1.2 計算機取證技術的發展

20世紀70年代，美國立法機關對聯邦民事訴訟程序規則第34條等法律條文進行了相應的修改，以應對電子證據帶來的問題。這可以說是計算機取證技術的開端[3]。當時，因為信息技術的應用還極其有限，只有極少數人，如信息系統開發人員、管理人員、極少數執法人員在工作中碰到這方面的事件，采取一些臨時的措施來應對。

隨著個人計算機的出現和逐漸普及，涉及計算機的犯罪事件與法律糾紛大量涌現。1984年，美國聯邦調查局（FBI，Federal Bureau of Investigation）開始開發專門的計算機應用程序來檢測計算機證據，隨后，FBI還成立了計算機分析響應組（CART，Computer Analysis Response Team），其功能和結構被許多國家和機構效仿。這一時期的操作系統大多是Unix和DOS，Macintosh的操作系統和早期的Windows操作系統處理的介質是容量較小的軟盤和磁盤等，普通用戶開始使用電話撥號接入互聯網。計算機取證中主要的參與者已經開始意識到需要制訂相應的取證規范，開始開發初步的專用軟硬件產品，培養相關的專業人員，成立專業部門完成計算機取證的任務。

后來，互聯網逐漸普及，個人計算機更加深入社會生活的各個方面。計算機取證的需求大大增加，計算機取證技術有了突飛猛進的發展。政府、軍事和情報部門對計算機取證技術倍加關注，企業界的興趣同時也大大提升，逐漸出現許多專門從事計算機取證軟硬件工具開發和銷售的企業，出現了許多大型的專門取證軟硬件產品。

從計算機取證技術開始出現到逐步發展的過程來看，其主要目的是應對實際應用需求，因此，其早期的關注重點是工具開發和技術實現層面。但在計算機取證逐步發展過程中，學術界開始逐漸參與，計算機取證的專業學術會議開始出現。研究和關注的主體也從個體發展到企業、機構和學術團體，特別是政府資助和成立了許多專業機構，有了訓練有素、配備相關裝備的專業隊伍從事實際的計算機取證工作。

經過多年實際需求的刺激和持續的進步，計算機取證已經發展到相當高的程度。目前，國內外已經有眾多的規模企業，無論是綜合性的面向系統平臺的企業級通用取證工具，還是具體針對某個信息系統應用的專門電子取證工具，市場上都有相應的產品供選擇。同時針對云環境等新技術、新的取證需求、新的思路和方法仍然層出不窮。在學術研究方面，國內外有許多高校研究團隊、科研機構活躍在計算機取證研究的前沿，DFRWS（Digital Forensics Research Workshop）、IFIP WG11.9（International Federation for Information Processing Working Group 11.9 onDigital Forensics）以及SADFE（Systematic Approaches to Digital Forensics Engineering）等學術組織，多年來也不斷發展壯大，各種學術活動一直非常活躍。

計算機取證技術如今已經走過了幾十年的發展歷程，計算機取證技術理論研究發展迅速，實踐內容日益豐富，其研究成果和獨特的取證視角擴展了信息安全領域的研究方法，啟發了研究與分析某些信息安全問題新的研究思路。計算機取證技術已經從一個局限于傳統犯罪證據獲取的領域，逐步發展成為信息安全中一個重要的實踐與理論陣地。