计算机取证与司法鉴定PDF电子书下载

第1章 计算机取证与司法鉴定概论 1

1.1计算机取证与司法鉴定 1

1.1.1计算机取证 1

1.1.2计算机司法鉴定 1

1.1.3计算机取证与司法鉴定的研究现状 2

1.1.4国内外在该学科领域已经取得的成果和进展 3

1.1.5计算机取证与司法鉴定的证据效力和法律地位 6

1.1.6计算机取证与司法鉴定的特点 7

1.1.7计算机取证与司法鉴定的业务类型 8

1.2计算机取证与司法鉴定原则 9

1.2.1国内外的计算机取证与司法鉴定原则评介 9

1.2.2计算机取证与司法鉴定原则 10

1.2.3国外的计算机取证过程模型 14

1.3计算机取证与司法鉴定的实施 16

1.3.1实施步骤 16

1.3.2计算机证据的显示与质证 19

1.4计算机取证与司法鉴定的发展趋势及分析 20

1.4.1主机证据保全、恢复和分析技术 20

1.4.2网络数据捕获与分析、网络追踪 21

1.4.3主动取证技术 22

1.4.4计算机证据法学研究 23

1.5小结 24

习题 24

参考文献 24

第2章 计算机取证与分析鉴定相关的法学问题 25

2.1电子证据概述 25

2.1.1电子证据的界定 25

2.1.2电子证据的特点 29

2.1.3电子证据的法律定位 31

2.1.4电子证据的可采标准 35

2.2司法鉴定 36

2.2.1司法鉴定概述 36

2.2.2司法鉴定人 37

2.2.3司法鉴定机构和司法鉴定法律制度 39

2.2.4司法鉴定原则和方法 39

2.2.5鉴定意见 40

2.2.6司法鉴定的程序 41

2.2.7实验室认可 42

2.3直接证据与间接证据 44

2.3.1直接证据和间接证据的概念 44

2.3.2直接证据与间接证据的特点 46

2.3.3直接证据与间接证据的运用 46

2.3.4电子证据与直接证据和间接证据 47

2.4信息网络安全的法律责任制度 48

2.4.1刑事责任 48

2.4.2行政责任 50

2.4.3民事责任 51

2.5小结 54

习题 54

参考文献 55

第3章 数据恢复基础 56

3.1数据恢复 56

3.2数字证据调查过程 56

3.3硬盘结构 60

3.3.1硬盘外部结构 60

3.3.2硬盘内部结构 61

3.3.3硬盘逻辑结构 62

3.4硬盘数据组织 63

3.4.1低级格式化 63

3.4.2分区 64

3.4.3硬盘的高级格式化 64

3.4.4硬盘数据存储区域 64

3.5 NTFS文件系统 81

3.5.1 NTFS的DBR 82

3.5.2 NTFS的元文件 83

3.5.3 NTFS的元文件与DBR参数的关系 89

参考文献 92

第4章 从硬盘中恢复和提取数据 93

4.1 MBR修复 93

4.2分区恢复实例 93

4.3 DBR及FAT恢复实例 101

4.4 DATA恢复实例 113

参考文献 119

第5章 计算机取证与司法鉴定的基础 120

5.1数据加密 120

5.1.1密码学 120

5.1.2传统加密算法 121

5.1.3对称加密体系 121

5.1.4公钥密码体系 124

5.1.5散列函数 126

5.2数据隐藏 128

5.2.1信息隐藏原理 128

5.2.2数据隐写术 130

5.2.3数字水印 131

5.3入侵与追踪 133

5.3.1入侵与攻击手段 133

5.3.2追踪手段 136

5.4计算机取证与分析鉴定准备 139

5.4.1针对具体案例制定相应的响应计划 139

5.4.2设备准备 140

5.4.3保护现场和现场勘查 141

5.5计算机取证与分析鉴定设备 143

5.5.1计算机取证与分析鉴定硬盘拷贝机 143

5.5.2计算机取证与分析鉴定便携专用机 144

5.5.3计算机取证与分析鉴定设备接口套件 145

5.6密码破解 146

5.6.1密码破解原理 146

5.6.2一般密码破解方法 147

5.6.3分布式网络密码破解 147

5.6.4密码破解的应用部分 149

5.7计算机证据的检验、分析与推理 152

5.7.1计算机证据的鉴定 152

5.7.2计算机证据的分析 152

5.7.3计算机证据的推理 153

5.7.4证据跟踪 153

5.7.5结果提交 153

5.7.6计算机取证与分析鉴定工具 154

5.8小结 155

习题 155

参考文献 156

第6章 Windows系统的计算机取证和司法鉴定 157

6.1 Windows系统现场证据获取 157

6.1.1固定证据 157

6.1.2深入获取 161

6.2 Windows系统中电子证据获取 164

6.2.1日志 164

6.2.2文件和目录 167

6.2.3注册表 170

6.2.4进程列表 172

6.2.5网络轨迹 175

6.2.6系统服务 176

6.2.7用户分析 178

6.3证据获取／工具使用实例 180

