計算機取證與司法鑒定(第二版)課件01-概論

1、計算機取證技術(shù)計算機取證技術(shù)教材計算機取證與司法鑒定. 清華大學(xué)出版社, 2009, 2. (978-7-302-19345-6)主編：麥永浩 孫國梓 許榕生 戴士劍教材課程主要內(nèi)容1 計算機取證與司法鑒定理論基礎(chǔ) (6 學(xué)時) 2 Windows/Unix/Linux系統(tǒng)的計算機取證和司法鑒定 (8 學(xué)時)3 網(wǎng)絡(luò)取證與司法鑒定 (6 學(xué)時) 4 木馬取證與司法鑒定 (4 學(xué)時)5 手機取證與司法鑒定 (4 學(xué)時)6 計算機取證與司法鑒定案例 (4 學(xué)時)課程主要內(nèi)容1 計算機取證與司法鑒定理論基礎(chǔ) (6 學(xué)時)計算機取證與分析鑒定概論主講：孫國梓2022年10月2日計算機取證與分析鑒定概論

2、主要內(nèi)容計算機取證與分析鑒定的相關(guān)概念計算機取證與分析鑒定的歷史、發(fā)展計算機取證與分析鑒定內(nèi)容計算機取證與分析鑒定模型、過程及策略計算機取證與分析鑒定面臨的難題和解決方法主要內(nèi)容計算機取證與分析鑒定的相關(guān)概念數(shù)字證據(jù)的定義數(shù)字證據(jù) (Digital Evidence)：法庭上可能成為證據(jù)的以二進(jìn)制形式存儲或傳送的信息。原始數(shù)字證據(jù)(Original Digital Evidence)：查封犯罪現(xiàn)場時，獲得的相關(guān)物理介質(zhì)及其存儲的數(shù)據(jù)對象。數(shù)字證據(jù)副本(Duplicate Digital Evidence)：原始物理介質(zhì)上獲取的所有數(shù)據(jù)對象的精確拷貝?？截?COPY)：獨立于原始物理介質(zhì)，精確再

3、現(xiàn)數(shù)據(jù)對象中的信息。相關(guān)概念數(shù)字證據(jù)的定義數(shù)字證據(jù) (Digital Evidence)數(shù)字證據(jù)的定義目前，國內(nèi)法學(xué)界多數(shù)學(xué)者將數(shù)字證據(jù)定義為：在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。我們將數(shù)字證據(jù)理解為：在計算機等電子設(shè)備中存在或運行中產(chǎn)生的以及在網(wǎng)絡(luò)中存在和產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。相關(guān)概念數(shù)字證據(jù)的定義目前，國內(nèi)法學(xué)界多數(shù)學(xué)者將數(shù)字證據(jù)定義為：在計數(shù)字證據(jù)的特點數(shù)字證據(jù)作為一種可以證明案件事實的證據(jù)形式和法庭上的證據(jù)，與傳統(tǒng)證據(jù)一樣，數(shù)字證據(jù)必須是：可信的準(zhǔn)確的完整的使法官信服的符合法律法規(guī)，能夠為法庭所接受的相關(guān)概念數(shù)字證據(jù)的

4、特點數(shù)字證據(jù)作為一種可以證明案件事實的證據(jù)形式和法數(shù)字證據(jù)的特點與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)具有如下特點：無形性高科技性易破壞性表現(xiàn)形式的多樣性相關(guān)概念數(shù)字證據(jù)的特點與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)具有如下特點：相關(guān)概念數(shù)字證據(jù)的來源主要有兩個方面：一是來自主機等電子設(shè)備的，另一方面是來自網(wǎng)絡(luò)的。數(shù)字證據(jù)主要來源于主機系統(tǒng)，包括系統(tǒng)日志文件、備份介質(zhì)、入侵者殘留物（如程序、腳本、進(jìn)程、內(nèi)存映像）、交換區(qū)文件、臨時文件、硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到)、系統(tǒng)緩沖區(qū)、打印機及其它設(shè)備的內(nèi)存等。來自網(wǎng)絡(luò)的數(shù)字證據(jù)包括防火墻、入侵檢測以及其它網(wǎng)絡(luò)工具產(chǎn)生的記錄和日志信息等。相關(guān)概念數(shù)字證據(jù)的

