电子数据取证

由于使用了整个磁盘加密，数据收购正转向使用更新的操作系统(OSS)进行实时收购。除了加密问题，收集嫌疑人电脑RAM中的任何活跃数据对数字调查也变得越来越重要。获取实时磁盘和RAM数据的技术将在第10章中介绍。静态收购和动态收购的流程和数据完整性需求是相似的，因为静态收购捕获的数据不能被其他可能发生变化的流程访问。使用实时获取时，文件元数据(例如日期和时间值)在获取工具读取时发生变化。对于静态获取，如果你保留了原始媒体，那么进行第二次静态获取应该会产生同样的结果。无论采集多少次，原始磁盘上的数据都不会改变。在计算机运行时进行第二次实时采集，因为操作系统中的动态变化而收集新数据。