WINDOWSR 取证企业计算机调查指南PDF电子书下载

第1章　Windows取证 1

1.1　企业计算机取证分析师 2

1.2　Windows取证 3

1.3　人、程序和工具 5

1.4　计算机取证：当前和未来 7

1.5　补充参考资源 8

第2章　处理数字犯罪现场 9

2.1　确认现场 10

2.2　执行远程调查 12

2.3　保护现场 14

2.4　记录现场 15

2.5　处理物理证据现场 16

2.6　处理数字证据现场 18

2.7　保管链 21

2.8　最佳证据 22

2.9　与执法机关共事 23

2.10　补充参考资源 24

第3章　Windows取证基础 25

3.1　历史和版本 26

3.1.1　MS-DOS 26

3.1.2 Windows 1.x、2.x和3.x 26

3.1.3 Windows NT和Windows 2000 27

3.1.4 Windows 95/98/Me 28

3.1.5 Windows XP/2003 28

3.2　非易失性存储器 31

3.2.1　软盘 31

3.2.2　磁带 35

3.2.3 CD和DVD 37

3.2.4 USB闪存驱动器 39

3.2.5　硬盘 42

3.3　补充参考资源 48

第4章　分区和文件系统 49

4.1　主引导记录 49

4.2 Windows文件系统 55

4.2.1 FAT 56

4.2.2 VFAT 60

4.2.3 NTFS 61

4.3　补充参考资源 80

第5章 目录结构和特殊文件 81

5.1 Windows NT/2000/XP 81

5.1.1 目录 81

5.1.2　文件 87

5.2　Windows 9x 92

5.2.1 目录 92

5.2.2　文件 92

5.3　补充参考资源 93

第6章 注册表 94

6.1 历史 94

6.2　注册表基础知识 95

6.3　注册表分析 99

6.3.1　常规注册表键 100

6.3.2　文件夹位置 103

6.3.3 自启动项目 105

6.3.4　智能表单 108

6.4　高级注册表分析 109

6.5　补充参考资源 112

第7章　取证分析 113

第8章　系统联机分析 115

8.1 隐秘分析 118

8.1.1　系统状态分析 118

8.1.2　监控 127

8.2　公开分析 138

8.2.1　基于GUI的公开分析 138

8.2.2　本地命令行分析 140

8.2.3　远程命令行分析 142

8.2.4　基本信息收集 144

8.2.5　系统状态信息 148

8.2.6　运行程序的信息 154

8.2.7 主存分析 158

8.3　补充参考资源 161

第9章　取证复制 164

9.1　硬盘复制 165

9.1.1　原地复制 167

9.1.2　直连复制 173

9.2　日志文件复制 177

9.3　补充参考资源 179

第10章　文件系统分析 180

10.1　搜索 180

10.1.1　索引搜索 181

10.1.2　按位搜索 185

10.1.3　搜索方法 187

10.2　散列分析 188

10.2.1　正散列分析 190

10.2.2　反散列分析 192

10.3　文件恢复 193

10.4　特殊文件 202

10.4.1　打印队列文件 202

10.4.2　Windows快捷方式 206

10.4.3　分页文件 207

10.5　补充参考资源 210

第11章 日志文件分析 212

11.1　事件日志 212

11.1.1　应用程序日志 215

11.1.2　系统日志 216

11.1.3　安全日志 218

11.2　因特网日志 220

11.2.1 HTTP日志 223

11.2.2　FTP日志 229

11.2.3 SMTP日志 231

11.3　补充参考资源 233

第12章　因特网使用分析 234

12.1 网络活动 234

12.1.1　IE浏览器 235

12.1.2　Firefox 246

12.1.3　工具栏历史 253

12.1.4　网络、代理和DNS历史记录 253

12.2　对等网络 253

12.2.1　Gnutella客户端 255

12.2.2　Limewire 258

12.2.3　FastTrack客户端 260

12.2.4　Overnet、eMule、eDonkey 2000客户端 261

12.3 即时消息 264

12.3.1　AOL Instant Messenger 264

12.3.2　Microsoft Messenger 266

12.4　补充参考资源 267

第13章　电子邮件调查 269

13.1 Outlook/Outlook Express 272

13.1.1　Outlook Express 272

13.1.2　Outlook 277

13.2　Lotus Notes 283

13.2.1　获取 285

13.2.2　访问控制与日志记录 286

13.2.3　分析 288

13.2.4　地址簿 289

13.3　补充参考资源 294

附录1 保管链表格的样例 295

附录2　主引导记录的结构 296

附录3　分区类型 297

附录4　FAT32引导扇区的结构 301

附录5　NTFS引导扇区结构 303

附录6　NTFS元文件 305

附录7　常见的安全标识符 306