原创：弘连网络

电子数据证据远程勘验在日常的取证工作中必不可少，但由于存在信息安全差、数据可能被篡改的问题。

取证过程中，有明确的取证要求来确保取证过程的规范显得至关重要，今天我们就一起来回顾下遇到远程勘验的取证场景，正确的取证流程是什么呢？

01准备工具

工具准备作为取证前期准备的重要部分之一，不可马虎。主要包含以下几点：

1. 外置录像设备；

2. 不小于目标容量的存证盘(存储内存镜像、磁盘镜像)；

3. 建议准备软件：屏幕录像软件，远勘取证工具(如弘连网镜互联网取证、网探Windows，网探Linux等)，哈希校验工具；

4. 取证过程确保网络连接稳定可靠；

5. 如无特殊说明，所有文件保存在存证盘中。

02取证步骤① 服务器电子数据远程固定

服务器一般的取证重心集中在系统日志、数据库、网络流量数据、应用源代码等。

1. 打开外置录像设备，确保取证过程清晰可见；

2. 进行时间校验，并打开屏幕录像软件 ；

3. 远程主机外部网络信息记录(如域名、路由、服务器开放情况)；

4. 远程主机操作系统信息记录(系统基本信息、操作日志等)；

5. 远程主机网站数据及数据库固定；

6. 远程主机存储介质和文件固定；

7. 取证结束，检查相关文件及数据的哈希值，截图展示在录像中，保证数据完整；

8. 结束屏幕录像，检查录像文件哈希值；

9. 关闭外置录像机；

② 网站电子数据远程固定

网站一般的取证重心集中在静态网页、动态网页、富媒体、网站镜像等。

1. 打开外置录像设备，确保取证过程清晰可见；

2. 进行时间校验，并打开屏幕录像软件 ；

3. 环境建立和基本信息获取(服务器IP地址、协议等)；

4. 网站获取参数和环境参数记录；

5. 网站数据获取：静态网页、动态网页、媒体文件等；

6. 取证结束，检查保存的网页固定、网站镜像、数据文件的哈希值，截图展示在录像中；

7. 结束屏幕录像，检查录像文件哈希值；

03取证结果清单

1. 相关检验记录；

2. 远程主机获取的数据、数据文件、镜像文件、对应的哈希值、对应的屏幕录像文件；

3. 外置录像机的全局录像文件；

取证工作必须严谨和规范，我们往往需要掌握各种各样的取证方式，从最简单的软件使用，到进一步的原理了解，这对我们取证从业者来说带来了更多的挑战，希望大家遇到电子数据证据远程勘验的取证场景时，能够有一个清晰明了的流程思路，希望本文能给大家带来帮助！