網警抓***的主要技術是計算機取證技術，又稱為數字取證或電子取證。它是一門電腦科學與法學的交叉科學，是對計算機犯罪的證據進行獲取、儲存、分析和出示的一個過程。而***與網警較量的技術自然就叫計算機反取證技術，即刪除或者隱藏證據從而使網警的取證工作無效。 

網警破案的第一步是封鎖現場，讓調查人員來到計算機犯罪現場，尋找並扣留相關的計算機硬體。這一步在計算機取證上也叫物理證據獲取，一般網警在這一步做的主要事情是：保護暫存器、資料檔案、交換區、隱藏檔案、空閒磁碟空間、印表機快取、網路資料區、使用者程序儲存區、堆疊、日誌、緩衝區、檔案系統中的資料不被破壞和修改。還有就是獲取記憶體和硬碟中的資料，順序為先記憶體後硬碟，因為記憶體為易滅失資料而硬碟為相對穩定資料。對記憶體資料的獲取主要用記憶體檢查命令和記憶體資料分析工具（如記憶體資料分析編輯器）來實現，而硬碟資料的獲取也是通過專門的工具（如“美亞網警”多功能硬碟克隆機）對硬碟進行逐扇區的讀取，將硬碟資料完整地克隆出來；第二步是就是對保護和提取的資料進行分析，它的範圍包括現存的正常檔案、已經刪除但沒有被新檔案覆蓋的檔案、隱藏檔案、受到密碼保護的檔案及加密檔案等等。

網警分析資料常用手段

（1）用搜索工具搜尋所有的邏輯檔案Slack磁碟空間、自由空間、未分配的空間中所有特定的資料。打個比方說：在上午10點的時候發生了犯罪事件，那麼在使用搜索工具時肯定是首先搜尋記錄時間為10點左右的檔案。

（2）由於***在犯罪時會刪除資料，所以我們還要用資料恢復工具對沒有覆蓋的檔案進行恢復。

（3）對系統中所有加密的檔案進行解密。

（4）用MD5對原始證據上的資料進行摘要，然後把原始證據和摘要資訊儲存。 

上面就是網警在取證時所要進行技術處理的地方，然後根據分析的結果（如IP地址等等）來抓人。

網警在取證時常用到的專業軟體

檔案瀏覽器：專門用來檢視資料檔案的閱讀工具，只可以檢視但沒有編輯和恢復功能，可以防止資料的破壞，Quick View Plus是其中的代表。 

圖片檢查工具：ThumbsPlus是一個可以對圖片進行全面檢查的工具。 

反刪除工具：Easy Undelete是一款Windows下強大的資料恢復和反刪除軟體。 

文字搜尋工具：dtSearch是一個很好的用於文字搜尋的工具。 

驅動器映像程式：就是拷貝和建立驅動器的映像，可以滿足取證分析的磁碟映像軟體，包括：SafeBack SnapBack Ghost等等。 

Forensic Toolkit：是一系列基於命令列的工具，可以幫助推斷Windows NT檔案系統中的訪問行為。 

EnCase：主要功能有資料瀏覽、搜尋、磁碟瀏覽、資料預覽、建立案例、建立資料、 儲存案例等。 

CRCMD5：可以驗證一個或者多個檔案內容的CRC工具。 

DiskScrub：一個可以清除硬碟驅動器中所有資料的工具。 

DiskSig：用於驗證映像備份的精確性。 

FileList：一個磁碟目錄工具，用來建立使用者在系統上的行為時間表。 

GetSlack：一個周圍環境資料收集工具，用於捕獲未分配的資料。 

GetTime：一個周圍環境資料收集工具，用於捕獲分散的檔案。 

Net Threat Analyzer：網路取證分析軟體，用於識別公司賬號濫用。 

NTI-DOC：一個檔案程式，用於記錄檔案的日期、時間以及屬性。 

PTable：用於分析及證明硬碟驅動器分割槽的工具。 

Seized：用於對證據計算機上鎖及保護的程式。

ShowFL：用於分析檔案輸出清單的程式。 

TextSearch Plus：用來定位文字或者圖形軟體中的字串的工具。

通過上面的內容，相信大家對網警的取證工作有了一定的瞭解，取證的最終的目的就是要從海量的資料中提取出***犯罪後留下來的證據。