电子数据取证PDF电子书下载

第1章 电子数据取证概述 1

1.1 网络犯罪与网络安全 1

1.2 电子数据概述 3

1.2.1 电子数据的定义 3

1.2.2 电子数据的理论基础 4

1.2.3 电子数据的来源 4

1.2.4 电子数据的特点 5

1.3 电子数据取证概述 6

1.3.1 电子数据取证的发展 6

1.3.2 电子数据取证的概念 7

1.3.3 电子数据取证的应用领域 7

1.3.4 电子数据取证架构 8

1.3.5 电子数据取证与应急响应的区别 9

1.3.6 电子数据取证与公证的区别 9

1.3.7 电子数据取证与数据恢复的区别 9

1.4 国内外电子数据取证的发展概况 10

1.4.1 国外电子数据取证发展概况 10

1.4.2 我国电子数据取证发展概况 11

1.4.3 电子数据取证的学术发展 12

1.5 电子数据取证面临的困难 12

1.6 电子数据取证人员的素质要求 13

1.6.1 取证技术与意识 13

1.6.2 法律素养 13

1.6.3 职业道德 13

1.7 电子数据取证的发展趋势 14

1.8 本章小结 14

思考题 15

第2章 电子数据取证基础知识 16

2.1 计算机基础知识 16

2.2 计算机硬件知识 18

2.3 存储介质基础知识 20

2.3.1 机械硬盘 20

2.3.2 闪存 21

2.3.3 存储器指标 22

2.4 网络基础知识 26

2.4.1 网络的分类 26

2.4.2 网络体系结构 27

2.4.3 网络协议 28

2.5 操作系统 29

2.5.1 主要操作系统简介 30

2.6 数据组织 32

2.6.1 数据组织的常识 32

2.6.2 分区结构 34

2.6.3 文件系统 35

2.7 数制 40

2.7.1 数制 40

2.7.2 数制间的转换 41

2.8 数据的存储单位 41

2.9 数据获取 42

2.9.1 数据获取 42

2.9.2 数字校验 43

2.10 文件过滤 44

2.11 数据搜索 45

2.11.1 字节顺序 45

2.11.2 编码与解码 46

2.11.3 关键词搜索 48

2.12 数据恢复原理 49

2.12.1 逻辑数据恢复原理 50

2.12.2 物理修复原理 53

2.13 数据分析 54

2.13.1 数字时间原理 54

2.13.2 文件挖掘 58

2.13.3 网络数据分析 59

2.14 密码破解 60

2.14.1 密码学基础 60

2.14.2 解密原理与方法 61

思考题 61

第3章 电子数据的法律规则和标准体系 63

3.1 电子数据的法律规则 63

3.1.1 英美法系 63

3.1.2 大陆法系 65

3.2 我国关于电子数据的相关立法 66

3.2.1 法律 66

3.2.2 司法解释 67

3.2.3 规范性文件 68

3.3 部门和行业对于电子数据的相关规定 69

3.4 电子数据与其他证据的区别 69

3.4.1 电子数据与视听资料的区别 69

3.4.2 电子数据与物证的区别 70

3.4.3 电子数据与书证的区别 70

3.4.4 电子数据与勘验、检查笔录的关系与区别 71

3.5 电子数据审查 72

3.6 国际电子数据取证的标准体系 74

3.6.1 国际电子数据取证标准体系概述 74

3.6.2 国际电子数据取证指南简介 76

3.7 我国电子数据取证标准 79

3.8 本章小结 81

思考题 81

第4章 电子数据取证原则与流程 82

4.1 电子数据取证的原则 82

4.2 电子数据取证的流程 83

4.2.1 评估 84

4.2.2 获取 85

4.2.3 分析 86

4.2.4 报告 88

4.3 典型的电子数据取证流程 88

4.3.1 单机环境电子数据取证 88

4.3.2 网络环境电子数据取证 89

4.4 本章小结 90

思考题 90

第5章 电子数据取证工具 91

5.1 取证工具概述 91

5.1.1 电子数据取证工具的发展 91

5.1.2 电子数据取证工具的标准 92

5.2 取证硬件 93

5.2.1 写保护设备 93

5.2.2 镜像设备 94

5.2.3 现场勘验设备 95

5.2.4 介质取证设备 97

5.2.5 移动终端取证设备 97

5.2.6 数据恢复设备 98

5.3 取证软件 99

5.3.1 介质取证软件 99

5.3.2 Mac OS系统取证软件 100

5.3.3 UNIX/Linux系统取证软件 100

5.3.4 镜像软件 101

5.3.5 系统环境仿真软件 102

5.3.6 数据恢复软件 102

5.3.7 电子邮件分析软件 102

5.3.8 密码破解软件 102

