当前位置:首页 > 政治法律
计算机取证调查指南
计算机取证调查指南

计算机取证调查指南PDF电子书下载

政治法律

  • 电子书积分:16 积分如何计算积分?
  • 作 者:(美)BillNelson等著
  • 出 版 社:重庆:重庆大学出版社
  • 出版年份:2009
  • ISBN:9787562446484
  • 页数:529 页
图书介绍:本书介绍了计算机取证与调查的历史、数字调查技术。包括:文件结构、数据恢复技术、专家指证技术与方法。此外,还包括了相关的基础知识。如:数字调查方法及其应用、保存证据方法等。
《计算机取证调查指南》目录

第一章 计算机取证和调查专业介绍 1

了解计算机取证 2

计算机取证与其他相关学科 3

计算机取证历史简介 4

开发计算机取证资源 6

为计算机调查做准备 7

了解执法机构调查 9

了解企业调查 11

维护职业道德 16

本章小结 17

关键术语 18

复习题 19

练习题 20

案例题 21

第二章 理解计算机调查 23

为计算机调查做准备 24

调查一起计算机犯罪 24

调查一起违反公司制度的案件 26

采取系统化方法 26

评估案件 27

制订调查计划 29

确保证据的安全 32

了解数据恢复工作站与软件 33

建立计算机取证工作站 35

展开调查 38

收集证据 39

创建一张取证引导软盘 40

准备好制作一张取证启动盘所需的工具 40

通过远程网络连接来恢复取证数据 45

拷贝证据磁盘 45

使用FTK Imager创建位流镜像文件 48

分析数字证据 48

结束案件 54

对案件进行评估 56

本章小结 56

关键术语 57

复习题 58

练习题 59

案例题 64

第三章 调查人员的办公室与实验室 65

了解取证实验室的认证要求 66

明确实验室管理者和实验室工作人员的职责 66

实验室预算方案 67

获取认证与培训 70

确定计算机取证实验室的物理布局 72

确定实验室安全需求 72

展开高风险调查 73

考虑办公室的人体工程学 74

考虑环境因素 75

考虑结构设计因素 76

确定实验室的电力需求 77

制订通信计划 78

安装灭火系统 78

使用证据容器 79

监督实验室的维护 80

考虑物理安全需求 80

审查计算机取证实验室 81

确定计算机取证实验室的楼层计划 81

选择一个基本取证工作站 83

为警察实验室选择工作站 83

为私人实验室和企业实验室选择工作站 84

储备硬件外围设备 84

为操作系统和应用软件做好详细清单 85

运用灾难恢复计划 85

为设备升级制订计划 86

使用笔记本取证工作站 86

为取证实验室的发展确定业务状况 86

为计算机取证实验室准备一份业务需求报告 88

本章小结 91

关键术语 92

复习题 93

练习题 94

案例题 95

第四章 目前的计算机取证工具 97

计算机取证软件需求 98

计算机取证工具的类型 98

计算机取证工具的执行任务 99

工具比较 106

针对工具的其他需要考虑的事项 108

计算机取证软件 108

命令行取证工具 108

UNIX/Linux命令行取证工具 109

GUI取证工具 109

计算机硬件工具 110

计算机调查工作站 110

验证并测试取证软件 113

使用NIST(国家标准与技术研究院)工具 113

验证协议 115

本章小结 116

关键术语 117

复习题 117

练习题 118

案例题 126

第五章 处理犯罪和事故现场 128

收集私营部门事故现场的证据 129

处理执法犯罪现场 132

理解在搜查令中使用的概念和术语 134

为查找证据做准备 134

鉴定案件性质 134

鉴别计算机系统的类型 135

确定是否可以查封一台电脑 135

获取一份详尽的犯罪地点的描述 135

确定谁是主管 136

使用辅助技术专家 136

确定需要的工具 137

组建调查小组 139

保护计算机事故或犯罪现场 140

在现场获取数字证据 141

处理一个主要的事故或犯罪现场 141

使用RAID陈列处理数据中心 143

在事故或犯罪现场采用技术顾问 144

民事调查案例 144

刑事调查案例 145

审阅一个案件 146

鉴别案件需求 147

规划你的调查 148

取证工具包(AccessData FTK) 150

本章小结 160

关键术语 161

复习题 162

练习题 163

案例题 164

第六章 数字证据保全 166

鉴别数字证据 167

理解证据法规 167

保护事故现场的数字证据 170

分类数字证据 172

实验室证据需要考虑的事项 173

处理和管理数字证据 173

存储数字证据 174

证据保留和介质存储需求 175

存档证据 175

获取数字散列 176

本章小结 181

关键术语 181

复习题 182

练习题 183

案例题 187

第七章 在Windows和DOS系统下工作 188

了解文件系统 189

了解引导顺序 189

了解磁盘驱动器 190

探讨Microsoft文件结构 192

磁盘分区 192

主引导记录 195

检测FAT磁盘 195

检测NTFS磁盘 199

NTFS系统文件 201

NTFS属性 202

NTFS数据流 203

NTFS压缩文件 204

NTFS加密文件系统(EFS) 204

EFS恢复钥代理 205

删除NTFS文件 205

了解Windows注册表 206

Windows 9x注册表 207

Windows 2000和XP注册表 207

了解Microsoft引导任务 209

Windows XP、Windows 2000以及NT启动 209

Windows XP系统文件 210

Windows 9x和ME启动 211

了解MS-DOS启动任务 212

其他磁盘操作系统 213

DOS命令和批处理文件 214

本章小结 217

关键术语 217

复习题 221

练习题 222

案例题 226

第八章 Macintosh与Linux引导过程和文件系统 227

了解Macintosh文件结构 228

了解卷 228

探讨Macintosh引导任务 230

使用Macintosh取证软件 231

检测UNIX和Linux磁盘结构 231

UNIX和Linux概述 235