6.3.1 EnCase 180

6.3.2 MD5校验值计算工具MD5sum 181

6.3.3进程工具pslist 183

6.3.4注册表工具Autoruns 184

6.3.5网络查看工具fport和netstat 185

6.3.6服务工具psservice 186

6.4小结 187

习题 188

参考文献 188

第7章 UNIX／Linux系统的计算机取证与司法鉴定 189

7.1 UNIX／Linux操作系统概述 189

7.1.1 UNIX／Linux操作系统发展简史 189

7.1.2 UNIX／Linux系统组成 190

7.2 UNIX／Linux系统中电子证据的获取 192

7.2.1 UNIX／Linux现场证据获取 192

7.2.2屏幕信息的获取 192

7.2.3内存及硬盘信息的获取 194

7.2.4进程信息 196

7.2.5网络连接 197

7.3 Linux系统中的计算机证据的分析 199

7.3.1数据预处理 199

7.3.2日志文件 200

7.3.3其他信息源 205

7.4 UNIX／Linux平台的电子证据处理工具 207

7.4.1 The Coroners Toolkit 207

7.4.2 Sleuth Kit 208

7.4.3 Autopsy 208

7.4.4 SMART for Linux 209

7.5小结 214

习题 214

参考文献 214

第8章 网络取证 215

8.1网络取证的定义和特点 215

8.1.1网络取证的定义 215

8.1.2网络取证的特点 216

8.2 TCP／IP基础 216

8.2.1 OSI开放系统互连参考模型 216

8.2.2应用层 219

8.2.3传输层 219

8.2.4 IP层 220

8.2.5硬件层 220

8.2.6网络取证中层的重要性 221

8.3网络取证数据源 221

8.3.1防火墙和路由器 221

8.3.2数据包嗅探器和协议分析器 222

8.3.3入侵检测系统 224

8.3.4远程访问 225

8.3.5安全事件管理软件 225

8.3.6网络取证分析工具 226

8.3.7其他来源 228

8.4收集网络通信数据 228

8.4.1技术问题 228

8.4.2法律方面 234

8.5检查和分析网络通信数据 234

8.5.1辨认相关的事件 235

8.5.2检查数据源 236

8.5.3得出结论 239

8.5.4攻击者的确认 240

8.5.5建议 241

8.6网络取证实例 242

8.6.1发现攻击 242

8.6.2初步分析 242

8.6.3现场重建 243

8.6.4取证分析 250

8.7小结 250

习题 250

参考文献 251

第9章 木马取证与分析鉴定 253

9.1木马简介 253

9.1.1木马的定义 253

9.1.2木马的特性 254

9.1.3木马的种类 254

9.1.4木马的发展现状 254

9.2木马的基本结构和原理 256

9.2.1木马的原理 256

9.2.2木马的植入 256

9.2.3木马的自启动 256

9.2.4木马的隐藏和Rootkit 257

9.2.5木马的感染现象 259

9.2.6木马的检测 260

9.3木马取证 260

9.3.1取证的基本知识 260

9.3.2识别木马 261

9.3.3证据提取 265

9.3.4证据分析 265

9.4典型案例分析 268

9.4.1 PC-share 268

9.4.2灰鸽子 271

9.4.3广外男生 274

9.4.4驱动级隐藏木马 275

9.5小结 279

习题 279

参考文献 279

第10章 手机取证 281

10.1手机取证概述 281

10.1.1手机取证的背景 281

10.1.2手机取证的概念 282

10.1.3手机取证的原则 282

10.1.4手机取证的流程 282

10.1.5手机取证的发展方向 284

10.2手机取证的基础知识 284

10.2.1移动通信相关知识 285

10.2.2 SIM卡的相关知识 289

10.2.3手机相关知识 291

10.3手机取证工具 294

10.3.1便携式手机取证箱CelIDEK 295

10.3.2 XRY系统 296

10.4小结 298

习题 298

参考文献 298

第11章 计算机取证与司法鉴定案例 299

11.1计算机取证与司法鉴定模型和流程 299

11.1.1计算机取证与司法鉴定模型 299

11.1.2计算机取证与司法鉴定流程 299

11.2“熊猫烧香”案件的司法鉴定 303

11.3计算机软件侵权的司法鉴定研究 311

11.4少女被杀案计算机线索获取研究 317

11.5全国首例网站联盟诈骗案件的鉴定与启示 320

附录A 鉴定意见书的格式 323

附录B Phase 2＋SIM （16K EEPROM）卡基本文件规格（支持STK功能） 325