1.2 计算机取证技术的发展

20世纪70年代，美国立法机关对联邦民事诉讼程序规则第34条等法律条文进行了相应的修改，以应对电子证据带来的问题。这可以说是计算机取证技术的开端[3]。当时，因为信息技术的应用还极其有限，只有极少数人，如信息系统开发人员、管理人员、极少数执法人员在工作中碰到这方面的事件，采取一些临时的措施来应对。

随着个人计算机的出现和逐渐普及，涉及计算机的犯罪事件与法律纠纷大量涌现。1984年，美国联邦调查局（FBI，Federal Bureau of Investigation）开始开发专门的计算机应用程序来检测计算机证据，随后，FBI还成立了计算机分析响应组（CART，Computer Analysis Response Team），其功能和结构被许多国家和机构效仿。这一时期的操作系统大多是Unix和DOS，Macintosh的操作系统和早期的Windows操作系统处理的介质是容量较小的软盘和磁盘等，普通用户开始使用电话拨号接入互联网。计算机取证中主要的参与者已经开始意识到需要制订相应的取证规范，开始开发初步的专用软硬件产品，培养相关的专业人员，成立专业部门完成计算机取证的任务。

后来，互联网逐渐普及，个人计算机更加深入社会生活的各个方面。计算机取证的需求大大增加，计算机取证技术有了突飞猛进的发展。政府、军事和情报部门对计算机取证技术倍加关注，企业界的兴趣同时也大大提升，逐渐出现许多专门从事计算机取证软硬件工具开发和销售的企业，出现了许多大型的专门取证软硬件产品。

从计算机取证技术开始出现到逐步发展的过程来看，其主要目的是应对实际应用需求，因此，其早期的关注重点是工具开发和技术实现层面。但在计算机取证逐步发展过程中，学术界开始逐渐参与，计算机取证的专业学术会议开始出现。研究和关注的主体也从个体发展到企业、机构和学术团体，特别是政府资助和成立了许多专业机构，有了训练有素、配备相关装备的专业队伍从事实际的计算机取证工作。

经过多年实际需求的刺激和持续的进步，计算机取证已经发展到相当高的程度。目前，国内外已经有众多的规模企业，无论是综合性的面向系统平台的企业级通用取证工具，还是具体针对某个信息系统应用的专门电子取证工具，市场上都有相应的产品供选择。同时针对云环境等新技术、新的取证需求、新的思路和方法仍然层出不穷。在学术研究方面，国内外有许多高校研究团队、科研机构活跃在计算机取证研究的前沿，DFRWS（Digital Forensics Research Workshop）、IFIP WG11.9（International Federation for Information Processing Working Group 11.9 onDigital Forensics）以及SADFE（Systematic Approaches to Digital Forensics Engineering）等学术组织，多年来也不断发展壮大，各种学术活动一直非常活跃。

计算机取证技术如今已经走过了几十年的发展历程，计算机取证技术理论研究发展迅速，实践内容日益丰富，其研究成果和独特的取证视角扩展了信息安全领域的研究方法，启发了研究与分析某些信息安全问题新的研究思路。计算机取证技术已经从一个局限于传统犯罪证据获取的领域，逐步发展成为信息安全中一个重要的实践与理论阵地。