0×1简介随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。NSTRT也曾协助进行过电子取证的工作，本期NSTRT将以一个假定的案例对基于磁盘的电子取证的过程进行一次讲解。在一般的数据取证工作中，为了证据保全，...

1、取证前务必要对证据所在载体进行备份并计算哈希（MD5,SHA）留作完整性校验时使用，同时，备份方式要采用位级别的备份而不是文件级备份。位备份可以保证载体被完整备份，包括逻辑上已删除的数据和slack数据。这些数据在文件级别不可见所以往往会被忽略，而“被删除”的数据能为案件提供关键证据取证过程全部是对备份数据的提取和...