准备镜像工具
    在采集证据的过程中最主要的工作就是对各种介质进行镜像。

    用磁盘镜像工具（如Safe back、SnapBack DatArret 和DIBS RAID等）对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理，万一对收集来的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原始状态，作为分析数据的原始参考数据，使得分析的结果具有可信性。

    UNIX环境下，dd是能够完成这项工作的通用命令，尽量在你的工具包里包含各种类型、各种版本UNIX系统的dd命令，通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件，我们也可以选择Ghost来完成这项工作。

    准备存储装置
    用于存放证据的存储介质一定要事先进行处理，使用公认可靠的数据擦除软件进行擦除，以避免介质中的残余数据对证据的分析和取信造成影响。在存储证据时，最常用的硬件设备是移动硬盘，除了应该具备尽量大的容量之外，硬盘盒的接口也应该尽量丰富，至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了移动硬盘之外，软盘、Zip软盘、MO、CD-R等存储介质也应该尽量充实到你的工具箱中，因为我们实在无法知道被调查的机器到底具有怎样的外设。

    百宝箱
    目前在国内外的计算机取证产品中，已经出现了许多不同功能、不同外观的取证工具箱，所有这些取证设备依据其功能和形式主要分为三种：改装型、工控型和组合型。

    改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内，优化各接口的连接方式，将全部端口引于面板上，便于设备的连接使用。由于普通笔记本计算机无法直接连接并快速获取IDE硬盘数据，因此这种取证箱的最大优点是便于对硬盘数据的预览和获取。

    工控型主要利用工业控制机可携带，扩展方便的特点，利用各种PCI功能扩展卡增强计算机的功能。此种设备端口齐全，具有防震设计。缺点是体积大且重，不易伪装。

    组合型将各种常见的取证设备合理搭配，放置于特制的箱包中，组成功能全面的取证系统。主流方案是采用笔记本计算机，配合各种移动存储介质和专业计算机取证器材，实现对不同信息存储介质的检查与获取。这种方案优点是端口齐全，各种设备使用灵活，便于伪装和携带。

    除了这些，现在市场上还可以购买到很多专用的调查设备，比如以Forensic MD5为代表的手持式取证设备，以及Forensic Computer出品的便携式取证箱等等，这些产品在复制数据的时候速度很快，具备丰富的让你不敢相信的接口，可以应付各种取证要求，而且便于携带，是计算机取证人员真正的百宝箱。如图1所示。

 
图1Portable Computer Forensic Kit

    针对Windows 系统安全工具
    Sysinternals 网站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年为了存放其高级系统实用程序和技术信息而创办，并于 2006 年 7 月被 Microsoft 收购。无论您是 IT 专业人员还是安全领域的入门者，都会发现 Sysinternals 实用程序对管理、故障排除和计算机系统安全事件调查都十分实用。在计算机犯罪证据采集和计算机安全加固领域，尤其是对Windows操作系统的支持达到了一个新的历史高度。Windows Sysinternals包含六大方面的内容：

 文件和磁盘实用程序：用于查看和监控对文件与磁盘的访问及使用的实用程序；
 网络：涵盖了从连接监控器到资源安全分析器的网络工具；
 进程与线程：用于揭示哪些进程正在执行及其所耗费的资源的实用程序；
 安全实用程序：安全配置和管理实用程序，包括 Rootkit 和间谍软件查杀程序；
 系统信息：用于查看系统资源的使用和配置的实用程序；
 其他：各种实用程序的集合，其中包括屏幕保护程序、演示文档辅助工具和调试工具。