介绍
计算机取证是一种调查和分析的科学方法，目的是从适用于法院或法人的数字设备或计算机网络及组件中收集证据。
它涉及进行结构化调查，同时维护成文的证据链，以准确查明计算机上发生了什么以及由谁负责。类型

• 磁盘取证：通过搜索活动，已修改或已删除的文件来处理从设备的主存储或辅助存储中提取原始数据的问题。
• 网络取证：它是计算机取证的一个分支，其中涉及监视和分析计算机网络流量。
• 数据库取证：它研究和检查数据库及其相关的元数据。
• 恶意软件取证：处理可疑代码并研究病毒，蠕虫等。
• 电子邮件取证：它处理电子邮件及其恢复和分析，包括已删除的电子邮件，日历和联系人。
• 内存取证：处理原始格式的系统内存(系统寄存器，缓存，RAM)中的数据，然后对其进行分析以供进一步研究。
• 手机取证：它主要处理手机和智能手机的检查和分析，并帮助检索联系人，呼叫日志，传入和传出的SMS等信息以及其中存在的其他数据。

特征

• 识别：识别存在的证据，证据的存储位置，证据的存储方式(以哪种格式)。电子设备可以是个人计算机，移动电话，PDA等。
• 保存：数据被隔离，保护和保存。它包括禁止未经授权的人员使用数字设备，以免错误或有意地篡改数字证据，并复制原始证据。
• 分析：法医实验室人员重建数据片段，并根据证据得出结论。
• 文档：创建所有可见数据的记录。它有助于重建和审查犯罪现场。调查的所有发现均记录在案。
• 陈述：所有记录在案的调查结果均在法院产生，以作进一步调查。

程序：
该程序从识别使用的设备并在犯罪现场收集初步证据开始。然后，法院扣押了证据，将其扣押，从而扣押了这些证据。然后将证据传送到法医实验室进行进一步调查，将证据从犯罪现场传送到实验室的过程称为“监管链”。然后将证据复制以进行分析，并保留原始证据的安全性，因为始终对复制的证据而不是原始证据进行分析。

然后对复制的可疑活动的证据进行分析，并相应地以非技术性语调记录调查结果。然后，将记录在案的调查结果提交法院，以进行进一步调查。

用于调查的一些工具：
笔记本电脑或PC的工具–

• COFEE –由Microsoft开发的Windows工具套件。
• 死因裁判官工具包–一套用于Unix分析的程序。
• Sleuth Kit –用于Unix和Windows的工具库。

记忆工具：

• 波动性
• Windows范围

移动设备工具：

• MicroSystemation XRY / XACT

应用领域

• 知识产权盗窃
• 工业间谍
• 雇佣纠纷
• 欺诈调查
• 在工作场所滥用互联网和电子邮件
• 伪造相关事宜
• 破产调查
• 有关合规性的问题

电脑取证的优势：

• 在法庭上出示证据，可能会导致肇事者受到惩罚。
• 它可以帮助公司在其可能受到威胁的计算机系统或网络上收集重要信息。
• 从世界任何地方有效地追踪网络罪犯。
• 帮助保护组织的金钱和宝贵的时间。
• 允许提取，处理和解释事实证据，因此可以在法庭上证明网络犯罪行为的存在。

电脑取证的缺点：

• 在数字证据被法院接受之前，必须证明它没有被篡改。
• 生产和保持电子记录的安全性是昂贵的。
• 法律从业人员必须具有广泛的计算机知识。
• 需要出示真实且令人信服的证据。
• 如果用于数字取证的工具不符合指定的标准，那么在法院，证据可能会被司法拒绝。
• 调查人员缺乏技术知识可能无法提供预期的结果。