5、來源主要有兩個方面：一是來自主機等電子設(shè)備的，另一計算機取證的定義現(xiàn)在很多人將計算機取證也稱為數(shù)字取證、電子取證，但嚴(yán)格意義上來講，這種提法是不恰當(dāng)?shù)?。英文翻譯：計算機取證的翻譯是ComputerForensics、數(shù)字取證的翻譯是DigitalForensics、電子取證的翻譯是ElectronicForensics，因此三者是有區(qū)別的三者的取證主體對象是不完全相同的：計算機取證的主體對象是計算機系統(tǒng)內(nèi)與犯罪案例有關(guān)的數(shù)據(jù)信息；數(shù)字取證的主體對象是存在于各種電子設(shè)備和網(wǎng)絡(luò)中的數(shù)字化的與犯罪案例有關(guān)的數(shù)據(jù)信息；而電子取證的主體對象是指存儲的電子化的、能反映有關(guān)案件真實情況的數(shù)據(jù)信息。相關(guān)概念計

6、算機取證的定義現(xiàn)在很多人將計算機取證也稱為數(shù)字取證、電子取計算機取證的定義關(guān)于計算機取證，目前還沒有權(quán)威組織給出一個統(tǒng)一的定義，很多的專業(yè)人士和機構(gòu)從不同的角度給出了計算機取證的定義。Judd Robbins是計算機取證方面的一位著名的專家和資深人士，他對計算機取證的定義如下:“計算機取證不過是將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取”。計算機緊急事件響應(yīng)和取證咨詢公司New Technologies進(jìn)一步擴展了該定義:“計算機取證是對計算機證據(jù)的保護(hù)、確認(rèn)、提取和歸檔的過程”。中國科學(xué)院高能物理研究所研究員許榕生教授則認(rèn)為，計算機取證是指對能夠為法庭接受的、足夠可靠

7、和有說服性的，存在于計算機和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。相關(guān)概念計算機取證的定義關(guān)于計算機取證，目前還沒有權(quán)威組織給出一個統(tǒng)計算機取證的定義以上的定義都有一個明顯的共同點，取證的目標(biāo)是計算機系統(tǒng)，然而，隨著信息技術(shù)的發(fā)展，計算機取證的取證目標(biāo)不再僅僅是計算機系統(tǒng)，還有網(wǎng)絡(luò)系統(tǒng)和其它的電子設(shè)備因此，計算機取證是指通過收集計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及其它電子設(shè)備中以數(shù)字化的信息編碼形式出現(xiàn)的與案件有關(guān)的信息，對其進(jìn)行保存、分析鑒定和出示，用來證明犯罪活動的過程。相關(guān)概念計算機取證的定義以上的定義都有一個明顯的共同點，取證的目標(biāo)是計算機取證的原則2000年3月，計算機證據(jù)國際組織

8、IOCE著手規(guī)劃關(guān)于獲取數(shù)字證據(jù)的相關(guān)原則，依據(jù)1999年在倫敦召開的國際高技術(shù)犯罪和取證大會，向其下屬機構(gòu)提交了一份報告，提出了一系列計算機取證的定義和原則。IOCE提交的報告中指出計算機取證應(yīng)該遵守的一般原則：獲取數(shù)字證據(jù)時，必須保證證據(jù)的不變性。進(jìn)行原始證據(jù)處理的取證人員應(yīng)該經(jīng)過專業(yè)培訓(xùn)。所有與數(shù)字證據(jù)的獲取、訪問、存儲、傳送相關(guān)的處理都必須完全歸檔、妥善保存。個人在擁有與案例相關(guān)的數(shù)字證據(jù)時，必須對其所有在數(shù)字證據(jù)上所進(jìn)行的相關(guān)操作負(fù)責(zé)。任何代理機構(gòu)，在負(fù)責(zé)提取、訪問、保存或傳送數(shù)字證據(jù)時都必須遵守這些原則。相關(guān)概念計算機取證的原則2000年3月，計算機證據(jù)國際組織IOCE著計算機證據(jù)

