计算机取证：准备获取电子证据

在昨天的文章中，我们介绍了在收集，保存和运输物理证物时需要注意的问题。今天,我们介绍如何处作为证物的计算机中的数据.

在对现场的电脑进行了拍照取证后,接下来就要考虑是采用动态分析还是静态分析了。动态分析是指对于案件有用的证据存在于不稳定的存储介质中，比如内存，因此要在将电脑内存中的数据提取出来后才可以关机。而其他情况下，作为罪证的电脑处于关闭状态并运送会调查实验室进行进一步地分析。虽然并不是每个案件的罪证都需要进入实验室进行分析，但是在实验室中，确实可以让调查人员对犯罪证物进行深入分析。

一旦决定关闭计算机的电源，一定要确保正常的关闭电源顺序不会导致任何数据的改变或丢失。比如对于Windows系统，正常的关闭电脑的方式会导致系统向硬盘写入信息，而这正是我们需要防止的，因此我们应该直接拔掉计算机的电源插头。这种方式会使得硬盘中的数据抱持原有的形态。之后电脑应该被贴上标签并运送到调查人员的实验室作进一步分析。

进入实验室后，调查人员就开始针对电脑的存储设备进行分析。首先分析人员会收集电脑的硬件配置和系统设置信息。这首先需要启动电脑并进入电脑的BIOS设置界面。确保在这一过程中系统不会进入到硬盘启动阶段。如果调查人员不能确保系统能够直接进入BIOS，那么就应该先把电脑中的硬盘断开连接，然后再接通电脑的电源。

进入到电脑的BIOS的方法很多，不同的电脑制造商的方法不同。我用的电脑是Dell XPS M140，在系统启动过程中按F2就可以进入BIOS。如图A所示。
 

图A

在系统的 BIOS中，调查人员会收集和存档以下信息：

◆系统的基本配置，包括内存大小，CPU类型，主板的序列号等。
◆硬盘的类型
◆系统启动顺序
◆BIOS日期和时间

存档这些信息的最好方式是对不同的屏幕信息进行拍照。在退出BIOS前，调查人员要首先决定是否需要修改系统的启动顺序。如果调查人员需要使用这台电脑进行数据分析，那么一定要确保将要被分析的硬盘不能作为启动盘。否则硬盘中的数据会因为系统启动而发生改变。因此一般来说最好的方式是采用一台特别配置的系统来做接下来的数据分析工作。 

在本系列的下一篇文章中，我将介绍如何应对一个系统BIOS被密码保护的系统，以及如何准备获取目标硬盘上的真实数据。

（责任编辑:陈毅东）