第1章 计算机取证的基本概念 1
1.1计算机取证的基本概念 1
1.1.1计算机取证的定义 1
1.1.2计算机取证研究概况 2
1.2电子证据的概念 7
1.2.1电子证据的定义 7
1.2.2电子证据的特点 7
1.2.3电子证据的来源 8
1.3计算机取证的原则和步骤 9
1.3.1计算机取证的基本原则 9
1.3.2计算机取证的一般步骤 10
1.3.3一个具体的计算机取证实例 13
1.4计算机取证模型 17
1.4. 1基本过程模型 17
1.4.2事件响应过程模型 18
1.4.3法律执行过程模型 18
1.4.4过程抽象模型 18
1.5计算机取证的发展趋势 20
参考文献 21
第2章 计算机取证的常见工具 22
2.1计算机取证的相关工具 22
2.1.1一般工具软件 22
2.1.2取证专用工具软件 22
2.2取证复制工具包 25
2.2.1 Encase 25
2. 2.2 SafeBack 26
2.2.3 Unix实用程序dd 27
2.2.4开放数据复制工具 28
2.3取证分析工具包 28
2.3.1 FTK 28
2.3.2 TCT工具包 29
2.4国内外计算机取证设备对比与分析 30
2.4.1国内主要取证产品介绍 30
2.4.2国内外计算机取证设备对比与分析 36
2.5 Linux环境下的计算机取证工具介绍 44
2.5.1 Sleuthkit 44
2.5.2 Autopsy 47
2.5.3 SMART for Linux 54
参考文献 58
第3章 硬盘结构及文件系统基础 59
3.1硬盘的结构 59
3.1.1硬盘的物理结构 59
3.1.2硬盘的逻辑结构 59
3.2硬盘数据组织 60
3.3文件的删除与恢复 63
3.3.1 Windows系统的文件删除与恢复 64
3.3.2 Unix/Linux系统的文件删除与恢复 66
参考文献 72
第4章Windows系统取证方法 73
4.1 Windows系统初始响应方法 73
4.1.1创建初始响应工具包 73
4.1.2初始响应方法 76
4.1.3编写初始响应脚本 87
4.2 Windows系统取证实例 88
4.2.1取证背景 88
4.2.2系统概况和证据处理 88
4.2.3建立取证工具 89
4.2.4介质备份及分析 91
4.2.5 MAC时间分析 93
4.2.6注册表 96
4.2.7恢复被删除文件 99
4.2.8最后分析结论 103
参考文献 106
第5章Unix系统取证方法 107
5.1 Unix系统初始响应方法 107
5.1.1创建初始响应工具包 107
5.1.2保存初始响应信息 107
5.1.3收集数据 108
5.2 Unix系统取证方法 111
5.2.1数据获取 111
5.2.2取证分析 115
参考文献 119
第6章Linux系统取证方法 120
6.1 Linux系统初始响应方法 120
6.1.1初始响应的准备工作 120
6.1.2初始响应的具体步骤和方法 122
6.2 Linux磁盘介质备份 124
6.2. 1准备工作 124
6.2.2介质备份 125
6.3 Linux系统取证方法 126
参考文献 136
第7章 计算机反取证技术 137
7.1数据擦除 137
7.2数据隐藏 139
7.2.1实现数据隐藏的几种常用方法 139
7.2.2实现数据隐藏的具体实例 140
7.3 Linux环境下常见的计算机反取证工具介绍 142
7.4 Windows环境下常见的计算机反取证工具介绍 142
参考文献 143
第8章 可引导取证工具Helix及其使用 144
8.1引言 144
8.2 Windows工作模式 144
8.2.1预览系统信息 146
8.2.2使用dd工具获取正在运行的Windows系统映像 147
8.2.3 Windows系统应急响应工具 149
8.2.4在线浏览重要文档 151
8.2.5浏览CD-ROM和主机OS的内容 151
8.2.6从正在运行的系统中查找图片文件 152
8.3 Linux工作模式 152