9、的特點及對取證的影響計算機證據(jù)與傳統(tǒng)證據(jù)最本質(zhì)的區(qū)別，也是計算機證據(jù)最根本的特點就是計算機證據(jù)的記錄方式的特殊性，其他特性都受這一根本特性的影響。計算機證據(jù)的主要特性如下：計算機證據(jù)的信息與載體的可分離性和信息的高科技性計算機證據(jù)的系統(tǒng)依賴性脆弱性隱蔽性可挽救性相關(guān)概念計算機證據(jù)的特點及對取證的影響計算機證據(jù)與傳統(tǒng)證據(jù)最本質(zhì)的區(qū)計算機證據(jù)的特點及對取證的影響計算機證據(jù)的上述特點對取證和分析鑒定過程產(chǎn)生重大的影響，這主要體現(xiàn)在以下幾個方面：計算機證據(jù)的收集過程需要較高的技術(shù)要求，需要取證人員具備較高的專業(yè)素質(zhì)和技能。計算機證據(jù)的系統(tǒng)依賴性決定了收集證據(jù)時，不僅需要收集計算機證據(jù)，還需收集與系統(tǒng)穩(wěn)

10、定性及軟件的使用等情況的證明。而計算機證據(jù)的可挽救性及隱蔽性則決定了收集證據(jù)的活動要全面、綜合地進(jìn)行，運用高科技手段檢測是否有隱藏文件以及硬盤中是否有被刪除的證據(jù)。計算機證據(jù)的高科技性決定了其收集手段必然與傳統(tǒng)證據(jù)的收集手段有很大的不同，主要分為數(shù)據(jù)恢復(fù)、數(shù)據(jù)搜索和解密、動態(tài)截獲等技術(shù)。計算機證據(jù)的諸多特點導(dǎo)致了它的取證過程與標(biāo)準(zhǔn)也與傳統(tǒng)證據(jù)不同，這就要求計算機證據(jù)的整個取證過程需有更嚴(yán)格的標(biāo)準(zhǔn)予以規(guī)范。相關(guān)概念計算機證據(jù)的特點及對取證的影響計算機證據(jù)的上述特點對取證和分計算機證據(jù)分析鑒定的定義當(dāng)計算機證據(jù)收集完畢后，對其進(jìn)行分析鑒定就成為一項必不可少的工作。計算機證據(jù)的鑒定，就是針對收集和保

11、全的計算機數(shù)據(jù)進(jìn)行可信性的證明。而計算機證據(jù)的分析主要是對已經(jīng)經(jīng)過可信性和完整性證明的計算機數(shù)據(jù)通過查找其數(shù)據(jù)來源、數(shù)據(jù)操作的目的、可能造成的危害等方面來尋找犯罪分子的過程。計算機證據(jù)的分析主要分為對主機數(shù)據(jù)的分析和對網(wǎng)絡(luò)數(shù)據(jù)的分析。相關(guān)概念計算機證據(jù)分析鑒定的定義當(dāng)計算機證據(jù)收集完畢后，對其進(jìn)行分析計算機證據(jù)的技術(shù)鑒定計算機證據(jù)的技術(shù)鑒定所承擔(dān)的責(zé)任是對計算機證據(jù)的各方面技術(shù)狀況進(jìn)行全面的檢查，包括對信息真實、可靠、完整、可讀性的認(rèn)定和對文件載體性能的檢測。一般從以下幾方面進(jìn)行：可讀性鑒定：目的在于確認(rèn)計算機證據(jù)中的內(nèi)容可以正常讀出，沒有丟失和差錯?？煽啃澡b定：主要是針對計算機證據(jù)內(nèi)容的真實

12、性與完整性進(jìn)行鑒定。無病毒鑒定：確保計算機證據(jù)沒有受到病毒的侵害。載體狀況鑒定：針對計算機證據(jù)不同的承載載體進(jìn)行鑒定，確保承載載體不會出現(xiàn)任何損傷。相關(guān)概念計算機證據(jù)的技術(shù)鑒定計算機證據(jù)的技術(shù)鑒定所承擔(dān)的責(zé)任是對計算計算機證據(jù)分析鑒定的標(biāo)準(zhǔn)和方法與書證等其它傳統(tǒng)證據(jù)一樣，計算機證據(jù)分析鑒定的最終結(jié)果也同樣表現(xiàn)為對保存與銷毀的選擇和對留存證據(jù)保管期限的確定。計算機證據(jù)的特殊性使得它的保管期限標(biāo)準(zhǔn)、鑒定的標(biāo)準(zhǔn)和方法等各方面都與傳統(tǒng)證據(jù)有很大的不同，因此應(yīng)該結(jié)合各國的法律針對其做出相應(yīng)的規(guī)定。相關(guān)概念計算機證據(jù)分析鑒定的標(biāo)準(zhǔn)和方法與書證等其它傳統(tǒng)證據(jù)一樣，計算計算機證據(jù)的歸檔在計算機證據(jù)的取證與分析

