大家好，我是小夏，我來(lái)為大家解答以上問(wèn)題。計(jì)算機(jī)取證與司法鑒定，計(jì)算機(jī)取證很多人還不知道，現(xiàn)在讓我們一起來(lái)看看吧！

1、在保證以上幾項(xiàng)基本原則的情況下，計(jì)算機(jī)取證工作一般按照下面步驟進(jìn)行：

2、第一， 在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染；

3、第二， 搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤(pán)上（即還沒(méi)有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件；

4、第三， 全部（或盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件；

5、第四， 最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時(shí)文件和交換文件的內(nèi)容；

6、第五， 如果可能并且如果法律允許，訪問(wèn)被保護(hù)或加密文件的內(nèi)容；

7、第六，分析在磁盤(pán)的特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。特殊區(qū)域至少包括下面兩類：①所謂的未分配磁盤(pán)空間——雖然目前沒(méi)有被使用，但可能包含有先前的數(shù)據(jù)殘留；② 文件中的“slack”空間——如果文件的長(zhǎng)度不是簇長(zhǎng)度的整數(shù)倍，那么分配給文件的最后一簇中，會(huì)有未被當(dāng)前文件使用的剩余空間，其中可能包含了先前文件遺留下來(lái)的信息，可能是有用的證據(jù)；

8、第七，打印對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析結(jié)果，然后給出分析結(jié)論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、和作者的信息，對(duì)信息的任何隱藏、刪除、保護(hù)、加密企圖，以及在調(diào)查中發(fā)現(xiàn)的其它的相關(guān)信息；

9、第八，給出必需的專家證明。

10、上面提到的計(jì)算機(jī)取證原則及步驟都是基于一種靜態(tài)的視點(diǎn)，即事件發(fā)生后對(duì)目標(biāo)系統(tǒng)的靜態(tài)分析。隨著計(jì)算機(jī)犯罪技術(shù)手段的提高，這種靜態(tài)的視點(diǎn)已經(jīng)無(wú)法滿足要求，發(fā)展趨勢(shì)是將計(jì)算機(jī)取證結(jié)合到入侵檢測(cè)等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中，進(jìn)行動(dòng)態(tài)取證。整個(gè)取證過(guò)程將更加系統(tǒng)并具有智能性，也將更加靈活多樣。

本文到此講解完畢了，希望對(duì)大家有幫助。