电子取证的一般流程

来源：天宇宁达（ID：CFlab010）

作者：王高阳

电子取证一般分为以下六个流程：

• 准备阶段

• 现场勘查

• 证据获取
  

• 证据固定

• 数据分析

• 生成报告

 

---

一、准备阶段

准备阶段即调查机构在受理案件时充分收集案件现场详情，全面了解可能与案件相关的电子证据材料，并且根据掌握的现场电子证据相关情况以及可能存在的电子证据进行证据固定或现场数据提取工作制订方案，准备可能用到的电子取证设备。 

二、现场勘查

现场勘查是电子取证最重要的一步，未按严格的流程而取得的证据很难具有法律效应。取证人员在进入现场后，应迅速封锁现场，隔离人、机、物品，保护电子证据物品譬如计算机、移动硬盘、U盘、光盘、存储卡、手机、相机、录音机、打印机等电子设备，查看各设备的连接及使用情况，在操作过程中应避免任何可能造成数据、配置更改的情况发生，保护证据的原始性。 

图1  现场勘查步骤及方法

三、证据获取

电子证据非常脆弱，很容易遭到破坏，因此，在收集的过程中，应当由专业的取证人员或请电子取证鉴定机构或公司的专业人员进行收集或提供专业咨询，保证电子设备储存的内容不被破坏。

3.1 只读访问

收集过程中，务必使用安全只读接口对存储介质进行数据备份，可使用Tableau、CFlab WB一体化只读锁保护存储介质数据。

其中，对于计算机的数据获取根据其是否开机我们分为开机获取和关机获取，下文分别对这两种获取进行描述。

3.2 开机获取

3.2.1 获取内存镜像

开机状态时，第一时间获取目标计算机的内存镜像，可使用Belkasoft Live
RAM Capture或者法证通Lift进行获取。

图2 Belkasoft Live RAM Capturer获取目标计算机内存

图3 鉴证大师Lift获取目标计算机内存

3.2.3 敏感数据提取

很多数据只有在开机状态下才可以提取，如一些系统信息、桌面信息、进程信息、网络连接信息等等，桌面和当前时间等可以通过拍照方式进行固定，其他不明显的证据可借助在线提取工具进行提取。

图4 鉴证大师Lift 在线提取

3.2.3 开机状态下镜像获取

如果目标计算机无法关机，可在开机状态下对其进行物理镜像获取。可使用的工具比较多，如鉴证大师Lift、法证通、X-ways、八爪鱼、F-Response、Belkasoft、IEF、FTK imager、Encase imager等等。

图5 鉴证大师Lift制作磁盘镜像

3.2.3 关机状态下镜像获取

一般情况下，在进行完镜像获取和敏感数据提取后，应立即切断目标计算机电源（台式机可直接拔掉电源，笔记本若有电池可长按关机键强制关机）。

对于关机状态的镜像获取，可分为拆机和不拆机两种。

3.2.3.1 不拆机镜像获取

对于某些无法拆卸硬盘的电脑或者拆卸硬盘很可能造成外观损坏，可通过类似PE启动的方式进行镜像获取。一般推荐使用特制的Linux系统，如Paladin。使用Windows法证PE也可以进行，如WinFE。

Linux下可使用DD命令获取，也可以使用Paladin的工具箱进行图形化的镜像获取。

图6 Paladin工具箱制作磁盘镜像

Windows PE环镜下可使用X-Ways、FTK imager、八爪鱼等制作镜像。

图7 八爪鱼多通道拷贝系统制作镜像

3.2.3.2 拆机镜像获取

对于可拆卸硬盘的情况，可使用拷贝机进行镜像获取，如Logicube的Talon E、Falcon，Cflab的WBD，SMD等进行镜像获取。

  
 

图8 拷贝机 CFLAB WBD

四、证据固定

在收集证据的过程中以及取证完成后，取证人员应当及时记录涉及到的每一个设备的基本信息、收集的时间、地点、数据来源、提取的过程、使用的方法、操作人以及见证人并签字。在存储证据时，要妥善保管，避免被强磁、高温、灰尘、潮湿等环境因素破坏存储介质，导致证据和线索丢失。手机等无线通讯设备需做信号屏蔽处理。 

五、数据分析

在完成上述步骤后，取证人员会根据案件的诉求进行数据分析，以找到关键的证据或线索。数据分析的内容可能会包括：

  计算机基础信息

  删除数据的恢复

  文档分析

  浏览器记录分析

  邮件分析

  聊天记录分析

  注册表分析

  文档元数据分析

  图片图片分析

  视频分析

  时间分析

  行为分析

  …

因目前的磁盘容量大，数据量大的特点，手工进行数据分析已几乎不可能，取证人员需掌握数种取证分析软件进行如上数据的分析。如X-Ways、Encase、FTK、Nuix、Belkasoft、取证大师、法证通、取证先锋、Recon、BlackLight等。

图9  X-ways 分析证据

图10 法证通分析证据

图11Encase 分析证据 

图12  FTK 分析证据

六、生成报告

取证人员在取证完成后，需要对整个取证分析过程生成一个完整的报告，包括证据的获取过程、证据的整体情况、接到的诉求、所使用的工具及其版本、分析的步骤（笔录）、找到的线索、对诉求的结论等。报告中所记录事项的原则包括合法性、可采性，结论有完整的证据链可进行印证。

---

结后语：

电子取证所遵循的原则可参考传统的物证及司法鉴定，在此之外我们取证人员需要掌握更多的相关知识使我们在取证的过程中少走弯路，尽可能多的找到诉求相关线索，就目前而言，取证人员需尽可能多的掌握如下技能：

  电子数据现场获取基础知识

  现场勘验流程与规范

  证据保全及固定

  证据获取设备、取证分析工具

  计算机、手机等的一些基础知识

  计算机取证技术

  智能移动设备取证技术

  网络取证技术

  数据恢复技术

  加密解密技术

  综合分析技术与技巧

  ……