计算机取证的重要性是很显然的。

　　除了没电脑的家庭个人之外，有电脑的家庭个人，还有几乎所有的公司、事业单位、政府机关、组织，要保存自己的信息，同时有选择地给他人共享。

　　除了手机数量国内是全球第—之外，网民数量亦在全球第一。

　　因此，移动智能终端，和网站服务器，是网民经常使用和光顾的所在。几乎第一概念、第一时间，就会联想到“三网合一”。即电信移动网，电视网，计算机网络。

　　手机看电视的同时，可以以此为平台进行用户之间的交互。计算机网络中的专网，主要涉及各种能源网络是非常值得关注的。

　　那么，面对如此复杂的计算环境和用户环境，计算机取证有什么轨迹可寻呢？

　　第一，数据和用户的关联性。此用户，既可包括具体的个人和群体，又指使用帐号密码者，是虚拟的用户的概念，后者的核心是以其操作行为为取向的。

　　法律讲究“责任、权利、义务”，就必须要将责任锁定到具体的用户及其行为。

　　但这是非常困难的。

　　再阐明，就是要用证据证明：“这一计算机相关联的行为，是这一用户所作”。

　　第二，存储组织。

　　１、可能你即使读取到硬盘和Ｕ盘上的数据，都不能作为法庭证据。要证明获取手段是合法的，并且要证明获取的正是所需。

　　２、不管是用已有的程序，还是用自行编写的程序获取硬盘数据，都首先必须证明该程序合法、正确。

　　３、这类程序都是承载在现有的计算机操作系统之上的。要理解这些内容。至少对ＥＸＥ文件结构要充分了解。

　　４、犯事都是用某种能够运行的智能程序所为，对此种智能程序要建立历史数据库（既保存各种不同的版本），能够搭建犯罪现场的平台；同时，要有回溯机制，这样才能一步步进行分析。

　　５、硬盘的证据数据都是犯事程序所为，必须证明这一点。

　　６、硬盘的证据数据都是犯事者使用或者利用犯事程序所为，也必须证明这一点。

这即是开宗明义所提的“关联性”。

　　第三，日期和时间。

　　记叙文记叙事件时，都有“ＨＯＷ，ＷＨＹ，ＷＨＡＴ，ＷＨＯ，ＷＨＥＲＥ，ＷＨＥＮ，ＷＨＯＭ”这些因素，如果不能确认这些证据数据的时间，是不行的。

　　只有按照操作系统组织的数据，才会有日期和时间。包括建立时间，最新修改时间。

　　象操作系统ＵＮＩＸ，还有文件的主要的授权信息，如拥有者，读者，写者，执行者。

　　第四、需要充分、深入地利用操作系统。

　　可以用旁证的方法。既作同样的操作，产生同类型的数据。

　　第五、程序。

　　１、犯事者是利用程序，取证者同样是利用相关的程序，而受害者可能也是利用这一程序。

　　２、这种程序对取证必须证明是安全的。

　　第六、数据比较与识别。

　　１、自然会涉及到数据的比较。

　　２、要由程序来做。

　　３、要认证这类程序本身至少不会破坏证据数据，即编程分析时，必须保证证据数据的完整性。

　　４、程序必须是“必须且只须的”，不能有冗余。由于这种证据处理程序是可能要经过试探的，所以很难。而且，试编证据处理程序肯定主要是对证据数据的复本进行的，没有任何迹象能够保证在真正对硬盘和Ｕ盘的证据数据进行分析处理时，不会损坏证据，造成无可挽回的后果。

　　５、数据比较时，程序比较时，如果不能完全相等的情况。

　　第七、数据的组织。

　　１、数据本身的结构。

　　２、保证证据数据获取的完整性，最好能够证明完整的民事行为或刑事行为。

　　３、数据存储在什么存储体系中。

　　４、数据的文件格式。需要什么功能和性能、及需求说明书限定的程序才能打开，包括读和写的有序和无序集合。

　　５、数据的物理形式。

　　６、数据的保护，即使是诉讼完毕之后，数据也要保存一段时间。

　　７、将证据数据备份的方式的有效性和合法性。