取证流程
- Process of forensic
-
在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染。搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件
-
恢复已删除文件,显示系统或应用程序使用的隐藏文件、临时文件和交换文件的内容
-
如果可能并且如果法律允许,访问被保护或加密文件的内容,分析在磁盘的特殊区域中发现的所有相关数据
-
打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它相关信息