（一）观察评估

在收集提取电子数据之前，或面对某一存储电子数据载体时，取证人员要观察了解与取证目标相关的情况，并对取证情况进行初步的全面评估。通过评估，确定取证重点、顺序，选择拟用的收集提取工具、方法，拟定取证方案。

在观察评估过程，具体会涉及以下内容:

（1）检查准备工作是否妥当。比如，现场环境是否了解透彻；取证难点能否克服；器材设备是否备好；相关法律手续是否履行；法律文书是否完备；见证人是否到位；遇到意外紧急情况该如何应对等。

（2）进一步了解案情。比如，了解受害情况；受害人情况；犯罪嫌疑人情况；受害人计算机水平；犯罪嫌疑人犯罪手法；取证目标数据权限分配等。

（3）确定取证范围、目标。明确多大范围内的电子数据载体应该收集提取；明确是否需要展开网络取证；明确是否需要收集提取基站数据；明确是否需要收集提取现场视频数据；明确现场中哪些电子设备、电子数据是需要收集的；明确现场中哪些传统痕迹、物品应连同电子数据一并提取。

（4）观察、了解取证目标。观察取证目标所处环境，进一步了解目标情况。了解取证目标是家庭单机，还是IDC机房服务器集群；了解是否涉及境外或异地远程电子数据取证；了解与取证相关的电子设备操作权限。

（5）确定取证人员。在前期准备的基础上，根据取证人员的特长和取证任务要求确定两名以上取证人员具体取证。

（6）选定取证器材。根据取证任务备好器材设备，如硬盘只读设备、复制设备、手机取证设备、信号屏蔽设备、备用电源、备用存储等。

（7）拟定取证方案。根据现场环境、具体取证任务、器材、取证人员情况等拟定具体的取证方案，即应采用怎样的取证顺序？选择怎样的取证方法？

（二）固定获取

存储电子数据的载体是十分复杂的。电子数据不仅存在于单独的文件中，还会存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲硬盘空间、打印机缓存、网络数据、用户进程存储、堆栈、文件缓冲区、文件系统本身等不同的位置，电子数据遍布存储介质。在对电子数据进行提取之前，必须对存储电子数据的介质进行拍照固定。与犯罪有关的电子数据需要提取后再进行分析，不可以在原始存储介质上直接进行分析。目前，提取电子数据主要使用获取的方法。在具体获取时，需对具体的介质进行写保护。写保护是获取和分析电子数据的前提。通过写保护，才能防止取证人员有意或无意地变动数据，以保证所获取数据真实可靠。

获取作为提取电子数据的做法，主要分为镜像获取和特定数据获取两种。镜像获取是对源存储介质的逐比特位的复制。镜像获取是一种静态获取，可以提取到所有的数据。当然，有时要获取到所有的数据是不可能的。比如，对正在运行的服务器，只能针对案件的需要去获取相应的数据，不可能获取所有的数据。特定数据获取是针对特定的文件、数据进行的获取。特定数据获取有静态和动态获取两种方式。静态获取是针对存储介质的特定文件进行的提取。动态获取是根据获取策略，提取特定的数据。动态获取又称“易失性数据提取”。

（1）镜像获取。一般的备份程序只能对单个的文件系统作备份，无法捕获到松弛区、未分配空间及Swap文件。只有逐比特复制才能建立整个驱动器的镜像，确保得到所有需要的数据，包括已被删除或隐藏的文件。镜像获取可以实现对原始驱动器每一个比特的精确镜像。

因此，获取精确备份的最好方法是应用镜像工具。镜像工具从底层对硬盘进行逐比特复制，可以实现全盘或分区逐比特复制。镜像工具大部分带有只读功能，镜像时不改变原始内容。镜像工具还具备压缩、校验、时间戳日志等功能。