13、鑒定過程的最后階段，應(yīng)整理最終結(jié)果供法庭作為訴訟的證據(jù)，這主要涉及對取證的內(nèi)容、專家分析的結(jié)果和評估報告等信息進(jìn)行歸檔處理。由于計算機證據(jù)的特殊性，在處理計算機證據(jù)時，為保證法庭上的可信度，必須對各個步驟的情況進(jìn)行歸檔以使證據(jù)經(jīng)得起法庭的質(zhì)詢。相關(guān)概念計算機證據(jù)的歸檔在計算機證據(jù)的取證與分析鑒定過程的最后階段，計算機犯罪調(diào)查的簡史二十世紀(jì)四十年代，隨著計算機首先在軍事和科學(xué)工程領(lǐng)域的應(yīng)用，計算機犯罪已經(jīng)開始出現(xiàn)，隨著計算機技術(shù)的迅猛發(fā)展，計算機逐步應(yīng)用到各行各業(yè)，以計算機犯罪為主的電子犯罪也呈現(xiàn)越來越多的勢頭。到了二十世紀(jì)七十年代，在美國，人們已經(jīng)意識到，由于計算機證據(jù)不同于傳統(tǒng)證據(jù)的特殊性，

14、應(yīng)該把利用計算機進(jìn)行的計算機入侵和計算機詐騙作為一種新的犯罪形式，并通過了相關(guān)的法律。二十世紀(jì)八十年代，加拿大、澳大利亞、英國等國政府相繼制訂了類似的法律。上世紀(jì)九十年代，Internet 的商用化及萬維網(wǎng)（World Wide Web，簡稱WWW）的發(fā)展使Internet得到了廣泛的普及，大量的用戶都訪問它。全球網(wǎng)絡(luò)中的犯罪焦點也超越了簡單的計算機入侵，犯罪行為更加具有破壞性。相關(guān)概念計算機犯罪調(diào)查的簡史二十世紀(jì)四十年代，隨著計算機首先在軍事和計算機犯罪調(diào)查的簡史針對日益增長的計算機犯罪，二十世紀(jì)八十年代到九十年代早期，美國執(zhí)法機構(gòu)開始合作制定培訓(xùn)計劃，以增強自己處理這些問題的能力。接下來，

15、美國及其他國家相繼建立了國家、區(qū)域中心和本地執(zhí)法部門內(nèi)部的數(shù)字證據(jù)的實驗室，形成了金字塔式的結(jié)構(gòu)。第一響應(yīng)員具有基本的收集和檢驗技能來處理大多數(shù)案件，區(qū)域?qū)嶒炇业奶幚砀呒壍陌讣?，處理大多?shù)具有挑戰(zhàn)性案件的國家級中心負(fù)責(zé)研究、開發(fā)可以在區(qū)域和本地水平使用的工具。取證技術(shù)和電子犯罪的高速發(fā)展，已經(jīng)促使出現(xiàn)了新的職業(yè)需求：數(shù)字犯罪現(xiàn)場技術(shù)員收集數(shù)字證據(jù)的人員；檢驗員處理已獲得的證據(jù)；數(shù)字調(diào)查員分析所有的現(xiàn)存證據(jù)并得出案件分析結(jié)果。相關(guān)概念計算機犯罪調(diào)查的簡史針對日益增長的計算機犯罪，二十世紀(jì)八十年幾個典型的計算機犯罪案例案例一：1995年，國外的某銀行遭到一群蘇駭客入侵，損失一千萬元。除了金錢的損

16、失以外，其后遺癥是，有六家對手銀行，立刻鎖定該銀行的前二十大客戶，游說他們轉(zhuǎn)換銀行，這些銀行所持的理由是他們的計算機系統(tǒng)比較安全。相關(guān)概念幾個典型的計算機犯罪案例案例一：相關(guān)概念幾個典型的計算機犯罪案例案例二：兩個中國大陸的網(wǎng)絡(luò)駭客入侵銀行的網(wǎng)絡(luò)系統(tǒng)，竊取人民幣260,000元。據(jù)報導(dǎo)指出，這兩個駭客是郝氏兄弟，哥哥郝某，是某工商銀行的會計，管理該銀行的網(wǎng)絡(luò)系統(tǒng)。他們用不同的戶名在該銀行的某分行開了十六個帳戶，并且在銀行計算機終端機植入一個控制的裝置。后來，他們利用該裝置，將虛擬存款720,000人民幣電匯進(jìn)入銀行帳戶內(nèi)。之后，他們成功地從該銀行的八個分行領(lǐng)出真實的鈔票人民幣260,000元。