了解i节点 239

了解UNIX和Linux引导过程 242

了解Linux Loader和GRUB 242

UNIX和Linux驱动器和分区方案 243

检测CD数据结构 243

了解其他磁盘结构 245

检测SCSI磁盘 245

检测IDE/EIDE设备 246

本章小结 250

关键术语 251

复习题 253

练习题 254

案例题 256

第九章 数据提取 257

确定最好的数据提取方法 258

考虑数据恢复中的意外事故 259

使用MS-DOS数据提取工具 260

了解DriveSpy如何访问扇区 260

使用DriveSpy数据保存命令 262

使用Drive5py数据处理命令 268

使用Windows数据提取工具 271

AccessDate FTK Imager 272

使用X-Ways Replica 275

使用Replica 275

PDA数据提取 277

PDA调查中的综合考虑 278

使用其他证据提取工具 280

探讨SnapBack DatArrest 280

探讨SafeBack 281

探讨EnCase 281

本章小结 282

关键术语 283

复习题 283

练习题 284

案例题 291

第十章 计算机取证分析 293

了解计算机取证分析 294

优化调查方案 294

使用DriveSpy分析计算机数据 295

DriveSpy命令开关 301

DriveSpy关键词搜索 301

DriveSpy脚本 302

DriveSpy数据完整化工具 304

DriveSpy残留数据收集工具 306

其他有用的DriveSpy命令工具 306

使用其他Digital Intelligence计算机取证工具 307

使用PDBlock和PDWipe 308

使用AccessData’s取证工具包 308

使用Guidance Software的EnCase 314

计算机取证案件的处理方法 319

执行计算机取证分析 320

组建取证工作站 321

在Microsoft的文件系统上完成取证分析 322

UNIX和Linux取证分析 329

Macintosh调查 331

掌握数据掩密技术 331

隐藏分区 332

标记坏簇 334

位移 334

使用掩密技术 337

检查加密文件 338

修复密码 338

本章小结 339

关键术语 340

复习题 341

练习题 342

案例题 348

第十一章 恢复图像文件 350

恢复图像文件 351

了解位图和光栅图像 351

了解向量图 352

了解图元文件图形 352

了解图形文件格式 352

了解数据压缩 353

回顾有损和无损压缩 354

定位并恢复图像文件 354

鉴别图像文件片段 355

恢复已损的文件头 355

从未分配空间中剪切数据 356

重建文件头 361

重建文件片段 364

鉴别未知文件格式 371

分析图像文件的头 373

图像浏览工具 374

了解图像文件中的掩密技术 375

使用掩密分析工具 378

鉴定图形的版权问题 379

本章小结 380

关键术语 381

复习题 382

练习题 383

案例题 387

第十二章 网络取证 389

了解因特网的基本原理 390

因特网协议 390

了解网络基础 391

在Linux计算机上提取数据 392

了解网络取证 399

网络取证的方法 399

网络日志 400

使用网络工具 402

UNIX/Linux工具 403

网络嗅探器 406

蜜网项目 407

本章小结 409

关键术语 409

复习题 410

练习题 410

案例题 411

第十三章 电子邮件调查 413

在电子邮件里探究客户端和服务器的作用 414

调查电子邮件犯罪和违规行为 415

识别电子邮件犯罪和违规行为 415

审查电子邮件消息 416

检查电子邮件头部 418

审核电子邮件头部 426

审核附加的电子邮件文件 428

追踪电子邮件消息 429

利用与电子邮件相关的网络日志 429

了解电子邮件服务器 430

审查UNIX电子邮件服务器日志 432

审查微软电子邮件服务器日志 434

审查Novell GroupWise电子邮件日志 436

运用专业的电子邮件取证工具 438

本章小结 440

关键术语 441

复习题 441

练习题 443

案例题 446

第十四章 成为一个专家型证人并书写调查结果报告 448

理解报告的重要性 449

报告要明确 449

报告类型 450

书写报告的准则 453

报告结构 454

报告要简明扼要 455

设计报告的编排和陈述 456

使用取证软件工具生成报告结果 460

使用FTK演示版 461

形成专家意见 469

准备证词 470

存档和准备证据 471

处理证据 472

成为咨询专家或专家证人 473

创建和维护简历 473

准备好技术解释 474

法庭作证 474

了解审判程序 474

使证言和誓词具有法律效力 475

解决潜在的问题 475

常规作证 476

提出证据 477

帮助你的律师 478

回避证言问题 478

在主询问中作证 478

使用图表作证 479

在反询问中作证 480

作证时要讲究职业道德 482

理解原告的不当行为 482

准备笔录证词 482

在笔录证词中的作证的指导方针 483

了解笔录证词的相关问题 483

公开发表信息:与记者打交道 484

本章小结 485

关键术语 485

复习题 486

练习题 489

案例题 493

附录A 证书考试介绍 494

IACIS证书 494

IACIS计算机取证技能要求 495

查找URLs 495

附录B 计算机取证参考 498

针对计算机调查员的快速参照表 498

DriveSpy命令开关参照表 498

UNIX和Linux通用的外壳程序命令 499

DriveSpy脚本范例 501

FAT目录结构的综述 502

DOS脚本的范例 507

计算机取证参考 512

MS-DOS参考书 513

附录C 企业高科技调查规范 514

调查的程序 514

职员解雇案件 514

律师与当事人之间秘密特权的调查 516

媒体泄漏调查 517

工业间谍调查 518

在高科技调查中的面谈和审问 520

术语表 521

返回顶部