原創：弘連網絡

電子數據證據遠程勘驗在日常的取證工作中必不可少，但由于存在信息安全差、數據可能被篡改的問題。

取證過程中，有明確的取證要求來確保取證過程的規范顯得至關重要，今天我們就一起來回顧下遇到遠程勘驗的取證場景，正確的取證流程是什么呢？

01準備工具

工具準備作為取證前期準備的重要部分之一，不可馬虎。主要包含以下幾點：

1. 外置錄像設備；

2. 不小于目標容量的存證盤(存儲內存鏡像、磁盤鏡像)；

3. 建議準備軟件：屏幕錄像軟件，遠勘取證工具(如弘連網鏡互聯網取證、網探Windows，網探Linux等)，哈希校驗工具；

4. 取證過程確保網絡連接穩定可靠；

5. 如無特殊說明，所有文件保存在存證盤中。

02取證步驟① 服務器電子數據遠程固定

服務器一般的取證重心集中在系統日志、數據庫、網絡流量數據、應用源代碼等。

1. 打開外置錄像設備，確保取證過程清晰可見；

2. 進行時間校驗，并打開屏幕錄像軟件 ；

3. 遠程主機外部網絡信息記錄(如域名、路由、服務器開放情況)；

4. 遠程主機操作系統信息記錄(系統基本信息、操作日志等)；

5. 遠程主機網站數據及數據庫固定；

6. 遠程主機存儲介質和文件固定；

7. 取證結束，檢查相關文件及數據的哈希值，截圖展示在錄像中，保證數據完整；

8. 結束屏幕錄像，檢查錄像文件哈希值；

9. 關閉外置錄像機；

② 網站電子數據遠程固定

網站一般的取證重心集中在靜態網頁、動態網頁、富媒體、網站鏡像等。

1. 打開外置錄像設備，確保取證過程清晰可見；

2. 進行時間校驗，并打開屏幕錄像軟件 ；

3. 環境建立和基本信息獲取(服務器IP地址、協議等)；

4. 網站獲取參數和環境參數記錄；

5. 網站數據獲取：靜態網頁、動態網頁、媒體文件等；

6. 取證結束，檢查保存的網頁固定、網站鏡像、數據文件的哈希值，截圖展示在錄像中；

7. 結束屏幕錄像，檢查錄像文件哈希值；

03取證結果清單

1. 相關檢驗記錄；

2. 遠程主機獲取的數據、數據文件、鏡像文件、對應的哈希值、對應的屏幕錄像文件；

3. 外置錄像機的全局錄像文件；

取證工作必須嚴謹和規范，我們往往需要掌握各種各樣的取證方式，從最簡單的軟件使用，到進一步的原理了解，這對我們取證從業者來說帶來了更多的挑戰，希望大家遇到電子數據證據遠程勘驗的取證場景時，能夠有一個清晰明了的流程思路，希望本文能給大家帶來幫助！