取证流程

实用提示！
维基百科 在 数字取证流程 中有相关信息。

数字取证调查通常包含三个主要阶段，以及一个初步阶段（超出了本书的范围）。你会发现这些阶段需要不同的要求和技术技能，从注重细节到技术技能以及良好的写作能力。

证据获取在很大程度上被认为超出了本书的范围，因为它本身就可以是一整本书。在大多数情况下，取证检查员不会参与证据获取，除非是在技术方面（即现场获取），但是你需要了解证据的来源。

证据获取的形式多种多样。从执法机构使用法院授权令到公司“获取”员工的笔记本电脑。在进行取证检查时，你对自己的行为负责，如果所检查的材料是非法获取的，可能会造成严重后果（甚至会让你自己被指控为电脑犯罪！）。

你必须始终对证据来源感到满意，并且你被授权继续进行检查。

执法机构获取的证据几乎肯定是在程序内进行的。如果是这样，检查员就不太可能遇到任何问题，因为可以合理地假设警方已经正确完成了他们的工作。

对于私人工作，这一点更加重要。例如，如果一家公司拥有正在检查的数字设备，那么通常可以进行检查。但如果设备属于员工个人，则需要得到许可或法院命令。当你检查证据时，始终要询问该证据是否属于公司，如果该证据不属于公司，则要确保已获得正确的许可。

在 获取数字媒体 中涵盖了有关此主题的更多额外细节/建议。

获取

收集/记录数字媒体证据的过程，然后创建位副本。

分析

实际的（自由形式）调查过程，可以采取多种形式。

报告

制作证据包，并用通俗易懂的语言进行分析/描述。