《计算机数据分析技术与应用》PDF下载

  • 购买积分:13 如何计算积分?
  • 作  者:凌彦主编;潘大四,孙培梁副主编
  • 出 版 社:武汉:华中科技大学出版社
  • 出版年份:2010
  • ISBN:9787560966137
  • 页数:392 页
图书介绍:本书通过对计算机数据分析技术的简要介绍,结合实际生活中一些典型的计算机犯罪案例,对计算机分析技术在计算机司法调查分析过程中的应用做了一些简要的阐述。

第1章 计算机系统基础知识 1

1.1 计算机硬件系统组成 2

1.2 计算机硬件系统启动过程 5

1.3 DOS系统启动过程 7

1.4 Windows NT/2000/XP启动 7

1.5 系统分区原理 10

1.6 文件系统 15

本章总结 16

第2章 数据存储原理 17

2.1 硬盘基础知识 17

2.2 硬盘的物理结构 21

2.3 硬盘的逻辑结构 24

2.4 硬盘数据的存储 26

本章总结 27

第3章 计算机犯罪概述 28

3.1 计算机犯罪的概念和特征 28

3.2 电子证据的概念 31

3.3 电子证据的法律定位 34

3.4 电子数据的证据效力 41

3.4.1 电子数据的特性 41

3.4.2 电子数据的证据效力 42

本章总结 44

第4章 计算机数据分析概述 45

4.1 什么是计算机数据分析技术 46

4.2 什么是电子数据鉴定 48

4.3 计算机数据分析的对象 51

4.4 电子数据分析的基本思路和手段 52

4.5 计算机数据分析工作流程 53

本章总结 54

第5章 计算机调查现场处理 55

5.1 规划与准备 57

5.2 现场调查证据处理 62

5.3 送检调查证据处理 74

本章总结 75

第6章 计算机证据固定技术 77

6.1 使用硬盘复制机进行证据固定 77

6.2 使用软件证据固定方法 83

6.3 应急证据固定方法 90

6.4 证据固定后的处理工作 92

本章总结 93

第7章 计算机数据分析软件 94

7.1 EnCase简介 94

7.2 EnCase基本操作 94

7.2.1 EnCase安装 95

7.2.2 新建EnCase案例 97

7.2.3 EnCase备份文件 99

7.2.4 配置EnCase 102

7.2.5 EnCase证据文件的格式 113

7.2.6 EnCase证据文件的组成 115

7.2.7 获取EnCase证据文件 119

7.2.8 添加证据文件 125

7.2.9 验证EnCase证据文件 127

7.2.10 散列磁盘和卷 134

本章总结 136

第8章 EnCase工作环境 138

8.1 EnCase基本布局 138

8.2 树型面板介绍 142

8.3 列表面板介绍 146

8.3.1 列表视图 147

8.3.2 “描述”栏目的常见条目 155

8.3.3 报告视图 156

8.3.4 图库视图 157

8.3.5 磁盘视图 159

8.3.6 时间线视图 161

8.3.7 年份视图 163

8.3.8 月份视图 163

8.3.9 星期视图 164

8.3.10 日期视图 165

8.3.11 小时视图 166

8.3.12 分钟视图 166

8.3.13 代码视图 166

8.4 视图面板介绍 168

8.5 过滤器面板视图 175

8.6 调整面板 177

本章总结 177

第9章 基本查找与书签数据 179

9.1 什么是数据 179

9.1.1 二进制数据 179

9.1.2 十六进制 182

9.1.3 字符 182

9.1.4 ASCII 183

9.1.5 Unicode 185

9.2 查找数据 186

9.2.1 创建和建立关键字 186

9.2.2 GREP表达式 193

9.2.3 书签 204

本章总结 214

第10章 文件签名与散列分析 215

10.1 文件签名分析 216

10.1.1 理解应用程序绑定 216

10.1.2 文件签名库 217

10.1.3 执行文件签名分析 221

10.2 散列分析 224

10.2.1 散列值MD5 225

10.2.2 散列集和散列库 225

10.2.3 向散列集中添加散列值 230

10.2.4 散列分析 230

10.2.5 分析散列结果 231

10.2.6 记录检查过程中使用的散列集 234

10.2.7 案例分析 235

10.3 外部查看器 235

10.4 详细的复制选项 239

10.4.1 选中文件 239

10.4.2 复制/恢复文件 240

10.4.3 复制整个文件夹 242

10.5 证据还原 243

10.5.1 还原物理驱动器 243

10.5.2 还原逻辑卷 246

本章总结 247

第11章 EnCase高级功能 250

11.1 搜索未分配空间的文件 251

11.2 定位并加载分区 259

11.3 加载复合文件 261

11.4 注册表 264

11.4.1 注册表的历史 265

11.4.2 注册表的组织和术语 265

11.4.3 用EnCase加载并查看注册表 269

11.4.4 查找注册表技巧 271

11.5 EnScript、过滤器和条件表达式 274

11.5.1 EnScript导航和路径 275

11.5.2 编辑、复制、移动、删除脚本 276

11.5.3 运行脚本 276

11.5.4 过滤器和条件表达式 277

11.6 E-mail电子邮件调查 281

11.7 Base64编码 285

11.8 EnCase部分总结 286

本章总结 289

第12章 计算机调查分析报告 290

12.1 操作行为调查分析报告 290

12.2 同一性调查分析报告 294

本章总结 296

附录 297

附录A 计算机调查分析专业术语 297

附录B GREP语法使用速查 309

附录C BIOS进入方法 311

附录D 硬盘硬件速查 315

附录E 潜在证据处理方法 317

附录F Windows XP主要的系统进程 332

附录G 常见进程名列表 336

附录H 常见Windows蓝屏代码解析 338

附录I 常见网络命令用法 340

附录J EnCase V6的特性 348

附录K 电子证据鉴定相关部分法律法规 369

参考文献 391

后记 392