在犯罪调查过程中需要收集并分析来自计算机系统、网络、无线通信和存储设备的数据。此类数据收集和分析被称为计算机取证。计算机取证过程涉及 IT 和具体法律,以确保收集的任何数据在法庭上可作为证据采信。

根据国家或地区,非法的计算机或网络使用可能包括:

这并不是详尽列表。

在执行计算机取证程序时,将收集两类基本数据:持久数据和易失数据。

持久数据 - 持久数据存储在本地驱动器(如内部或外部硬盘驱动器)或光盘上。计算机关闭时会保留此数据。

易失数据 - RAM、缓存和寄存器中包含易失性数据。在存储介质与 CPU 之间传送的数据也是易失数据。了解如何获取这些数据非常重要,因为只要计算机一关闭,它们就会消失。