5.3.9 内存取证软件 103

5.3.10 在线取证软件 103

5.3.11 关联分析工具 103

5.4 开源和免费取证软件 104

5.5 未来取证工具的发展 106

思考题 107

第6章 电子数据取证技术 108

6.1 数字时间取证 109

6.1.1 取证环境时间校正和同步 109

6.1.2 取证目标的时间检查 109

6.1.3 时间的更新规律 110

6.1.4 时间取证的基本判断规则 111

6.1.5 文件系统创建时间 111

6.1.6 操作系统安装时间 114

6.1.7 开机和关机时间 115

6.1.8 访问时间的证据效力 120

6.2 Windows取证 120

6.2.1 Windows重点目录 120

6.2.2 浏览器取证 123

6.2.3 注册表取证 139

6.2.4 电子邮件取证 146

6.2.5 回收站取证 154

6.2.6 聊天应用取证 158

6.2.7 内存取证 161

6.2.8 日志取证 163

6.3 Mac OS系统取证 169

6.3.1 苹果计算机和Mac OS操作系统概述 169

6.3.2 Mac OS动态取证 171

6.3.3 Mac OS静态取证 174

6.3.4 小结 176

6.4 UNIX/Linux取证分析 177

6.4.1 UNIX/Linux操作系统简介 177

6.4.2 Linux发行版本 177

6.4.3 Linux文件系统 177

6.4.4 Linux取证实战 179

6.4.5 小结 186

6.5 移动终端取证 187

6.5.1 移动终端概述 187

6.5.2 移动终端取证概述 188

6.5.3 移动终端取证基础知识 190

6.5.4 移动终端的取证原理 195

6.5.5 移动终端取证的流程 198

6.5.6 移动终端取证实战 201

6.5.7 小结 217

6.6 网络电子数据取证 217

6.6.1 网站服务器取证 217

6.6.2 IP地址的取证 221

6.6.3 路由器的取证 224

6.6.4 MAC地址相关的取证 225

6.6.5 VPN的取证 225

6.6.6 获取网络数据流信息 229

6.7 密码破解 230

6.7.1 BIOS密码破解 230

6.7.2 操作系统类加密的破解 230

6.7.3 文件类加密的破解 232

6.7.4 浏览器类密码的破解 233

6.7.5 移动设备类密码的破解 233

6.8 Office文件取证 234

6.8.1 Office文件结构 235

6.8.2 Office文件取证 236

6.8.3 小结 240

6.9 数字图像取证 241

6.9.1 数字图像取证简述 241

6.9.2 数字图像取证与声像资料取证的区别 241

6.9.3 数字图像的文件命名规律 241

6.9.4 数字图像的格式（EXIF） 242

6.9.5 EXIF分析 245

6.10 病毒和恶意代码取证 246

6.10.1 恶意代码简介 246

6.10.2 恶意代码取证技术 247

6.10.3 恶意代码分析实例 248

6.10.4 小结 252

6.11 逻辑数据恢复 252

6.11.1 系统级数据恢复 252

6.11.2 嵌入式硬盘录像机数据恢复 269

6.11.3 小结 271

6.12 硬件修复 271

6.12.1 硬盘固件的修复 271

6.12.2 硬盘物理故障修复 277

6.12.3 芯片级物理故障修复 282

6.12.4 小结 283

6.13 数据库取证 283

6.13.1 数据库的概念 284

6.13.2 主流数据库介绍 284

6.13.3 结构化查询语句 284

6.13.4 数据库存储结构 285

6.13.5 数据库取证 290

6.13.6 数据库的在线取证 292

6.13.7 数据库离线取证 299

6.13.8 小结 301

6.14 系统环境仿真取证 301

6.14.1 虚拟机技术 301

6.14.2 系统环境仿真取证原理 302

6.14.3 系统环境仿真取证实战 302

思考题 303

第7章 电子数据勘验和检查 305

7.1 电子数据勘验和检查概述 305

7.1.1 网络犯罪现场和传统犯罪现场的区别 306

7.1.2 电子数据勘验检查和鉴定检验的联系和区别 307

7.1.3 电子数据勘验和检查的原则 308

7.2 电子数据现场勘验 309

7.2.1 电子数据现场勘验的任务及组织 309

7.2.2 电子数据现场勘验的流程 309

7.3 远程勘验 322

7.4 电子证物检查 322

7.5 勘验笔录制作 323

7.5.1 勘验笔录的定义和作用 323

