计算机取证的基本概念
    计算机取证资深专家Robbins 给出了如下的定义：计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提取上。计算机紧急事件响应组和取证咨询公司New Technologies 进一步扩展了该定义：计算机取证包括了对以磁介质编码信息方式存锚的计算机证据的保护、确认、提取和归档。美国系统管理和网络安全协会( System Administration ， Networking, and Security Institute， SANS) 则归结为：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。
    Enterasys 公司CTO、办公室网络安全设计师Dick Bussiere 则认为，计算机取证( Computer F orensics) 也可以称作计算机医学，是指将计算机系统视为犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法军式的揭破，搜寻确认罪犯及其犯罪证据，并据此发起诉讼的过程和技术。该定义强调了计算机取证和法医学的关联性。
    综合以上定义认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程，它能推动和促进犯罪事件的重构，或者帮助预见有害的未经授权的行为。
    若从一种动态的观点来看，计算机取证可归纳为以下几点:
    ·是一门在犯罪进行过程中或之后收集证据的技术；
    ·需要重构犯罪行为；
    ·将为起诉提供证据；
    ·对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。
    计算机取证在于打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取近是计算机领域和法学领域的一门交叉科学，被广泛应用于计算机犯罪和事故，包括网络入侵、知识产权盗用和网络欺骗等。随着人们生活对电子产品和网络的依赖，计算机取证必将逐渐应用到生活的方方面面。
    从技术角度看，计算机取证是提取和分析硬盘、光盘、软盘、Zip 磁盘、U 盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、分析、提取和归档。取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。