【行业资讯】电子取证技术探秘

来源：互联网 

取证，司法解释是具有调查取证权的国家机关对于立案处理的案件，为查明案情，收集证据。电子取证，顾名思义可理解为基于计算机的证据收集。
 

取证相关介绍
 

对于电子取证的介绍，百度是这样回答的：电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。
 

电子证据概念
 

电子证据在很多年前已经作为一种新兴证据被列入法律，但我实在是没找到这个法律条文......
 

现在的中华民族共和国刑事诉讼法，中华人民共和国刑法里的第四十八条里，电子证据是在第八条，这八条依此是：
 

物证
 

书证
 

证人证言
 

被害人陈述
 

犯罪嫌疑人、被告人供述和辩解
 

鉴定意见
 

勘探、检查、辨认、侦查实验等笔录
 

视听资料、电子数据
 

证据必须经过查证属实，才能作为定案的根据。那么，怎么去取证，下面我们来讲讲正确的取证姿势。
 

电子取证行业标准

上图这个表，就是在取证里，怎么去取证操作才能是合法的，必须遵守公安机关电子取证鉴定规则，基于这条规定，你的取证才能合法合理的。

现场取证技术
 

现场取证，涉及到计算机取证硬件、软件、移动智能取证工具，这里我们分开详讲。
 

计算机取证硬件
 

硬盘复制机，它的功能就是对硬盘进行一个打镜像，进行复制然后取证的工具，因为取证过程是不允许对原硬盘进行直接操作，都需要打镜像。如下图：

这就是一个正在运行的复制机，结构根据厂商都有稍不同。
 

硬盘只读锁
 

硬盘只读锁，来看看这是个什么玩意。

硬盘只读锁的功能就是，给硬盘加上一块锁，阻止写入通道，有效的保储存介质中的数据在获取和分析过程里不会被修改，从而保证取证工作的司法有效性于数据完整性。简单说就是，确保我拿到手的硬盘数据是原生态，没有被二次修改过的一个设备。
 

取证一体机

一体机这个比较好理解，基于拷贝克隆、读取、销毁于一体的取证设备。
 

取证塔，和一体机的一样的，不过是多了一些ID分析接口和集合的大平台。

介质修复设备

这个设备的作用就是个修复设备，可理解为“医疗兵”，硬盘磁道坏了，就用这个设备结合软件进行修复。工作环境必须无尘。