《FTK实战应用》PDF下载

  • 购买积分:9 如何计算积分?
  • 作  者:北京瑞源文德科技有限公司编
  • 出 版 社:北京:中国检察出版社
  • 出版年份:2015
  • ISBN:9787510213632
  • 页数:191 页
图书介绍:FTK (Forensic Toolkit)由美国AccessData公司开发,是业界公认的电子数据检验旗舰产品,瑞源公司结合中国本地化应用的实际需求,逐步推进FTK的本地化工作,并融入EDEC系列化工作站中。通过自主研发、系统集成、售后服务、技术支持等相关工作实践,并结合几十期电子数据检验专业培训班的宣讲,瑞源公司技术工程师逐步积累了关于EDEC产品实际应用的经验与技巧,编写成册,希望能为业内人员学习提供参考。

第一章 FTK Imager使用相关 3

第一节 FTK Imager关于镜像文件制作的相关功能 3

一、镜像文件制作流程 3

二、使用Imager制作镜像文件中的注意事项 4

第二节 FTK Imager关于镜像文件格式转换与挂载的功能 5

一、格式转换DD/E01文件互相转换,其他格式文件转换成DD/E01 5

二、FTK Imager关于镜像文件挂载的功能 6

第三节 FTK Imager与现场取证相关的功能 8

一、开机状态下,获取目标计算机的注册表文件 8

二、开机状态下,获取目标计算机内存 10

三、开机状态下,检测目标计算机上是否含有EFS加密文件 10

四、重要提示 11

第二章 FTK注册表分析工具——Registry Viewer 15

第一节 注册表及注册表文件 15

第二节 注册表文件的获取 18

第三节 注册表文件分析 20

一、启动、加载 20

二、添加感兴趣的内容 21

三、制作报告 22

四、说明 26

第三章 FTK过滤器Filter 28

第一节 过滤器简介 28

第二节 新建过滤器 30

第三节 过滤器的分类 32

第四节 预置过滤 33

第五节 复合过滤 38

第六节 嵌套过滤 40

第七节 搜索过滤 42

第八节 过滤器的共享 43

第四章 FTK关键字搜索 48

第一节 搜索在证据检验中发挥的作用 48

第二节 FTK预处理中的设置 49

一、dtsearch文本索引 49

二、光学字符识别(OCR) 51

第三节 FTK搜索功能的应用 53

一、FTK实时文本搜索 53

二、实时十六进制搜索 55

三、实时正则表达式搜索 55

四、索引搜索 59

五、TR1正则表达式的应用指南 63

六、索引搜索数字组合的正则表达式应用 68

七、FTK中关键词搜索与其他功能的联动 71

八、如何能够高效找到目标信息 74

第五章 FTK数掘挖掘与元挖掘 81

第一节 什么是数据挖掘 81

一、数据丢失或损坏的原因 81

二、数据挖掘中可能涉及的因素 82

三、文件签名与数据挖掘 83

四、数据挖掘与数据恢复 84

五、FTK中对数据挖掘的处理和管理 85

第二节 FTK中的数据挖掘模块及其应用 86

一、数据挖掘处理设置 86

二、FTK中数据挖掘工具 90

三、管理数据挖掘工具 97

四、数据挖掘结果解析 99

五、高级数据挖掘技巧及应用——手动挖掘模式 101

六、FTK挖掘优势 103

第三节 FTK中的元挖掘 105

第六章 电子邮件检测分析 110

第一节 概述 110

一、电子邮件的内容以及地址格式 111

二、主流电子邮件客户端 111

三、FTK所适用的电子邮件类型 112

第二节 如何利用FTK来分析电子邮件 114

一、电子邮件数据分析选项卡页面布局 114

二、FTK解析电子邮件目录树分项解释 117

三、其他标签页 128

四、文件列表 129

五、导出电子邮件 130

第七章 Internet/聊关软件分析 135

第一节 FTK Internet/聊天软件预处理相关选项 135

一、展开复合文件 135

二、数据挖掘选项 137

三、Process Internet Browser History for Visualization 138

第二节 Internet信息展示 140

第三节 聊天软件检材分析 148

第八章 FTK可视化及社会化分析 150

第一节 什么是可视化 150

一、运行可视化分析 151

二、可视化分析的界面 151

第二节 时间线 153

一、基础时间线 153

二、设置基础时间线 154

第三节 可视化文件数据 155

一、配置可视化文件数据 155

二、根据文件扩展名创建可视化视图 156

三、文件种类分布可视化 156

四、文件数据列表 157

第四节 邮件数据可视化分析 158

一、选定邮件时间线 159

二、查看邮件统计 159

三、查看邮件细节列表 159

四、在邮件可视化中分析邮件域 160

五、可视化中分析单独邮件 161

六、将邮件分析结果加入到FTK分析中 161

七、使用细节化时间线 161

第五节 可视化浏览历史文件数据 163

第六节 可视化其他种类数据 164

第七节 可视化热点图 165

第八节 社会化分析 166

一、使用社会化分析 167

二、社会化分析选项 168

第九节 可视化中的定位信息 169

一、定位功能使用需求 170

二、查看带有EXIF信息的数据 170

三、查看IP地址地理位置数据 171

第九章 内存分析与打印文件分析 174

第一节 内存分析概述 174

一、Windows操作系统下的hiberfil.sys与pagefile.sys文件 175

二、hiberfil.sys文件 175

三、pagefile.sys文件 176

四、模拟案例分析 177

第二节 打印文件的分析与取证 179

一、假打印文件的形成过程 179

二、Windows系统中假脱机打印文件存放的位置 180

三、假脱机打印文件的特性 180

第十章 利用FTK对手机镜像进行分析 184

第一节 利用FTK对手机镜像文件分析的目的 184

第二节 FTK处理手机镜像文件示例 185

一、加载方式 185

二、典型手机镜像文件加载示例 186

附录:为FTK建立良好的运行环境 189