第1章 计算机系统基础知识 1
1.1 计算机硬件系统组成 2
1.2 计算机硬件系统启动过程 5
1.3 DOS系统启动过程 7
1.4 Windows NT/2000/XP启动 7
1.5 系统分区原理 10
1.6 文件系统 15
本章总结 16
第2章 数据存储原理 17
2.1 硬盘基础知识 17
2.2 硬盘的物理结构 21
2.3 硬盘的逻辑结构 24
2.4 硬盘数据的存储 26
本章总结 27
第3章 计算机犯罪概述 28
3.1 计算机犯罪的概念和特征 28
3.2 电子证据的概念 31
3.3 电子证据的法律定位 34
3.4 电子数据的证据效力 41
3.4.1 电子数据的特性 41
3.4.2 电子数据的证据效力 42
本章总结 44
第4章 计算机数据分析概述 45
4.1 什么是计算机数据分析技术 46
4.2 什么是电子数据鉴定 48
4.3 计算机数据分析的对象 51
4.4 电子数据分析的基本思路和手段 52
4.5 计算机数据分析工作流程 53
本章总结 54
第5章 计算机调查现场处理 55
5.1 规划与准备 57
5.2 现场调查证据处理 62
5.3 送检调查证据处理 74
本章总结 75
第6章 计算机证据固定技术 77
6.1 使用硬盘复制机进行证据固定 77
6.2 使用软件证据固定方法 83
6.3 应急证据固定方法 90
6.4 证据固定后的处理工作 92
本章总结 93
第7章 计算机数据分析软件 94
7.1 EnCase简介 94
7.2 EnCase基本操作 94
7.2.1 EnCase安装 95
7.2.2 新建EnCase案例 97
7.2.3 EnCase备份文件 99
7.2.4 配置EnCase 102
7.2.5 EnCase证据文件的格式 113
7.2.6 EnCase证据文件的组成 115
7.2.7 获取EnCase证据文件 119
7.2.8 添加证据文件 125
7.2.9 验证EnCase证据文件 127
7.2.10 散列磁盘和卷 134
本章总结 136
第8章 EnCase工作环境 138
8.1 EnCase基本布局 138
8.2 树型面板介绍 142
8.3 列表面板介绍 146
8.3.1 列表视图 147
8.3.2 “描述”栏目的常见条目 155
8.3.3 报告视图 156
8.3.4 图库视图 157
8.3.5 磁盘视图 159
8.3.6 时间线视图 161
8.3.7 年份视图 163
8.3.8 月份视图 163
8.3.9 星期视图 164
8.3.10 日期视图 165
8.3.11 小时视图 166
8.3.12 分钟视图 166
8.3.13 代码视图 166
8.4 视图面板介绍 168
8.5 过滤器面板视图 175
8.6 调整面板 177
本章总结 177
第9章 基本查找与书签数据 179
9.1 什么是数据 179
9.1.1 二进制数据 179
9.1.2 十六进制 182
9.1.3 字符 182
9.1.4 ASCII 183
9.1.5 Unicode 185
9.2 查找数据 186
9.2.1 创建和建立关键字 186
9.2.2 GREP表达式 193
9.2.3 书签 204
本章总结 214
第10章 文件签名与散列分析 215
10.1 文件签名分析 216
10.1.1 理解应用程序绑定 216
10.1.2 文件签名库 217
10.1.3 执行文件签名分析 221
10.2 散列分析 224
10.2.1 散列值MD5 225
10.2.2 散列集和散列库 225
10.2.3 向散列集中添加散列值 230
10.2.4 散列分析 230
10.2.5 分析散列结果 231
10.2.6 记录检查过程中使用的散列集 234
10.2.7 案例分析 235
10.3 外部查看器 235
10.4 详细的复制选项 239
10.4.1 选中文件 239
10.4.2 复制/恢复文件 240
10.4.3 复制整个文件夹 242
10.5 证据还原 243
10.5.1 还原物理驱动器 243
10.5.2 还原逻辑卷 246
本章总结 247
第11章 EnCase高级功能 250
11.1 搜索未分配空间的文件 251
11.2 定位并加载分区 259
11.3 加载复合文件 261
11.4 注册表 264
11.4.1 注册表的历史 265
11.4.2 注册表的组织和术语 265
11.4.3 用EnCase加载并查看注册表 269
11.4.4 查找注册表技巧 271
11.5 EnScript、过滤器和条件表达式 274
11.5.1 EnScript导航和路径 275
11.5.2 编辑、复制、移动、删除脚本 276
11.5.3 运行脚本 276
11.5.4 过滤器和条件表达式 277
11.6 E-mail电子邮件调查 281
11.7 Base64编码 285
11.8 EnCase部分总结 286
本章总结 289
第12章 计算机调查分析报告 290
12.1 操作行为调查分析报告 290
12.2 同一性调查分析报告 294
本章总结 296
附录 297
附录A 计算机调查分析专业术语 297
附录B GREP语法使用速查 309
附录C BIOS进入方法 311
附录D 硬盘硬件速查 315
附录E 潜在证据处理方法 317
附录F Windows XP主要的系统进程 332
附录G 常见进程名列表 336
附录H 常见Windows蓝屏代码解析 338
附录I 常见网络命令用法 340
附录J EnCase V6的特性 348
附录K 电子证据鉴定相关部分法律法规 369
参考文献 391
后记 392