獲取

任何數字取證調查中的第一個主動步驟是獲取。數字媒體固有的問題是它很容易被修改；即使只是訪問檔案。為此，分析師使用專門的工具獲取媒體的“位副本”，這些工具可以阻止修改發生。

從副本工作是使取證調查可審計且為法庭所接受的基本步驟之一。該過程的另一個基本部分是能夠驗證所產生證據的準確性；獲取和驗證是準備數字媒體以供調查的關鍵概念。

本節假定您正在檢查的數字媒體或證據已準備好並等待。但是，在實踐中，通常有一個正式的過程來“扣押”用於調查的證據——後面的章節，“扣押數字媒體”，對該過程提供了更多建議。

在非常大的儲存容量可用之前，獲取過程通常包括建立數字媒體證據的位完美副本。這通常是在媒體連線到防寫裝置的情況下進行的，該裝置可以阻止在該過程中對其進行修改。獲取後，物理媒體被放置在安全儲存中，取證分析師對副本進行取證調查。

在證據副本上工作的目的是使原始媒體保持完整——這允許在稍後的日期驗證（證明準確）任何證據。

防寫器可以採用兩種形式；硬體或軟體（您可以在右側看到硬體防寫器的圖片）。硬體裝置更可靠，可以阻止所有寫命令到達數字媒體。軟體防寫器不太可靠，並且往往是專有的。

獲取的媒體通常被稱為“映象”，它們儲存在許多開放和專有格式中。流行的 EnCase 軟體採用了一種專有的、可壓縮的“EnCase 證據檔案格式”（EEFF）。其他開放格式，例如 RAW（即簡單的位副本），由“FTK Imager”等程式使用。

在獲取過程中，取證工具會建立媒體的驗證雜湊，這使分析師能夠稍後確認映象及其內容是準確的（見下文“驗證”）。

例如；EnCase 證據檔案格式為每 64K 資料儲存一個雜湊值，以及附加的整個媒體的 MD5 雜湊值。

“即時”獲取是指從數字裝置直接透過其正常介面檢索資料；例如，啟動計算機並在作業系統中執行程式。這具有一定的風險，因為資料可能會被修改。由於磁碟驅動器容量增加到“映象”不切實際的程度，並且“雲計算”等技術意味著在許多情況下您甚至無法訪問硬體，因此此過程正迅速成為更常見的方法 ^[1]

但是，即時獲取也有其優點——例如，它允許您捕獲 RAM 的內容。如果發現計算機已開啟，並在扣押之前，有時最好進行 RAM 的即時獲取，以防它包含從硬碟驅動器中刪除的資訊（例如臨時文件）。

這種獲取通常由非技術人員，或者至少是非計算機取證訓練人員進行，這會增加錯誤刪除重要資料的風險。存在各種工具來幫助完成此過程並使其對非技術人員來說更易於訪問。例如，微軟最近釋出了一套免費工具（僅供執法部門使用）來從即時 Windows 系統中捕獲資訊。該軟體名為 COFEE，裝在 USB 快閃記憶體盤上，包含各種自動化工具來恢復 RAM 和系統日誌檔案。