（1）数据获取技术。一是对计算机系统

文件的安全获取技术。这种技术主要研究如何在全面获取数据的同时

避免对原始介质进行破坏和干扰。二是对已经删除被破坏的数据的获取。这种技术主要包括对已删除文件的恢复、重建技术；对 slack磁盘空间、未分配空间、缓存和自由空间的信息发掘技术；对交换文件、缓存文件、临时文件的复原技术；对阴影技术的重新获取技术等。(2)数据分析

技术。一是日志分析技术。通过日志分析，可以了解系统受到了哪些攻

 击以及哪些远程主机访问了该主机。这可以帮助侦查人员确定作案时间

以及作案过程。二是根据已获得的文件或数据的词、语法和写作(编程)

风格，推断出其可能的作者。这对于确定有害程序的原始作者极为重要。