7.5.2 现场勘验笔录文书的制作 323

7.5.3 远程勘验笔录文书的制作 325

7.6 本章小结 325

思考题 325

第8章 电子数据鉴定和检验 327

8.1 鉴定和检验的概念 327

8.1.1 鉴定 327

8.1.2 检验 328

8.2 鉴定和检验的法律要求 329

8.3 鉴定和检验的应用范围 329

8.4 国内外鉴定和检验现状 330

8.4.1 国外司法鉴定现状 330

8.4.2 国内鉴定和检验现状 331

8.5 鉴定和检验资质 333

8.5.1 鉴定机构的要求 333

8.5.2 鉴定人的要求 336

8.5.3 检验机构和检验人的要求 337

8.6 电子数据鉴定／检验 337

8.6.1 电子数据鉴定／检验的法律要求 337

8.6.2 电子数据鉴定／检验的资质问题 338

8.6.3 电子数据鉴定／检验的特点 339

8.6.4 电子数据鉴定／检验的应用范围 340

8.6.5 电子数据鉴定／检验面临的困难和挑战 341

8.6.6 电子数据鉴定／检验的流程 342

8.7 鉴定意见／检验报告的审查 346

8.8 鉴定／检验人出庭作证制度 347

8.8.1 鉴定／检验人出庭的准备 348

8.8.2 庭审中注意事项 348

8.8.3 遇到特殊情况的处理 348

8.9 本章小结 349

思考题 349

第9章 实验室建设和认可 350

9.1 电子数据取证实验室的发展历程 350

9.1.1 国外电子数据取证实验室的发展 351

9.1.2 国内电子数据取证实验室的发展 351

9.2 实验室建设原则 356

9.3 实验室建设的标准和规范 356

9.4 未来电子数据取证实验室的发展 357

9.5 实验室认可概述 358

9.5.1 合格评定、认证与认可概述 358

9.5.2 实验室认可的概念 359

9.5.3 国际实验室认可情况 359

9.5.4 实验室认可在中国的发展情况 360

9.5.5 实验室认可的概念 360

9.5.6 实验室认可的作用和意义 360

9.6 司法鉴定／法庭科学实验室认可 361

9.6.1 国际法庭科学实验室认可的发展 361

9.6.2 我国司法鉴定／法庭科学实验室认可的发展 361

9.6.3 实验室认可与资质认定的区别 362

9.6.4 实验室认可与司法鉴定／检验的关系 363

9.6.5 授权签字人与鉴定人的关系 364

9.6.6 司法鉴定／法庭科学认可的标准 364

9.6.7 司法鉴定／法庭科学认可的领域和方法 365

9.7 电子数据取证实验室认可 366

9.7.1 国内外电子数据取证实验室认可 366

9.7.2 CNAS-CL27:2014《司法鉴定／法庭科学机构能力认可准则在电子物证鉴定领域的应用说明》要点 367

9.7.3 电子数据取证实验室认可流程 367

9.8 能力验证 374

9.8.1 实验室参加能力验证的基本流程 375

9.9 本章小结 375

思考题 376

第10章 电子数据取证实例 377

10.1 电子数据存在性取证 377

10.1.1 电子数据存在性取证的定义 377

10.1.2 电子数据存在性取证的方法 377

10.1.3 电子数据存在性取证针对的案件类型 377

10.1.4 电子数据存在性取证的思路 377

10.1.5 电子数据存在性取证案例 378

10.2 电子数据同一性取证 382

10.2.1 电子数据同一性取证定义 382

10.2.2 电子数据同一性取证 382

10.2.3 电子数据同一性取证针对的案件类型 382

10.2.4 电子数据同一性取证的思路 382

10.2.5 电子数据同一性取证案例 382

10.3 电子数据行为性取证 388

10.3.1 电子数据行为性取证定义 388

10.3.2 电子数据行为性取证的方法 388

10.3.3 电子数据行为性取证针对的案件类型 388

10.3.4 电子数据行为性取证的思路 388

10.3.5 电子数据行为性取证案例 389

10.4 电子数据功能性取证 394

10.4.1 电子数据功能性取证的定义 394

10.4.2 电子数据功能性取证的方法 394

10.4.3 电子数据功能性取证针对的案件类型 395

10.4.4 电子数据功能性取证的思路 395

10.4.5 电子数据功能性取证案例 395

思考题 401

附录 402

附录A Base64编码 402

附录B 秒单位转换 403

附录C 时间定义 403

附录D Windows各版本重点目录和文件对比表 404

附录E 电子数据取证标准（国家标准和公共安全行业标准） 405

附录F 现场勘验记录 406

附录G 电子数据检验鉴定意见书 423

参考文献 436