（2）特定数据获取。侦查中，在一些特定情景下，只需获取特定的文件即可。此时，便可以进行特定的文件获取。根据文件属性和文件签名技术，文件获取可以快速地过滤、搜索到特定的文件，通过写保护方式，将文件提取到外置的存储器上。侦查中，有时会遇到有些重要的数据存在于犯罪嫌疑人机器的寄存器、缓存或内存中，比如，当前登录的用户列表、整个文件系统的时间/日期戳、当前运行着的进程列表、当前打开的套接字列表、在打开的套接字上监听的应用程序等，这些数据被称为易消失数据，它们会随着系统的关闭而消失且不可恢复。易消失数据的获取要根据受害系统的性质和安全管理的政策规定来决定在怎样状态下进行就是说，是让可疑计算机继续运行以进行易失性数据的获取，还是立即关闭电源或进行正常关机，此须根据受害系统的性质和安全管理规定来决定。比如，在互联网入侵案件侦查中，就需先进行镜像再切断网络或关机，否则，就会毁掉入侵者登录的IP、内存中运行的程序信息等。获取易失性数据通常要经历以下步骤:运行可信的程序一记录系统时间、日期一确定登录信息一记录所有文件的创建、修改和访问时间一确定打开的端口一列出与打开端口相关的应用程序一列出所有正在运行的进程一列出所有当前和最近的连接再次记录系统时间和日期。

（三）梳理分析

所获取的电子数据与其他电子数据没有什么区别，数据里含有的可以用于揭露、证实犯罪的信息需要通过进一步的梳理分析才能获得。电子数据梳理分析的内容包括系统数据、文件数据、隐藏数据等。

对电子数据的梳理分析要依托分析研究工具。梳理分析的专业工具包括 Encase、FTK、X-way、Forensic等。面对一些特定的案件，还需要用到一些特殊的分析工具。比如，在大多数黑客入侵犯罪案件中，借助嗅探工具，通过捕捉网络流量并进行分析，可以重构网络和访问网络等行为。

不同种类的案件，梳理分析数据的方法是不同的。总体而言，电子数据的梳理分析方法包括文件过滤、关键词查找、数字校验和文件签名等。从易到难排序，电子数据的梳理分析步骤如下：

（1）获取目标基本信息。目标基本信息包括系统类型、账户信息、安装时间、关机时间等。目标基本信息可以为电子数据取证人员提供目标基本概况，获取基本情况可以为取证工作打好基础。目标基本信息可以利用取证工具的脚本或自动提取功能来实现。

（2）文件过滤。文件过滤依赖操作系统、文件系统和应用程序，可以利用文件属性，如M-A—C时间、后缀名、逻辑大小、物理大小等属性进行。

（3）关键词搜索。关键词搜索可以搜索到删除文件、文件松弛区和未分配空间的关键词，以达找到数据之目的。关键词搜索不依赖文件系统，通常是设置关键词，以二进制的形式，在介质中进行遍历，直到命中结果。

（4）文件分析。对过滤或查找到的文件的信息和元数据进行分析。文件分析的内容包括:查看文件信息，含查看文件名、文件大小、其他关联文件；确定关联文件的数量和类型；检查文件内容；检查文件元数据，通过分析文件数据结构，提取文件中隐含的数据。

（5）数据恢复。即对已删除、丢失的数据进行恢复。数据恢复可以恢复删除文件、文件松弛区和未分析空间中的数据。

（6）密码破解。当找到的文件被密码保护时需要利用密码破解技术破解密码。

（7）标记找到的数据。对找到的文件和内容通过书签进行标记，以记录分析动作，也方便再次分析。

（四）形成报告

根据取证的原始记录，形成电子数据取证报告。电子数据取证报告的形成是法律的要求，也是取证结果的直观体现报告里通常要体现犯罪行为的时间、空间、直接证据信息、系统环境信息，还要体现取证过程、对电子数据的分析结果等。

原文载《侦查中电子数据取证》，李双其、林伟著，知识产权出版社，2018年6月第一版。P84-88.