17、后來這兩名駭客被江蘇省的楊州法院判處有罪。相關(guān)概念幾個典型的計算機犯罪案例案例二：相關(guān)概念計算機取證與分析鑒定發(fā)展的歷史國外的研究概況國內(nèi)的研究概況歷史、發(fā)展計算機取證與分析鑒定發(fā)展的歷史國外的研究概況歷史、發(fā)展目前的發(fā)展情況當(dāng)前的技術(shù)狀況1）單機與其它電子設(shè)備取證2）網(wǎng)絡(luò)取證3）分析鑒定技術(shù)一些常用的取證工具1）實時響應(yīng)工具2）取證復(fù)制工具3）取證分析工具歷史、發(fā)展目前的發(fā)展情況當(dāng)前的技術(shù)狀況歷史、發(fā)展未來發(fā)展的趨勢取證的領(lǐng)域不斷擴大，取證的工具向著專業(yè)化和自動化發(fā)展與其他理論和技術(shù)的融合取證的標(biāo)準(zhǔn)化分析鑒定技術(shù)的發(fā)展趨勢歷史、發(fā)展未來發(fā)展的趨勢取證的領(lǐng)域不斷擴大，取證的工具向著專業(yè)化和自動

18、電子科學(xué)與法學(xué)的結(jié)合計算機取證與分析鑒定技術(shù)的發(fā)展歷程告訴我們：這門科學(xué)是為了打擊計算機犯罪，獲取法庭上的計算機證據(jù)而發(fā)展起來的，然而要想成為法庭上可以接受的認(rèn)定犯罪事實的證據(jù)，計算機證據(jù)就必須具有足夠的法律效力，并且計算機證據(jù)是被法律認(rèn)可的證據(jù)形式。內(nèi)容電子科學(xué)與法學(xué)的結(jié)合計算機取證與分析鑒定技術(shù)的發(fā)展歷程告訴我計算機取證與分析鑒定的產(chǎn)生背景計算機犯罪是最近才出現(xiàn)的犯罪行為，且具有很多與傳統(tǒng)證據(jù)不同的特點，這給計算機證據(jù)的獲取、分析與鑒定帶來了極大的挑戰(zhàn)。計算機取證學(xué)(computer forensics)作為計算機科學(xué)、法學(xué)和刑事偵查學(xué)的交叉學(xué)科應(yīng)運而生。世界各國相繼展開了這方面的研究工作

19、，隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，取證領(lǐng)域已經(jīng)由計算機主機系統(tǒng)擴大到網(wǎng)絡(luò)系統(tǒng)以及其它電子設(shè)備內(nèi)容計算機取證與分析鑒定的產(chǎn)生背景計算機犯罪是最近才出現(xiàn)的犯罪行計算機證據(jù)的法律效力國外對計算機證據(jù)作為證據(jù)的認(rèn)定聯(lián)合國電子商務(wù)示范法第九條第一款指出：在任何法律程序中，在應(yīng)用有關(guān)證據(jù)的任何規(guī)則時，如果涉及一條數(shù)據(jù)電文作為證據(jù)的可接受性，就不能以它僅僅是一條數(shù)據(jù)電文為理由予以拒絕，更不能在當(dāng)它是提供者在合理情況下所能提供的最好證據(jù)時，僅以它不是原初形式為理由加以否認(rèn)。美國、加拿大、新加坡等國的立法機關(guān)都對計算機證據(jù)進(jìn)行了立法來對計算機證據(jù)的取證、分析鑒定等工作加以規(guī)范，而且這些國家的法律基本上是把計算機證據(jù)

