採證人員: 有問題的主機是哪一台呢

現場窗口: 不知道耶，好像是這台(隨便指一台拔掉插頭的電腦)

採證人員: 登入主機，誒誒不是說windows嗎，怎麼這台是linux

現場窗口: 我問問看...

過一段時間

現場窗口: 抱歉放在另一個房間

採證人員: 好的 （心理默想： 啊啊差點又浪費時間

PS: 採證時會因為主機效能及空間大小，需要花上很多時間

實作

Windows:
工具: FTK Imager

記憶體採證

首先點那個像記憶體的圖示，然後盡量把存檔路徑改成外接硬碟，避免覆蓋到要採證的硬碟，避免汙染證據，採證的那台主機記憶體越大產生的檔案越大，越花時間... (Win10打不開可以用管理者權限執行cmd 再cd到該路徑執行)

硬碟採證

1. 點 Create Disk image
   

2. 選擇要採證的磁碟類型
   

3. 選擇磁碟要採證的磁碟
   

4. 點ADD
   

5. 選擇儲存的格式，DD是通用，這邊選E01
   

6. 加上說明註記，寫清楚可以避免之後轉交其他人後，鑑識錯硬碟... 還蠻常見的
   

7. 選擇存放的位置，避免覆蓋到要採證的硬碟，避免汙染證據
   

Hash
完成後記得算一下檔案HASH，之後資料驗證確保沒被竄改

Linux:
dd

dd if=要採證的磁碟路徑 of=儲存的地方 bs=1k

md5sum 採證完後檔案算HASH並記錄

REF

https://samsclass.info/152/152_F22.shtml

揮發性記憶體藏細節　找出帳密遏止數位犯罪
https://www.netadmin.com.tw/netadmin/zh-tw/technology/50EC8F27C07A4729AC9A80DBF0465ABD?page=2