取證流程

實用提示！
維基百科 在 數字取證流程 中有相關資訊。

數字取證調查通常包含三個主要階段，以及一個初步階段（超出了本書的範圍）。你會發現這些階段需要不同的要求和技術技能，從注重細節到技術技能以及良好的寫作能力。

證據獲取在很大程度上被認為超出了本書的範圍，因為它本身就可以是一整本書。在大多數情況下，取證檢查員不會參與證據獲取，除非是在技術方面（即現場獲取），但是你需要了解證據的來源。

證據獲取的形式多種多樣。從執法機構使用法院授權令到公司“獲取”員工的筆記型電腦。在進行取證檢查時，你對自己的行為負責，如果所檢查的材料是非法獲取的，可能會造成嚴重後果（甚至會讓你自己被指控為電腦犯罪！）。

你必須始終對證據來源感到滿意，並且你被授權繼續進行檢查。

執法機構獲取的證據幾乎肯定是在程式內進行的。如果是這樣，檢查員就不太可能遇到任何問題，因為可以合理地假設警方已經正確完成了他們的工作。

對於私人工作，這一點更加重要。例如，如果一家公司擁有正在檢查的數字裝置，那麼通常可以進行檢查。但如果裝置屬於員工個人，則需要得到許可或法院命令。當你檢查證據時，始終要詢問該證據是否屬於公司，如果該證據不屬於公司，則要確保已獲得正確的許可。

在 獲取數字媒體 中涵蓋了有關此主題的更多額外細節/建議。

獲取

收集/記錄數字媒體證據的過程，然後建立位副本。

分析

實際的（自由形式）調查過程，可以採取多種形式。

報告

製作證據包，並用通俗易懂的語言進行分析/描述。