如果有未經授權的入侵者入侵了你的網絡，且破壞了數據，除了從備份系統中恢復數據之外，還需要做什么呢？

　　從事網絡安全工作的人都知道，黑客在入侵之后都會想方設法抹去自己在受害系統上的活動記錄。目的是逃脫法律的制裁。

　　而許多企業也不上報網絡犯罪，其原因在于害怕這樣做會對業務運作或企業商譽造成負面影響。他們擔心這樣做會讓業務運作因此失序。更重要的是收集犯罪證據有一定困難。因此，CIO們應該在應急響應系統的建立中加入計算機犯罪證據的收集與分析環節。

什么是“計算機犯罪取證”？

　　計算機取證又稱為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術，按照符合法律規范的方式進行證據獲取、保存、分析和出示的過程。從技術上，計算機取證是一個對受侵計算機系統進行掃描和破解，以及對整個入侵事件進行重建的過程。

　　計算機取證包括物理證據獲取和信息發現兩個階段。物理證據獲取是指調查人員到計算機犯罪或入侵的現場，尋找并扣留相關的計算機硬件；信息發現是指從原始數據(包括文件，日志等)中尋找可以用來證明或者反駁的證據，即電子證據。

　　除了那些剛入門的“毛小子”之外，計算機犯罪分子也會在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標主機的日志文件，清理自己的工具軟件，或利用反取證工具來破壞偵察人員的取證。這就要求我們在反入侵的過程中，首先要清楚我們要做什么？然后才是怎么做的問題。

物理取證是核心任務

　　物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始數據不受任何破壞。無論在任何情況下，調查者都應牢記5點：(1)不要改變原始記錄；(2)不要在作為證據的計算機上執行無關的操作；(3)不要給犯罪者銷毀證據的機會；(4)詳細記錄所有的取證活動；(5)妥善保存得到的物證。如果被入侵的計算機處于工作狀態，取證人員應該設法保存盡可能多的犯罪信息。