在计算机取证的收集中，我们集中于证据收集的内容。计算机调查取证的另一个重要任务是分析收集到的“电子证据”。仅原始证据不能满足诉讼要求。我们必须进行正确的处理以恢复恶意行为；因为即使对于专业人，电子证据也难以理解且难以理解。现在，我们将重点研究计算机调查取证中的分析工作。

我们要分析什么

通常，在完成证据收集工作之后，我们将获得调查机器的媒体镜像。在很多情况下，我们还将获得一些内存内容集合，以及调查环境记录等提取的口头信息和条件。像传统证据一样，电子证据也应该准确，完整，并且只有具有足够信誉的证据才能被认可。如果将站点取证的磁盘映像连接到便携式计算机，并且可以直接浏览攻击日志，那将是很好的，但是在大多数情况下，我们运气不佳。 调查人员的技术水平越高，经验越丰富，获得有用证据的难度就越大。它们可能会被删除，或者隐藏在不容易找到的角落，或者可能已被加密。我们需要克服许多障碍才能挖掘证据。下面我们以最常见的情况为例，以调查计算机的硬盘镜像为例，介绍分析证据的基本方法。对于某些特殊情况，我们会在描述过程中为您提供特殊说明。

开始之前

首先，我们必须确认我们所分析的确实是镜像的副本，并且绝对不能在原始镜像上执行分析。我们可以更轻松地分析副本，而不必担心会损害原始证据。如果镜像副本已损坏，我们可以轻松创建另一个副本。在这里，我们建议在分析工作开始之前创建两个副本，一个用于立即开始的分析工作，另一个用于在发生事故时重建副本的“来源”。之所以创建第二个副本，是因为我们必须尽一切努力减少对原始图像的访问。这就是原理。

在开始正式分析之前，我们必须为磁盘映像生成MD5记录。必须先对图像进行任何操作，然后才能执行此工作。如果我们在图像中的文件上执行list命令，甚至打开File，列表将失去应有的价值。

基本分析-看我们带回来了什么

将磁盘映像连接到我们的分析工作站。让我们首先检查图像的分区格式，以大致了解需要使用的分析工具。很多时候，我们使用Linux之类的操作系统来挂载需要以只读格式分析的映像，这可以防止意外操作损坏映像。

然后，我们可以执行整个文件系统的遍历浏览，以大致了解调查系统的情况。如果我们在调查中位于攻击者的计算机上，则通过部署应用程序，我们可以了解其技术能力，甚至可以分析其破解系统的习惯；如果调查是受感染的Internet主机，即使我们无法发现隐藏的攻击工具也至少可以了解哪些内容可能对攻击者有吸引力。一个好的习惯是在分析的每个步骤将结果输出为文件。例如，使用以下命令在镜像中导出文件列表：ls / mnt / 20050102-alR> /home/forensic/list.txt。这样，我们不仅拥有易于检查的记录，而且可以在此列表中搜索文件名和时间，这对于后续的分析工作非常有帮助。

在进行分析之前，我们假设已对事件及其相关人员进行了调查。对信息的了解越充分，我们在分析证据时就越有目标。毕竟，能够缩小搜索范围比无目的地遍历节省了更多的时间。例如，可能有一些值得搜索的关键字。这些关键字可以是名称，数字或二进制程序的唯一指纹。关键字的选择需要特别注意。太常见的关键字将导致返回太多搜索结果，无法做进一步的工作。如果关键字不熟悉，您可能无法获得可用的结果或错过一些有用的内容。除了搜索数据内容之外，这些数据的时间属性还可以提供非常重要的信息。操作系统中的大多数文件都具有诸如创建时间，修改时间和上次访问时间之类的属性，这对于还原系统中发生的事件非常有帮助。例如，通过询问相关人员或查看日志文件，我们知道攻击大约在某一天的23:00左右发生，并且可以通过设置搜索条件来找出这段时间内在此范围内被修改的文件。为了获得进一步的证据。