历史

法证学是一门学科，至少可以追溯到罗马时代（甚至可能更早的中国古代），当时被指控犯罪的人（以及指控者）会在公众面前（拉丁语 forensis 意为“论坛上的”）出示证据。在现代，它指的是将科学过程应用于恢复与犯罪或其他法律行动相关的证据。

数字取证作为一门学科，起源于 1970 年代后期和 1980 年代初个人电脑使用的爆炸式增长。第一批专门的计算机犯罪在 1978 年的佛罗里达州计算机犯罪法中得到承认，该法包括针对未经授权修改或删除计算机系统数据的立法。在接下来的几年里，发生的计算机犯罪类型越来越多，并且颁布了法律来处理版权、隐私/骚扰和儿童色情等问题。

直到 1980 年代，联邦法律才开始纳入计算机罪行。加拿大是第一个在 1983 年通过立法的国家。随后是 1986 年的美国联邦计算机欺诈和滥用法案，1989 年澳大利亚对其罪行法案的修正以及 1990 年的英国计算机滥用法案。

在此期间，大部分取证分析是在“实时”系统上执行的，使用传统（和非专业）系统管理工具。几乎没有标准或指南来帮助从业人员，他们提供的证据经常被法院驳回。

为了应对 1980 年代和 1990 年代计算机犯罪的增长，执法机构开始建立专门的调查小组，通常是在国家层面上。1984 年，联邦调查局启动了计算机分析和响应小组，一年后，英国在伦敦警察厅反欺诈小组中设立了一个计算机犯罪部门。这些小组的早期成员中有许多是计算机爱好者，也是执法人员。

在整个 1990 年代，对这些资源的需求量很大，最终导致了区域甚至地方级别的部门的创建。例如，英国国家高科技犯罪部门成立于 2001 年，旨在提供国家结构；人员集中在伦敦，各地区警察部队（该部门于 2006 年并入严重有组织犯罪机构 (SOCA)）。

在此期间，数字取证科学是从从业人员开发的临时工具和技术中发展起来的。这与其他法证学科形成对比，其他法证学科是从科学界的成果中发展起来的。直到 90 年代后期，数字证据的价值才得到法院的认可。

在 21 世纪初，消费领域见证了移动设备（手机、PDA、移动笔记本电脑和平板电脑）的爆炸式增长，类似于 80 年代的计算机革命。如果说有什么不同的话，那就是此类设备的使用更加普遍。

在犯罪中使用手机是众所周知的，移动设备的证据价值正在逐渐得到认可。这不仅限于电话和短信；现代设备通常包含电子邮件、照片、聊天和其他形式的通信/活动。

在 2010 年的一篇论文中，Simson Garfinkel 确定了未来数字调查面临的问题。包括数字媒体规模的不断增大，消费者广泛使用加密，操作系统和文件格式的种类越来越多，个人拥有多个设备以及对调查人员的法律限制。该论文还确定了持续的培训问题，以及进入该领域的高成本成为阻碍。