和现实世界中的犯罪不同，网络中的犯罪行为可以在任一绐定的时间内在网络中的多个位置发生。这种犯罪活动和相关数字证据的分布性给隔离犯罪现场带来了困难。但是从另一方面来说，数字证据分布在网络中的多个计算机上对调查有一定好处，如果一台计算机上的数字证据被销毁，邢么还可以从其他计算机和备份磁带中找到。很多组织机构都定期备份自己的数字信息，甚至有些数据还在其他配备有安全防护的地方有第二份完整副本，这些数据也是证据的来源，关键在于台法地取得。

         (1)、来自网络服务器、网络应用主机的证据
        包括系统事件记录、系统应甩记录、网络服务器各种日志记录、网络应用主机的网页浏览历史记录、Cookies、收藏夹、浏览网页缓存等。有关主机（某操作系统平台）的取证信息对分析判断是必不可少的，所以也应注意结合操作系统平台的取证技术。

        (2)、来自网络通信数据的证据
        在网络上传输的网络通信数据可以作为证据的来源。U盘数据恢复 http://www.jdcok.com 这些数据可以反映计算机的工作状态以及行为人的行为。从网络通信数据中可以发现对主机系统来说不易发现的一些证据，这样可以形证据补充，或从另外的角度证实某个行为或事实从而相互印证。这一部分可以从网络协议层划分的角度来讨论证据获取与分析问题，如TCP/IIP协议簇。

       (3)、来自网络安全产品、网络设施的证据
       包括路由器、交换机、访问控制系统、专门性审计系统、防火墙、IDS系统等网络设备。

       (4)、来自专门的网络取证分析系统的证据
       指专门的网络取证分析系统产生的包括日志信息在内的结果。