本文详细介绍了电子取证过程中的关键步骤,包括现场控制、设备封存、数据收集等环节,并列举了具体的操作指南和需要封存的相关证据清单。
1、严密封锁并控制包含设备的区域;
2、让现场所有打印机完成打印工作;
3、清离所有计算机及电源周边人员;
4、在任何情况下,不允许开启计算机;
5、确认计算机确实已经关闭——某些屏幕保护程序表现为计算机关闭状态,但硬盘驱动器和显示器指示灯会证明计算机仍然处于运行状态;
6、要明确,如果打开某些笔记本计算机机盖,计算机会启动。
7、卸除笔记本计算机电池;
8、拔下计算机电源及所有连线——计算机关机时可能处于休眠模式,可以被远程唤醒,并造成数据变更或文件删除;
9、标记并现场拍照(或摄像)现场各种设备。如果没有照相机,可以画一个系统草图;
10、标记所有端口及连线,以便日后可以重建计算机状态;
11、小心搬动各种设备,并记录特征标识——主机、显示器、键盘和其他设备都会有不同标识;
12、确保对所有物品都已签字,比粘贴有完整的标识。如果缺少任何步骤可能对后续工作造成困难,设备也可能最终被分析员退回。
13、搜寻记录有口令的日记、笔记本或小纸条,它们可能就在计算机的附近区域;
14、询问嫌疑人是否有相关口令,如果有,准确记录下来;
15、详细记录所有与计算机的相关操作
应该被封存的相关证据:
1、主机
2、显示器、键盘和鼠标
3、连接线
4、电源适配器
5、硬盘
6、软件狗
7、调制解调器(有些包含有电话号码)
8、外置驱动器和其他外接设备
9、无线网卡
10、数字相机
11、软盘
12、备份磁带
13、JAZ或ZIP盘
14、CD
15、DVD
16、PCMCIA卡
18、闪存卡
注意:在装上述物品的专用保存袋上贴标签,不要直接贴在物品上。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
