電子數據取證技術

目錄

第1章電子數據取證技術概述

1.1網絡犯罪及其主要特點

1.1.1電腦犯罪與網絡犯罪

1.1.2常見的網絡犯罪的形式

1.1.3網絡犯罪的特點

1.2電子數據的概念

1.2.1電子證據

1.2.2電子數據

1.3電子數據的常見類型

1.3.1電腦數據類證據

1.3.2通信數據類證據

1.3.3靜態電子數據證據和動態電子數據證據

1.3.4電子設備生成的電子數據

1.3.5數字電文數據

1.3.6封閉和開放系統中的電子數據

1.3.7電子數據和再生性電子數據

1.3.8根據現行法律對電子證據的分類

1.3.9新型電子數據

1.4電子數據的特點

1.5電子數據取證

1.5.1電子數據取證的概念及特點

1.5.2電子數據取證的對象

1.6電子數據取證過程

1.6.1電子證據的保全

1.6.2電子數據獲取

1.6.3數據恢復

1.6.4證據分析

1.7電子數據取證的發展

1.7.1國外電子數據取證發展概況

1.7.2國內電子數據取證發展概況

1.7.3電子數據取證技術的發展

1.8電子數據取證的特點

1.9電子數據取證人員的素質要求

1.9.1電子數據取證人員應具備的知識

1.9.2電子數據取證人員應具備的能力

習題

第2章電子數據取證的基本規則

2.1電子數據取證的基本原則

2.1.1IOCE提出的電腦取證原則

2.1.2ACPO提出的電腦取證原則

2.1.3電子數據取證應遵循的原則

2.2電子數據取證規則

2.2.1電子數據的收集與提取

2.2.2電子數據的檢查和偵查實驗

2.2.3電子數據真實性的認定

2.3電子數據取證的一般流程

2.3.1案件受理

2.3.2現場保護與外圍調查

2.3.3電子數據獲取與固定

2.3.4電子數據分析

2.3.5報告和歸檔

習題

第3章電子數據取證基礎知識

3.1電腦基礎知識

3.1.1電腦系統的組成

3.1.2電腦中信息的表示

3.1.3虛擬化與雲計算

3.1.4大數據

3.1.5人工智能

3.1.6集成電路技術

3.2電腦硬件

3.2.1典型電腦系統的硬件組成

3.2.2中央處理器

3.2.3存儲器

3.2.4總線與I/O接口

3.2.5輸入/輸出設備

3.2.6智能手機的硬件

3.3操作系統

3.3.1操作系統概述

3.3.2操作系統的資源管理

3.4電腦網絡

3.4.1電腦網絡概述

3.4.2電腦網絡的分層模型及數據單元

3.5數字媒體

3.5.1文本

3.5.2圖形與圖像

3.5.3數字音頻

3.5.4數字視頻

3.6數據庫

3.6.1數據庫基礎

3.6.2數據倉庫與數據挖掘

3.6.3關系數據庫

習題

第4章Windows操作系統取證技術

4.1Windows操作系統取證概述

4.1.1Windows操作系統的發展

4.1.2註冊表的取證

4.1.3事件日誌的取證

4.1.4捲影復制的取證

4.1.5時間信息的取證

4.2磁盤與文件

4.2.1捲與分區

4.2.2獨立冗餘磁盤陣列

4.2.3文件系統

4.2.4EFS加密

4.2.5文件取證

4.3數據的提取和固定

4.3.1前期準備

4.3.2在線取證

4.3.3離線取證

4.4數據恢復

4.4.1數據恢復的原理

4.4.2常見類型和方法

4.5數據分析

4.5.1系統痕跡

4.5.2用戶痕跡

4.5.3內存分析

4.5.4反取證痕跡 

習題

第5章macOS取證技術

5.1macOS取證概述

5.1.1Mac的發展

5.1.2Apple T2安全芯片

5.1.3macOS的發展

5.2macOS的系統特性

5.2.1系統架構

5.2.2時間戳

5.3文件系統

5.3.1捲與分區

5.3.2根目錄

5.3.3文件系統的發展

5.3.4文件保險箱

5.3.5關鍵文件格式

5.4數據的提取與固定

5.4.1準備工作

5.4.2在線取證

5.4.3離線取證

5.5數據的分析

5.5.1用戶域

5.5.2用戶與群組

5.5.3主目錄

5.5.4資源庫

5.5.5鑰匙串

5.5.6系統痕跡

5.5.7用戶痕跡

5.5.8時間機器

5.5.9常用工具

習題

第6章UNIX/Linux操作系統取證技術

6.1操作系統發展簡介

6.1.1單機應用時代的操作系統

6.1.2網絡時代的操作系統

6.2UNIX/Linux操作系統取證概述

6.2.1UNIX操作系統簡介

6.2.2Linux操作系統簡介

6.3Linux操作系統特性

6.3.1文件系統

6.3.2重要目錄

6.3.3常用命令

6.3.4日誌分析

6.3.5Linux日誌分析

6.3.6不同類型案件取證

習題

第7章移動終端取證技術

7.1移動通信概述

7.1.1運營商的發展

7.1.2智能手機操作系統

7.1.3移動終端的發展

7.2取證對象

7.2.1用戶識別卡

7.2.2鑒權碼

7.2.3手機存儲卡

7.2.4備份與雲服務

7.2.5取證流程

7.2.6取證方法

7.3iOS設備取證

7.3.1iOS設備取證概述

7.3.2文件系統

7.3.3SQLite數據庫

7.3.4加密與解密

7.3.5數據的提取與固定

7.3.6數據的恢復

7.3.7數據的分析

7.4Android設備取證

7.4.1Android設備取證概述

7.4.2文件系統

7.4.3加密與解密

7.4.4數據的提取、固定與分析

7.5其他智能設備取證

7.5.1Apple Watch取證

7.5.2小米手環取證

習題

第8章網絡取證技術

8.1網絡取證定義

8.1.1網絡取證的特點

8.1.2網絡取證模型

8.1.3網絡證據數據源

8.1.4網絡證據分析

8.1.5對取證人員的要求

8.2服務提供端取證

8.2.1日誌信息的主要功能

8.2.2Web服務器日誌和配置文件分析

8.2.3Apache日誌的配置文件分析

8.2.4IIS日誌和配置文件分析

8.2.5數據庫日誌和配置文件分析

8.3客戶端取證

8.3.1註冊表分析

8.3.2日誌分析

8.3.3瀏覽器取證

8.4局域網取證

8.4.1局域網監聽的基本原理 

8.4.2局域網監聽的實現及取證方法

8.5無線網絡取證

8.5.1無線網絡取證的基本思路

8.5.2無線網絡的取證對象

8.5.3無線網絡的取證種類

8.5.4移動客戶端的痕跡分析

8.5.5無線網絡設備的痕跡分析

8.6網絡數據包分析

8.6.1數據包嗅探器工作原理

8.6.2數據包捕獲

8.6.3典型數據包分析

8.7雲端數據取證

8.7.1雲取證概述

8.7.2證據來源及重點關註的問題

8.7.3證據源的收集及分析

習題

參考文獻