前言

今天要講數位鑑識的基本流程，其中包含很多重要原則，以確保我們蒐集到的證據能在法庭上站得住腳。即便在後續的實作中為了方便而有所簡化，但在真實的資安事件應變中，這些基本功才是決定成敗的關鍵。

基本流程介紹

準備

準備階段是數位鑑識的首要步驟，目的是建立適當的作業環境與程序，以確保後續蒐集、分析與報告的合法性與有效性。
準備工作包括：制定調查計畫、合規審查、工具與環境準備等等。

蒐集與保存

現場取證時要使用專業工具 (ex: FTK Imager, EnCase) 確保資料完整性，且要優先提取具揮發性的證物(ex: Cache, RAM)，避免消失，並建立 hash 以供後續比對。 保存過程要確保證物的 CIA 和 Chain of Custody (昨天提到的)。

分析

確保在唯讀副本上做分析 (確保證物的完整性)，分析過程中的每個步驟，包括使用的工具、執行的指令、分析的結果，都必須詳細記錄，以確保調查過程可被重現和驗證。 那到底要怎麼分析呢？後續實作環節就是在教大家分析的方法啦。

報告

實務上鑑識的最終目標是撰寫一份具備法律效力的報告，要確保流程合規才有法律效力，所以才有上述這些注意事項。
一份報告要包含：案件背景與調查目標、證據蒐集與保存流程、分析方法與工具、發現事實與結論、附件 (證據清單、雜湊值等)。

總結

數位鑑識的基本流程差不多就講到這邊，透過今天的介紹，相信大家對數位鑑識的基本流程已有初步了解。在實際上會有更多守則和規範，但這篇是新手向文章所以就不提了。明天就要來實作啦，先從蒐集階段開始。想知道如何擷取記憶體、如何製作映像檔就敬請期待啦！