計算機取證的一般步驟

由於電子證據的特殊性，計算機取證的原則步驟有其自身的特點，不同於傳統的取證過程，在取證過程中要特別注意。

實施計算機取證要遵循以下基本原則：

盡早蒐集證據，並保證沒有受到任何破壞，如銷毀或其他方式的破壞，也不能被取證程式本身破壞。

必須保證取證過程中計算機病毒不會被引入目標計算機。

必須保證「證據連續性」（chain of custody），即在證據被正式提交給法庭時必須保證一直能跟蹤證據。

整個檢查、取證過程必須是收到監督的。

必須保證提取出來的可能有用的證據不會受到機械或電磁損壞。

被取證的物件如果必須執行某些商務程式，要確保該程式的執行只能影響一段有限的時間。

在取證過程中，應當尊重不小心獲取的任何關於客戶**人的私人資訊，不能把這些資訊洩漏出去。

這些基本原則對計算機取證的整個過程有指導意義。計算機取證過程一般可劃分為三個階段：獲取、分析和儲存。

獲取階段儲存計算機系統的狀態，以供日後分析。這與從犯罪現場拍攝**、採集指紋、提取血樣或輪胎類似。由於並不知道哪些資料將作為證據，所以這一階段的任務就是儲存所有的電子資料，至少要複製硬碟上所有已分配和未分配的資料，這就是通常所說的映像。

分析階段取得已獲得的資料，然後分析這些資料，確定證據的型別。尋找的證據主要有三種：

使人負罪的證據，支援已知的推測

辨明無罪的證據，同已知的相矛盾

篡改證據，此證據本身和任何推測並沒有聯絡，但是可以證明計算機系統已被篡改而無法用來作證。

此階段包括檢查檔案目錄內容以及恢復已刪除的內容。在這一階段應該用科學的方法根據已發現的證據推出結論。

陳述階段將給出調查所得結論及相應的證據，這以階段應依據政策法規行事，對不同的機構採取不同的方式。比如，在乙個企業調查中，聽眾往往包括普通辯護律師、智囊團和主管人員，可以根據企業的保密法規和公司政策來進行陳述。而在法律機構中，聽眾往往是法官和陪審團，所以需要律師事先評估證據。

根據這三個階段及其注意事項，可以看出，計算機取證工作一般按照一下步驟進行：

保護目標計算機，避免發生任何改變、傷害、資料破壞或病毒感染。

搜尋目標檔案系統中的所有檔案。包括現存的正常檔案，已經被刪除但仍存在於磁碟上（即還沒有被新檔案覆蓋）的檔案，隱藏檔案，受到密碼保護的檔案和加密檔案。

盡可能全部恢復所發現的已刪除檔案。

最大程度顯示作業系統或應用程式使用的隱藏檔案、臨時檔案和交換檔案的內容。

如果可能且法律允許，訪問被保護或加密的檔案內容。

分析在磁碟的特殊區域中發現的所有相關資料。

列印對目標計算機系統的全面分析結果，以及所有可能有用的檔案和被挖掘出來的檔案資料的清單。然後給出分析結論，包括系統的整體情況，已發現的檔案結構、被挖掘出來的資料和作者的資訊，對資訊的任何隱藏、刪除、保護和加密企圖，以及在調查中發現的其他的相關資訊。

給出必需的專家證明和（或）法庭上的證詞。