取证

取证又称数字取证或电子取证，是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。

【物理取证】
1、保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘文件、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统
2、获取内存和硬盘的数据，顺序为先内存后硬盘，

【恢复软件】

文件浏览器：专门用来查看数据文件的阅读工具，只可以查看但没有编辑和恢复功能，可以防止数据的破坏，Quick View Plus是其中的代表。

图片检查工具：ThumbsPlus是一个可以对图片进行全面检查的工具。

反删除工具：Easy Undelete是一款Windows下强大的数据恢复和反删除软件。

文本搜索工具：dtSearch是一个很好的用于文本搜索的工具。

驱动器映像程序：就是拷贝和建立驱动器的映像，可以满足取证分析的磁盘映像软件，包括：SafeBack SnapBack Ghost等等。

Forensic Toolkit：是一系列基于命令行的工具，可以帮助推断Windows NT文件系统中的访问行为。

EnCase：主要功能有数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立数据、 保存案例等。

CRCMD5：可以验证一个或者多个文件内容的CRC工具。

DiskScrub：一个可以清除硬盘驱动器中所有数据的工具。

DiskSig：用于验证映像备份的精确性。

FileList：一个磁盘目录工具，用来建立用户在系统上的行为时间表。

GetSlack：一个周围环境数据收集工具，用于捕获未分配的数据。

GetTime：一个周围环境数据收集工具，用于捕获分散的文件。

Net Threat Analyzer：网络取证分析软件，用于识别公司账号滥用。

NTI-DOC：一个文件程序，用于记录文件的日期、时间以及属性。

PTable：用于分析及证明硬盘驱动器分区的工具。

Seized：用于对证据计算机上锁及保护的程序。

ShowFL：用于分析文件输出清单的程序。

TextSearch Plus：用来定位文本或者图形软件中的字符串的工具。