20、作為一個獨立的證據(jù)種類。內(nèi)容計算機證據(jù)的法律效力國外對計算機證據(jù)作為證據(jù)的認(rèn)定內(nèi)容計算機證據(jù)的法律效力我國的相關(guān)法律對計算機證據(jù)的認(rèn)定我國在1991年的民事訴訟法中，第六十三條關(guān)于證據(jù)的種類里，只規(guī)定了七種證據(jù)類型，即：物證、書證、視聽資料、證人證言、當(dāng)事人陳述、鑒定結(jié)論以及勘驗檢查筆錄。而其余兩大訴訟法的情況也是如此，這使得法庭在采用計算機證據(jù)這種證據(jù)形式時存在一定的法律空白。最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定（2001年）作為民事證據(jù)的權(quán)威司法解釋，其第二十二條對電子證據(jù)做出了如下規(guī)定：“調(diào)查人員調(diào)查收集計算機數(shù)據(jù)或者錄音、錄像等視聽資料的，應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體。”最

21、高人民法院關(guān)于行政訴訟證據(jù)若干問題的規(guī)定（2002年）其第十二條規(guī)定：“根據(jù)行政訴訟法第三十一條第一款第（三）項的規(guī)定，當(dāng)事人向人民法院提供計算機數(shù)據(jù)或者錄音、錄像等視聽資料?！蔽覈?999年的合同法第十一條規(guī)定：書面形式是指合同書、信件和數(shù)據(jù)電文（包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內(nèi)容的形式?？梢?，這些法律都對計算機證據(jù)做出了相應(yīng)的認(rèn)定，認(rèn)為計算機證據(jù)具有法律效力。內(nèi)容計算機證據(jù)的法律效力我國的相關(guān)法律對計算機證據(jù)的認(rèn)定內(nèi)容計算機證據(jù)的法律定位視聽資料說書證說多種類型說獨立證據(jù)說計算機證據(jù)應(yīng)該是一種獨立的證據(jù)（1）書證與計算機證據(jù)有很大的區(qū)別（2）有些計算機記

22、錄并不具備可視聽的特點（3）計算機證據(jù)不同于傳統(tǒng)證據(jù)的特點決定了在證明力及真實性認(rèn)定方面，計算機證據(jù)應(yīng)有獨特的審查判斷標(biāo)準(zhǔn)內(nèi)容計算機證據(jù)的法律定位視聽資料說內(nèi)容計算機取證與分析鑒定的模型主機與其它電子設(shè)備取證與分析鑒定系統(tǒng)模型基本過程模型（Basic Process Model）事件響應(yīng)過程模型(Incident Response Process Model)法律執(zhí)行過程模型(Law Enforcement Process Model)過程抽象模型(An Abstract Process Model)網(wǎng)絡(luò)取證與分析鑒定系統(tǒng)模型模型、過程及策略計算機取證與分析鑒定的模型主機與其它電子設(shè)備取證與分

23、析鑒定系計算機取證與分析鑒定的過程 取證前的準(zhǔn)備：制定響應(yīng)計劃，準(zhǔn)備相應(yīng)的設(shè)備、文件以及標(biāo)準(zhǔn)。 保護(hù)現(xiàn)場和現(xiàn)場勘查：這一步主要是物理證據(jù)的獲取，為下面的各個環(huán)節(jié)打下基礎(chǔ)。 獲取證據(jù)：針對具體的現(xiàn)場環(huán)境，采用最合適的方法獲得相關(guān)證據(jù)。 鑒定證據(jù)：主要是針對證據(jù)的完整性進(jìn)行驗證。 分析證據(jù)：對證據(jù)進(jìn)行詳細(xì)的分析與推理，這也是整個計算機取證與分析鑒定過程的核心和關(guān)鍵。 進(jìn)行追蹤：根據(jù)分析結(jié)果進(jìn)行動態(tài)跟蹤。 提交結(jié)果和歸檔：將結(jié)果進(jìn)行整理并進(jìn)行歸檔處理。模型、過程及策略計算機取證與分析鑒定的過程 取證前的準(zhǔn)備：制定響應(yīng)計劃，準(zhǔn)計算機取證與分析鑒定的安全策略計算機證據(jù)的特殊性使得它的取證與分析鑒定的整個過程與傳統(tǒng)證據(jù)有很大的不同，為了確保計算機證據(jù)的有效性和可信性，計算機取證與分析鑒定需遵循以下的安全策略保留信息計劃響應(yīng)開展培訓(xùn)加速調(diào)查防止匿名保護(hù)證據(jù)模型、過程及策略計算機取證與分析鑒定的安全策略計算機證據(jù)的特殊性使得它的取證面臨的主要難題技術(shù)上面臨的問題意識上面臨的問題法律上面臨到問題面臨的難題和解決方法面