计算机调查取证的范围几乎包含了所有可能写入数据的电子产品。就电脑而言,大多数时候取证人员需要使用专业的工具来进行取证,比较著名的有EnCase和FTK。使用这些工具的人员都需要接受专业的培训,得到合格的证书才能为案子取证,当然除了专业的工具,取证人员也使用一些系统工具(一般在DOS下运行,为了保证证据只受最低影响)比如用dd和Netcat进行内存的取证分析。
电子证据拥有极强的隐藏性,这也是对取证人员的一大挑战。此外在英美法系中,已经逐渐地将电子证据规范化。和其他证据类似,取证需要遵循“监督链”(Chain of Custody)。监督链的内容如下:1、对取得的证据要进行记录。2、保持证据出庭、上交和交给检验员的记录。3、原证据(硬盘)应该安全地保存在专用的证据箱内,并记录日志。4、所有的电子取证以及检验都需要在原证据的镜像上进行,绝不能在原证据上进行。
