获取

任何数字取证调查中的第一个主动步骤是获取。数字媒体固有的问题是它很容易被修改；即使只是访问文件。为此，分析师使用专门的工具获取媒体的“位副本”，这些工具可以阻止修改发生。

从副本工作是使取证调查可审计且为法庭所接受的基本步骤之一。该过程的另一个基本部分是能够验证所产生证据的准确性；获取和验证是准备数字媒体以供调查的关键概念。

本节假定您正在检查的数字媒体或证据已准备好并等待。但是，在实践中，通常有一个正式的过程来“扣押”用于调查的证据——后面的章节，“扣押数字媒体”，对该过程提供了更多建议。

在非常大的存储容量可用之前，获取过程通常包括创建数字媒体证据的位完美副本。这通常是在媒体连接到写保护设备的情况下进行的，该设备可以阻止在该过程中对其进行修改。获取后，物理媒体被放置在安全存储中，取证分析师对副本进行取证调查。

在证据副本上工作的目的是使原始媒体保持完整——这允许在稍后的日期验证（证明准确）任何证据。

写保护器可以采用两种形式；硬件或软件（您可以在右侧看到硬件写保护器的图片）。硬件设备更可靠，可以阻止所有写命令到达数字媒体。软件写保护器不太可靠，并且往往是专有的。

获取的媒体通常被称为“镜像”，它们存储在许多开放和专有格式中。流行的 EnCase 软件采用了一种专有的、可压缩的“EnCase 证据文件格式”（EEFF）。其他开放格式，例如 RAW（即简单的位副本），由“FTK Imager”等程序使用。

在获取过程中，取证工具会创建媒体的验证哈希，这使分析师能够稍后确认镜像及其内容是准确的（见下文“验证”）。

例如；EnCase 证据文件格式为每 64K 数据存储一个哈希值，以及附加的整个媒体的 MD5 哈希值。

“实时”获取是指从数字设备直接通过其正常接口检索数据；例如，启动计算机并在操作系统中运行程序。这具有一定的风险，因为数据可能会被修改。由于磁盘驱动器容量增加到“镜像”不切实际的程度，并且“云计算”等技术意味着在许多情况下您甚至无法访问硬件，因此此过程正迅速成为更常见的方法 ^[1]

但是，实时获取也有其优点——例如，它允许您捕获 RAM 的内容。如果发现计算机已开启，并在扣押之前，有时最好进行 RAM 的实时获取，以防它包含从硬盘驱动器中删除的信息（例如临时文档）。

这种获取通常由非技术人员，或者至少是非计算机取证训练人员进行，这会增加错误删除重要数据的风险。存在各种工具来帮助完成此过程并使其对非技术人员来说更易于访问。例如，微软最近发布了一套免费工具（仅供执法部门使用）来从实时 Windows 系统中捕获信息。该软件名为 COFEE，装在 USB 闪存盘上，包含各种自动化工具来恢复 RAM 和系统日志文件。