电子数据取证
由于使用了整个磁盘加密,数据收购正转向使用更新的操作系统(OSS)进行实时收购。除了加密问题,收集嫌疑人电脑RAM中的任何活跃数据对数字调查也变得越来越重要。获取实时磁盘和RAM数据的技术将在第10章中介绍。静态收购和动态收购的流程和数据完整性需求是相似的,因为静态收购捕获的数据不能被其他可能发生变化的流程访问。使用实时获取时,文件元数据(例如日期和时间值)在获取工具读取时发生变化。对于静态获取,如果你保留了原始媒体,那么进行第二次静态获取应该会产生同样的结果。无论采集多少次,原始磁盘上的数据都不会改变。在计算机运行时进行第二次实时采集,因为操作系统中的动态变化而收集新数据。