【IT168 专稿】在计算系统遭到入侵的情况下，用户最关心的是多长时间能使系统恢复正常，因为系统或网络中断是带来损失的主要因素。很多机构的信息传达和通报系统一旦出现突发的信息中断，会导致大部分业务暂时或者长时间无法继续运行，将给整个业务带来无法挽回的损失，“零”时间恢复似乎成了大家追捧的响应策略。根据电子取证的工作目标，保留网络犯罪的现场证据也是必须要完成的工作使命，这就好比在刑事案件的现场一样，黄色警戒线代表着“案发现场，请勿破坏！”。

    一、什么是易丢性证据
    计算机存储器一般可分为断电后数据即消失的“易失性存储器”以及断电后数据仍然保留的“非易失性存储器”。这里的易失数据特指计算机系统和网络设备当前的工作状态。它们包括：服务器信息包括服务器角色、日志（如事件日志）、文件和应用程序；网络设备的内部和外部日志，如防火墙、路由器、代理服务器、网络访问服务器 (NAS) 和入侵检测系统 (IDS)等；网络硬件组件，如网络适配器（其中包括媒体访问控制 (MAC) 地址信息）和 PCMCIA 卡，以及硬盘、网络存储设备和可移动媒体。
切记！在系统关闭之前一定要将计算机系统和网络设备的易失性数据保存下来。对于操作系统而言，在制作司法鉴定系统映像之前，这些有可能反映犯罪信息的数据包括：

 系统事件和日期
 当前登录的用户列表
 用户访问的重要文件
 网络接口和路由表
 当前系统运行的进程
 注册表的实时活动
 套接字的活动信息和应用程序

    二、准备工具
    当然，要想正确的保存上述信息确实不是易事，不同的操作系统和不同厂商的操作命令有着明显的区别，Windows操作系统下的采集工具就包含了：

 Arp：显示地址解析协议 (ARP) 表
 Date：显示当前日期设置。
 Dir：示文件和子目录的列表。
 Doskey：显示打开的 CMD.EXE 外壳的命令历史。
 Ipconfig：显示本地计算机配置。
 Net：更新、确定或查看网络或网络设置。
 Netstat：显示协议统计信息和当前连接的信息。
 Time：显示当前时间设置。
 Schtasks：显示计划任务。
 Systeminfo：提供有关计算机的常规信息。
 Vol：显示磁盘卷标和序列号。
 Hostname：显示计算机的完整计算机名称的主机名部分。
 Openfiles：查询、显示或断开连接打开的文件或由网络用户打开的文件。
 Netcap：从命令行收集网络跟踪信息。
 Tasklist：列出运行中的进程和已加载的模块。
 MBSA：确定安全补丁状态和其他已知的漏洞。
 Rsop.msc：显示策略结果集。
 Rasdiag：收集有关远程服务的诊断信息，并将该信息置于文件中。

    除此以外，你还可以Sysinternals和其他厂商提供的外部工具，比如本文中将提到的PsList等。将这些工具单独刻录成取证光盘，而不是拷贝到问题主机上运行。最后，要取保你的光盘上的工具具有一个可信的Shell（cmd）工具。