目　次

1　引言 1
1.1　研究背景及现状 1
1.2　论文主要内容 1
2　计算机取证技术简介 2
2.1　计算机取证的概念 2
2.2　计算机取证的原则 2
2.3　计算机取证的步骤 4
2.4　静态计算机取证的系统模型 5
2.5　计算机取证工具简介 5
3　计算机取证技术应用研究 6
3.1　取证方法 6
3.2　被删除电子证据的获取 9
3.3　被格式化分区中电子证据的获取 11
3.4　Easyrecovery和DiskProbe对DOC文档的修复取证 17
3.5　DiskProbe和Encase对TMP文件的恢复取证 18
3.6　其他功能简介 20
4　计算机取证技术应用研究总结 21
4.1　Encase、DiskProbe、Easyrecovery的综合比较 21
4.2　被删除电子证据取证中遇到的难题 23
4.3　计算机取证技术应用研究总结 24
结论 26
致谢 27
参考文献 28

1　引言

近年来，计算机在带给人们便利的同时，也成为犯罪分子手中的“有利”工具，涉及计算机犯罪的案件越来越多。如何处理这类高智能、高科技的案件，直接关系刑事诉讼的进行，其中电子证据问题有着举足轻重的作用。在任何犯罪案件中，犯罪分子或多或少会留下些蛛丝马迹，电子证据是这些犯罪分子留下的可以证明犯罪事实的重要证据，它在案件中有着无法比拟的特殊性和重要性。对电子证据的获取时，取证方式与技术手段至关重要，只有运用科学、实用、有效的技术和工具才能及时、准确地获取电子证据并对其进行审查^[1]。

但是，目前存在的计算机取证工具种类繁多，而在不同的情况下使用不同的取证工具会有不同的效果。本文主要介绍了在计算机取证方面具有强大功能的三款工具，分别是：数据恢复工具Easyrecovery、计算机取证工具DiskProbe和Encase，并通过实验对它们的不同点加以研究，它们的不同点包括：取证方法，对被删除电子证据的获取，对被格式化分区中电子证据的获取，对DOC文档的恢复取证，对编辑WORD时产生的TMP文件的取证等。

1.1　研究背景及现状

国外，许多国家有专门的计算机取证部门、实验室和咨询服务公司，并有一些产品问世。如美国的Guidance软件公司研制的Encase产品，它是基于Windows系统用于法庭数据收集和分析的系统，可将正在运行的系统在不停机的情况下，将系统的全部运行环境和数据生成一个映像文件，再对该文件进行分析，从而发现犯罪证据。

国内，近几年取证技术有了一定的发展。自90年代起，出台了有关计算机犯罪方面的法律法规，公安部也成了网络安全监察部门。但发展依旧缓慢，原因在于国内研究取证技术的机构不多，大多数的公司只是代理国外的取证硬件、软件产品，某些取证软硬件，国外也根本不出口相关产品到我国。因此，国内对于计算机取证的研究存在滞后性。

参考文献

〔1〕刘晓华.计算机犯罪取证技术及其应用〔J〕.兰州大学研究生学位论文，2006，4

〔2〕靳慧云，黄步根.计算机犯罪侦查〔M〕.北京：中国人民公安大学出版社　2003.

〔3〕戴士剑，陈永红.数据恢复技术〔M〕.北京：电子工业出版社　2003

〔4〕聂元铭，曾志，黄燕宏.计算机数据修复与维护〔M〕.北京：科学出版社　2006

〔5〕宋群生，宋亚琼.硬盘扇区读写技术—修复硬盘与恢复文件〔M〕.北京：机械工业出版社　2004

〔6〕Time创作室.电脑灾难恢复典型应用技巧〔M〕.北京：人民邮电出版社　2004，7

〔7〕田元，王斌，万雷.系统安装重装与数据恢复拯救〔M〕.北京：电子工业出版社　2007

〔8〕黄步根.硬盘数据修复技术〔J〕.江苏公安专科学校学报，1999，4

〔9〕Shadow Data.The Fifth Dimension of Data Security Risk[EB/OL]，http://www.forensics-intl.com/art15.html

〔10〕An Explanation of Computer Forensics by Judd Robbins [EB/OL]，http://www.computerforensics.net/forensics.htm

〔11〕赵小敏.基于日志的计算机取证技术的研究及系统设计与实现〔J〕.浙江大学硕士学位论文，2002，10

〔12〕孙波.计算机取证方法关键问题研究〔J〕.中国科学院研究生院博士学位论文，2004，5

〔13〕钟秀玉.计算机取证技术研究〔J〕.广东工业大学工程硕士学位论文，2004，4

〔14〕徐少强.计算机取证技术研究〔J〕.广东工业大学工学硕士学位论文，2005，4

〔15〕王娟.计算机取证综合系统研究〔J〕.电子科技大学硕士学位论文，2005，12