电子数据取证-数据采集

①取证分析获取数据的四种方法是磁盘对图像文件，磁盘对磁盘拷贝，逻辑磁盘对磁盘或磁盘对数据文件，以及文件夹或文件的稀疏数据拷贝。

②对取证的无损压缩不会改变数据恢复，不像有损压缩。 对于大多数数据，无损压缩可以压缩高达50。 如果数据已经被压缩在驱动器上，无损压缩可能不会节省更多的空间。

③当使用Linuxdd或dcfldd命令时，请记住，

反转可疑驱动器和目标驱动器的输出字段

（=)和输入字段(如果=）可能会将数据写入

错误驱动器，从而破坏您的证据。 如果可

用，则应始终使用物理写阻装置进行获取。

④要获取RAID磁盘，需要确定RAID的类型和使用哪种获取工具。 使用固件硬件RAID，可能需要直接从RAID服务器获取数据。

⑤远程网络采集工具需要在可疑计算机上安

装远程代理。 如果嫌疑人安装了自己的安

全程序，如防火墙，则可以检测到远程代

理。

⑥取证数据获取以三种不同的格式存储：原始、专有和AFF。 大多数专有格式和AFF存储图像文件中获取的数据的元数据。