3、分析

提取出有用的证据，分析判断其中的关联性。将数据转换为可读可写的形式。所有分析最好在原始数据的备份中进行。原始证据应该被安全的获取以保持证据的完整性；

4、报告

所有操作都必须以日志形式记录、所有的结果都必须以报告形式记录。

9.3 收集易失性数据的基本步骤

1. 运行可信的程序
2. 记录系统时间和日期
3. 确定登陆信息（包括远程用户）
4. 记录所有文件的创建、修改和访问时间
5. 确定打开的端口
6. 列出与打开端口相关的应用程序
7. 列出所有正在运行的进程
8. 列出所有当前和最近的连接
9. 再次记录系统时间和日期
9.4 分析过程

1、获得取证目标的基本信息
基本信息包括系统类型、账户信息、安装时间、关机时间等；基本信息的获取，可以利用取证工具的脚本或者自动提取功能来实现。基本信息可以为电子数据取证人员提供目标的一个基本概况，为下一步的取证工作打好基础。
2、文件过滤
文件过滤依赖于操作系统、文件系统和应用程序。
3、关键词搜索
关键词搜索不依赖文件系统，设置的关键词以二进制的形式，在介质中进行遍历，直到命中结果。
4、文件分析
针对过滤或者查找到的文件信息和元数据进行分析。
需要分析的信息

查看文件数量和类型

检查文件内容

检查文件元数据