电子证据是计算机和网络科技高速发展的产物，是将法律与高科技相结合的一种新形式的证据。电子证据的取证规则、取证方式都有别于传统证据，需要通过特定的技术手段进行分析和获取，因此在电子证据的取证过程中应当注意规范取证流程，遵循一定的原则和方法。

　　一、电子证据的取证程序应严格规范

　　1.证据现场的保护。取证人员进入现场后，应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离；保护好计算机日志，对数据进行备份，切断远程控制；封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份；提取涉案计算机硬盘、移动磁介质、光盘等，特别应注意对当事人随身携带的存储介质的提取。

　　2.证据的提取和固定。提取和固定电子证据时，一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏，只有这样，才能保证电子证据的真实性、完整性和安全性。在取证过程中，应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份，记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。

　　3.证据的分析。应当注意的是，所有的检查和分析工作应该在备份件上进行，以保证原始证据的可靠性和可信性。对电子证据进行数据分析，必须考虑计算机的类型，采用的操作系统，是否有隐藏的分区，有无可疑外设，有无远程控制、木马程序及当前计算机系统的网络环境。对数据进行全面的分析，还应该注意检查所有的日志文件，对在该系统上使用过的用户操作时间以及操作记录进行登记，查看可能进入或使用过该机器系统的可疑程序。

　　二、电子证据取证过程中应注意保持证据原始性

　　1.对原始数据进行备份后利用备份的数据进行分析，不能对原始数据直接进行分析。要在不破坏原始介质的前提下，对所获得的数据进行分析，从而提取出有效证据。为保证原始介质数据的完整性，在进行数据分析之前，必须对原始数据进行镜像拷贝，然后对拷贝进行分析。

　　2.对原始数据要进行冗余备份。电子证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于电子证据本身的不稳定性造成备份数据的丢失，另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析，提高取证效率。