1.涉案计算机系统的保护。(1)对涉案计算机第一时间进行封锁。(2)对涉案计算机硬盘、光盘等存储介质进行原数据拷贝,尽量避免在原计算机内操作,以免数据丢失。有必要利用硬盘拷贝机把涉案硬盘进行整盘拷贝。(3)利用先进的计算机取证勘查箱进行取证,它具有应用范围广、携带方便、规范化、专业化的特点。(4)在现场取证调查时应记录的内容包括:电脑使用者,电脑状态,是否连接网络,执行取证在场人员,电脑的品牌、型号,电脑硬盘序列号,电脑的外设情况。
2.确定证据。(1)利用搜索工具,进行一系列的关键字搜索查找最重要的信息。(2)借助专业的删除———格式化恢复工具,把删除、隐藏、加密的信息找出。注意Windows系统的交换文件和硬盘中未分配的空间往往存放着犯罪嫌疑人容易忽视的证据。(3)利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问,获取信息。(4)把搜集好的数据与办案干警初步确定数据进行印证。(5)收集好的原数据应做备份。
3.提取分析数据。(1)利用专业的取证分析平台对文件属性、文件的摘要和日志进行分析。分析平台应具有数据恢复、数据修复、多格式支持、信息检索等必要功能。(2)对确凿证据,作出与案件关联的分析报告。
4.归档。对得出的结论以及电子证据要严格保管、做好备份。办案人员查看时必须登记。
法律依据:
最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》 第八条收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
可以把台式机硬盘取下来做成U盘进行数据迁移到另一台电脑上,具体方法如下:
1、首先将硬盘拆解出来,新硬盘记得把保护贴膜撕掉。
2、找到硬盘的螺丝孔和硬盘架的卡口,把硬盘方位放正确,四个口对准硬盘的螺丝孔。
3、把硬盘插入到硬盘架上,动作幅度不要过大。
4、把转接线插入到硬盘的sata接口中,大部分的转接线只是单线单向插的个别双线的孔找准孔插入不要插错。
5、台式机的硬盘还需要插入电源线,如图:
6、分别把硬盘usb和电源线接口插到电脑usb接口上和电源插座上面,制作成功的硬盘U盘电脑会弹出提示,如图:
这样就可以把硬盘上的数据进行转移啦。
