一、静态取证的一样平常步调
　　静态取证是指对已经被入侵的PDA、计较机体系、手机等装备的光盘、存储器或独立的磁盘等前言，通过运用各类技妙本领对提取数据并加以说明，抽取出有用计较机证据的事变模式。静态取证凡是以产生了紧张变乱（如受到入侵）的磁盘、计较机体系或其余数据存储介质等为首要事变工具。
　　一样平常环境静态取证的进程凡是分为四步：掩护并勘查现场、取证说明前的筹备事变、说明证据和提交功效这四个步调。
　　（一）掩护并勘查现场
　　假如方针呆板被发明入侵，起首应该想到的是掩护好现场，以便查案职员勘测现场，为找到尽也许多的证据做好起源筹备。只有卖力正确定方针计较机体系遭到恶意入侵时，才气举办现场掩护，这对付一样平常的PC机用户也许并没有很重要，，可是一旦必要封存的方针呆板是大型处事器，哪怕遏制运行极短的时刻，也也许会带来很是庞大的丧失。其次，应该绘制收集拓扑图、计较机犯法现场图，在移动和拆卸任何装备之前，都应该照相存档，以便为往后模仿、还原犯法现场提供最直接的依据。另外，，还必必要担保“证据持续性”，即在将证据正式提交给法庭时，可以或许声名从获取证据到案件审理这段时刻内，证据没有产生任何变革。必必要做到监视搜查和取证的整个进程。必需委派第三方专家监视全部的观测取证事变，这样才气使整个取证进程切合相干法令的划定。
　　（二）取证说明前的筹备事变
　　在取证进程中，除一些非凡环境，为掩护原始数据，凡是城市通过对原始证据举办物理拷贝，对备份开展全部证据说明、提取事变。这样就要求必需为一些含有计较机证据的数字信息建造副本，并确保妥善生涯其原始数字信息，而在计较机取证职员证据的提取和说明时回收它的复成品。
　　要想担保取证数据的正当性，必必要求证据是持续的，也就是说在把取证数据即“证据”提交给法庭的时辰，可以或许向法庭证明取证数据的完备性，即证据的本质状态照旧原始的、未经窜悔改的。凡是环境下，取证事变者会回收MD5算法对原始数据举办择要，然后把择要信息、原始数据及其物理拷贝妥善存储。
　　（三）证据说明
　　证据说明是计较机取证最重要的阶段，是取证的焦点部门。因为原始数据可能物理拷贝都是存储在硬盘等介质里，没有直观可见性，因此必要借助计较机的帮助器材举办查察。证据说明必要深挚的专业常识配景，因此对电子证据举办取证说明这一阶段由专家学者完成。
　　取证说明首要包括以下几个方面的内容：说明计较机安装的哪种操纵体系，是不是安装了假造机即多个操纵体系，体系是否有潜匿的分区；计较机有没有可疑的外部装备；有没有长途对该计较机举办节制；是否安装木马措施；计较机体系当前所处的收集情形。操作软件和器材等技能对删除、修改、增进可能复制过的文件举办数据规复事变，发明修改操纵陈迹。对计较机非凡磁盘空间的数据举办说明。通过比拟说明网络获取的拷贝数据信息与当前正常运行的体系数据，发明进攻操纵留下的陈迹。其它可以通过该计较机的主人，可能计较机要码、电子署名、日记记录、上网IP等计较机特有信息辨认体来查找出也许的犯法证据。其它，还应该把此台计较机电子证据与其他范例的证据彼此关联、彼此印证、综合说明验证；其它，还应留意所把握的电子证据，可否为案件的侦破提供其他的有用线索，或确定作案的也许时刻、犯法怀疑人等。
　　（四）提交功效
　　清算对方针体系的说明功效，确保其完备精确，打印并做出说明功效：体系总体状况，全部掩护、藏匿、删减、加密体系文件的信息，发明的体系数据、文件布局、作者信息，和在取证观测进程中所发明的其余相干的统统信息。然后标明提取地点、时刻、器材、证明人及证据提取人。而且凭证正当的措施，把这些具有法令效力的证据以某种示意情势提交给认真该案件的司法构造。
　　二、静态取证存在的题目
　　静态取证的实质是过后取证，即取证产生的时刻是计较机体系已担当到犯法进攻或体系信息已经被粉碎。静态取证的致命点在于难以找到犯法进程的完备证据，还原犯法现场和再现犯法进程。静态取证流程如图2-2所示，因为很难重现犯法场景，以是专业取证职员纵然找到犯法证据制裁计较机犯法者，体系也无法完全还原到进攻前的状态，造成必然的丧失。
　　仅仅依靠静态取证，是很难获取完备的体系信息，获得靠得住的取证功效的，因此，计较机取证应该是把动态取证与静态取证相团结，配合完成取证进程。及时获取这些体系运行信息是判定是否有正在举办的未经授权举动的最佳要领，也是探求犯法者是从体系那里着手进攻举动以及详细进攻进程的很好要领。虽然，在及时获取开机体系信息的要领中会碰着一些坚苦和障碍，好比获取入侵证据时被入侵者发明、证据被破坏、及时获取进攻占用方针体系过多的资源等一系列题目。因此要求专业取证职员在取证进程中要衡量利弊、有所弃取，详细环境详细说明，机动应对。
　　由此可见，跟着犯法者进攻本领的进步，仅仅依赖静态取证已经不能应对取证的必要，因此，计较机取证的成长趋势就是把入侵检测等收集安详软件与取证进程相团结，进动作态取证，全面冲击计较机犯法。
　　三、动态取证与静态取证的差别
　　所谓动态取证，就是把取证技能与入侵检测等收集安详器材相团结，及时获取方针体系数据并举办说明，实时捕捉可疑的非授权举动，智能说明犯法者的意图，并采纳法子阻断入侵举动可能诱导入侵深入，在担保计较机体系安详气象下捕捉到最完备的证据，然后对所提取的证据举办判断、生涯和提交的进程。当监控到有入侵举动正在进攻计较机时，自动转入动态取证流程，即将取证技能嵌入到入侵检测等收集安详器材傍边，及时记录并说明开机体系的数据变革进程，发明入侵者的进攻意图，行使专门的取证软件获取电子证据。
　　可是，动态取证的研究时刻很短，仍然处于起步阶段。与静态取证对比，动态取证具有以下几个明显特点：
　　（一）动态取证可以获取方针主机的信息变革进程，从头犯法进攻场景；而静态取证没有这个成果。