第一章 引言 1
1.1 本书的写作背景及意义 1
1.1.1 背景 1
1.1.2 意义 4
1.2 本书的主要内容 5
1.3 本书结构 6
第二章 计算机取证的相关研究 8
2.1 计算机取证技术和工具研究现状 8
2.1.1 取证技术 8
2.1.2 取证工具 12
2.1.3 基于网络数据流的计算机取证技术 14
2.2 计算机取证的理论研究 21
2.2.1 电子证据的法律认定 21
2.2.2 计算机取证的原则和过程 23
2.2.3 计算机取证的框架和模型 29
2.2.4 形式化方法与计算机取证 35
2.3 基于操作系统的取证 41
2.4 基于操作系统命令的取证过程实例 44
2.4.1 有关命令和软件工具的功能 44
2.4.2 实验过程 45
2.5 计算机取证的发展趋势 47
2.6 本章小结 49
第三章 计算机取证的优化模型和多维过程模型 50
3.1 多目标优化模型 50
3.2 多维取证过程模型 51
3.3 MDFM的形式化表示 55
3.3.1 工作流模型的建模方法 55
3.3.2 MDFM的Petri网表示 56
3.4 本章小结 59
4.1 RFOS的取证分析 60
4.1.1 RFOS的行为表示模型 60
第四章 实时可取证操作系统的取证行为模型 60
4.1.2 RFOS的取证服务 62
4.2 RFOS的取证机制 63
4.2.1 RFOS的结构 63
4.2.2 取证主体 63
4.2.3 取证活动 64
4.2.4 取证资源 64
4.2.5 取证策略 64
4.2.6 取证系统抽象机 65
4.3 RFOS的数据采集 68
4.3.1 证据数据源 68
4.3.2 证据数据的采集点 70
4.3.3 证据数据的采集方法 70
4.4 RFOS的证据数据存储溢出处理 71
4.5 本章小结 71
5.1.1 方法的体系结构 72
5.1 确定取证策略的方法 72
第五章 RFOS按需求确定取证策略的方法 72
5.1.2 原理 73
5.2 基于kNN的案件自动分类方法 74
5.2.1 案件自动分类器的结构 74
5.2.2 训练样本——案例库 74
5.2.3 案件的特征项提取 75
5.2.4 kNN算法简介 76
5.2.5 案件自动分类算法 77
5.3 RFOS的取证策略组合 78
5.4 RFOS的取证策略组合方法的实现 80
5.4.1 实现思路 80
5.4.2 方法分析 82
5.5 本章小结 82
第六章 电子证据安全保护机制研究 83
6.1 RFOS的安全需求 83
6.1.1 取证模块的安全需求 83
6.1.2 证据数据的安全需求 85
6.2.1 内核模块保护技术 86
6.2 内核模块和文件保护技术 86
6.2.2 操作系统的文件保护技术 87
6.3 RFOS的取证保护机制 89
6.3.1 取证模块的保护 90
6.3.2 电子证据的保护 92
6.4 本章小结 97
第七章 基于FreeBSD6.0的实时可取证操作系统原型 98
7.1 RFOS实现的基础平台及体系结构 98
7.1.1 FreeBSD6.0简介 98
7.1.2 RFOS的体系结构 99
7.2 系统的设计目标 100
7.2.1 实时取证 101
7.2.2 按需配置 102
7.2.3 取证的保护机制 102
7.3.1 实时取证模块 103
7.3 RFOS的设计思路 103
7.3.2 按需定制模块 104
7.3.3 证据库模块 104
7.3.4 取证安全保护模块 105
7.4 RFOS的实现 105
7.4.1 实时取证的实现 105
7.4.2 按需定制的实现 106
7.4.3 安全保护机制的实现 107
7.5 实验研究 108
7.5.1 实验一 108
7.5.2 实验二 110
7.6 本章小结 111
第八章 计算机取证实务 112
8.1 计算机犯罪现场勘察 112
8.1.1 保护现场 112
8.1.2 搜查证物 113
8.1.3 固定易丢失证据 114
8.1.4 在线勘查 115
8.1.5 提取证物 115
8.2 计算机取证过程 116
8.3 开机进入BIOS的方法及故障排除 136
8.3.1 进入BIOS的方法 136
8.3.2 喇叭报警声及含义 137
8.3.3 现场应急措施 139
8.4 Encase的使用 140
8.4.1 有关注意事项 140
8.4.2 GREP使用速查 145
8.4.3 Encase的脚本 146
8.4.4 Encase常用命令及其功能 150
8.4.5 常见残留痕迹的隐藏位置 151
8.5.2 Win 2000/xp系统下 152
8.5.1 Win 9x系统下 152
8.5 常见网络取证命令用法 152
8.5.3 Unix/Linux系统下 155
8.6 取证操作速查 160
8.6.1 硬盘跳线设置 160
8.6.2 SCSI硬盘接口种类与连接方法 161
8.6.3 常见网络端口解释 161
8.6.4 Win 2000系统进程列表 166
8.6.5 常见Windows蓝屏代码解析 168
结束语 170
主要参考文献 172
附录 178
附录1 FreeBSD系统调用列表 178
附录2 公安机关电子数据鉴定规则 183
附录3 计算机犯罪现场勘验与电子证据检查规则 190
附录4 《中华人民共和国刑法》对于计算机犯罪的规定 195
附录5 RFOS的部分核心源代码 196