數位鑑識流程：

• 收集
  • 通常是PC、筆電、USB等
  • 須確保原始資料未被竄改
  • 記錄所有收集到的項目的詳細資訊
• 檢驗
  • 篩選並提取資料內有價值的部分
  • 針對性地整理出分析所需的特定資料
• 分析
  • 將前面所提取的證據與其他證據進行關聯分析
  • 依照時間順序，重建活動過程
• 報告
  • 完整的調查報告，包括使用的方法、程序、以及所有發現的詳細結果。
  • 加入執行摘要（Executive Summary），以便不同背景的人都能理解調查結果。

數位鑑識類型:

• 電腦
  • 最常見
• 行動裝置
  • 調查手機或平板，提取通話紀錄、簡訊、GPS 位置等。
• 網路
  • 範圍為整個網路，不僅限於單一設備。
  • 證據主要為網路流量紀錄。
• 資料庫
  • 用來調查是否有非法入侵、資料修改或外洩。
• 雲端
  • 對儲存在雲端設施上的資料做調查。
  • 由於此類型證據較難取得，對調查人員來說較具挑戰。
• 電子郵件
  • 常用於調查是否涉及釣魚攻擊或詐騙活動。

保全紀錄鏈:

• 證據的描述（名稱、類型）
• 收集證據的工作人員姓名
• 收集證據的日期與時間
• 每項證據的存放位置
• 存取證據的時間與人員紀錄

這些能建立完整的證據流向追蹤，能保證證據的可信度與完整性。

寫入阻擋器:

數位鑑識的重要工具之一。

能夠阻止對原始資料的任何更動，因此資料就不會被系統自動修改(檔案時間戳記（timestamp）)，能確保資料保持原樣**。**

Windows系統的取證:

• image:

  • disk

    • HDD、SSD 的完整複製

    例如：

    • 各種檔案
    • 瀏覽器歷史紀錄
    • 使用者資料

  • memory

    • 記憶體映像應優先於磁碟映像進行備份

    這些資料屬於揮發性，一旦系統關機或重新啟動，資料就會全部消失。

    例如:

    • 開啟中的檔案
    • 當前執行中的processes
    • 網路連線狀態

• 工具:

  • Disk Image:
    • FTK image
    • Autospy
  • Memory:
    • Dumpit
    • Volatility