计算机取证主要是对电子证据的获取、分析、归档和描述的过程,而电子证据需要在法庭上作为证据展示,进行计算机取证时应当充分考虑电子证据的真实性和电子证据的证明力,除了相关准备之外,计算机取证步骤通常不包括()
A.保护目标计算机系统
B.确定电子证据
C.收集电子数据、保全电子证据
D.清除恶意代码
参考答案:D
参考解析:计算机取证主要是对电子证据的获取、分析、归档和描述的过程,而电子证据需要在法庭上作为证据展示,进行计算机取证时应当充分考虑电子证据的真实性和电子证据的证明力。计算机取证工作一般按照下面步骤进行:
①在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染
②搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件
③全部(或尽可能)恢复发现的己删除文件;
④最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容
⑤如果可能且法律允许,访问被保护或加密文件的内容;
⑥分析在磁盘的特殊区域中发现的所有相关数据;
⑦打印对目标计算机系统的全面分析结果,然后给出分析结论,包括系统的整体情况,发现的文件结构、数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息;
⑧给出必需的专家证明。