第1章 电子物证检验与分析概述 1
1.1 电子数据 1
1.1.1 电子数据定义 2
1.1.2 电子数据特点 2
1.1.3 电子数据的审查 3
1.2 电子数据的法律地位 5
1.2.1 电子数据相关的证据 5
1.2.2 电子数据的法律地位 6
1.3 电子数据取证 9
1.3.1 电子数据取证的概念 9
1.3.2 电子数据取证的原则 9
1.4 电子物证 11
1.4.1 物证 11
1.4.2 电子物证 11
1.4.3 电子物证的特点 12
1.4.4 电子物证的封存方法 12
1.4.5 电子物证的固定方法 12
1.5 电子物证检验 13
1.5.1 什么是电子物证检验 13
1.5.2 电子物证检验的基本原则 13
1.5.3 电子物证检验的常用技术和工具 14
1.5.4 电子物证检验的难点及有利因素 15
习题1 16
第2章 电子物证检验与分析基本过程 17
2.1 电子物证检验与分析的对象 17
2.1.1 单机系统中的电子数据 17
2.1.2 网络系统中的电子数据 18
2.1.3 其他电子设备中的电子数据 18
2.2 电子物证检验与分析条件 19
2.2.1 电子物证检验与分析人员条件 19
2.2.2 电子物证检验与分析实验室条件 19
2.3 电子物证检验与分析过程 22
2.3.1 案件受理 22
2.3.2 检材的保存及处理 26
2.3.3 检验与分析 26
2.3.4 鉴定文书的形成与签发 29
2.3.5 出庭 30
2.4 影响电子物证检验与分析结果的因素 31
习题2 31
第3章 制作电子数据的保全备份 32
3.1 存储介质的擦除 32
3.1.1 存储介质的擦除标准 32
3.1.2 命令擦除法 33
3.1.3 软件擦除法 34
3.1.4 硬件擦除法 34
3.2 保全备份 34
3.2.1 命令备份法 34
3.2.2 软件备份法 34
3.2.3 硬件备份法 35
3.3 数据完整性校验 35
3.3.1 Hash 36
3.3.2 MD5算法 36
3.3.3 SHA算法 36
3.3.4 CRC算法 37
习题3 37
第4章 常用电子物证检验工具 38
4.1 EnCase检验工具 38
4.1.1 EnCase工具概述 39
4.1.2 EnCase工具的安装及设置 42
4.1.3 EnCase工具界面介绍 45
4.1.4 案例管理及证据操作 48
4.1.5 证据的分析及检验 51
4.1.6 关键字搜索 54
4.1.7 索引搜索 57
4.1.8 书签的制作及使用 58
4.1.9 RAID磁盘重建 60
4.2 X-Ways检验工具 62
4.2.1 配置软件 62
4.2.2 X-Ways工具界面介绍 63
4.2.3 创建案件 68
4.2.4 X-Ways基本操作 69
4.2.5 磁盘快照 71
4.2.6 文件过滤 73
4.2.7 数据搜索 74
4.2.8 案件报告 75
4.2.9 数据恢复 76
4.2.10 安全擦除 78
4.2.11 特定类型文件恢复 78
4.3 FTK检验工具 79
4.3.1 FTK的安装 79
4.3.2 FTK案例和证据管理 79
4.3.3 FTK视图 81
4.3.4 数据过滤 83
4.3.5 数据搜索 84
习题4 85
第5章 Windows系统的检验方法 86
5.1 文件系统和存储层 86
5.1.1 物理层 86
5.1.2 数据分类层 87
5.1.3 分配单元层 87
5.1.4 存储空间管理层 87
5.1.5 信息分类层 87
5.1.6 应用级存储层 87
5.2 文档内容浏览 87
5.2.1 Quick View Plus软件介绍 88
5.2.2 Quick View Plus软件主要功能 90
5.2.3 Quick View Plus浏览文档内容方法 91
5.3 日志文件的检验 92
5.3.1 Windows操作系统日志检验 92
5.3.2 网络服务器日志检验 95
5.3.3 常见数据库日志检验 99
5.4 注册表文件的检验 101
5.4.1 注册表中的重要键值 101
5.4.2 注册表的检验 104
5.5 交换文件的检验 107
5.5.1 交换文件的显示与设置 107
5.5.2 交换文件的检验 108
5.6 办公文档碎片的检验 108
5.6.1 办公文档碎片的文本检验 109
5.6.2 办公文档碎片的图片检验 109
5.7 打印脱机文件的检验 109
5.7.1 打印脱机文件的设置 109
5.7.2 打印脱机文件的类型 110
5.7.3 打印脱机文件的存放位置 110
5.7.4 打印脱机文件的检验 110
5.8 删除文件的检验 113
5.8.1 删除文件的方法 113
5.8.2 删除文件的检验 113
5.9 回收站的文件检验 115
5.9.1 回收站的特点 115
5.9.2 回收站的文件检验 115
5.10 IE访问痕迹的检验 117
5.10.1 Cookies文件的检验 117
5.10.2 历史记录文件的检验 119
5.10.3 Internet临时文件的检验 120
5.10.4 Index.dat文件的检验 120
5.11 电子邮件的检验 123
5.11.1 电子邮件传输原理 124
5.11.2 电子邮件的检验 124
5.12 隐藏数据的检验 126
5.12.1 磁盘特殊空间隐藏数据的检验 126
5.12.2 NFFS流文件隐藏数据的检验 126
5.13 聊天记录的检验 127
5.13.1 QQ聊天记录的检验 127
5.13.2 MSN聊天记录的检验 129
5.13.3 其他聊天记录的检验 130
习题5 131
第6章 UNIX/Linux系统的检验方法 132
6.1 UNIX/Linux环境下文件系统的检验 132
6.1.1 UNIX/Linux文件系统简介 132
6.1.2 The Sleuth Kit软件包使用说明 133
6.1.3 利用TSK工具包检验实例分析 142
6.1.4 利用系统命令进行搜索 144
6.1.5 Linux环境下的数据删除与恢复 145
6.2 日志文件检验 150
6.2.1 日志配置文件检验 151
6.2.2 日志管理文件检验 152
6.2.3 日志文件检验 153
6.2.4 进程记账信息检验 158
6.2.5 日志分析工具的使用 159
6.3 用户账号与用户组信息检验 161
6.3.1 用户账户检验 161
6.3.2 用户组检验 162
6.4 系统启动任务的检验 163
6.5 特殊文件检验 164
6.5.1 隐藏文件与tmp文件夹检验 164
6.5.2 特殊属性的文件检验 165
6.5.3 配置文件的检验 166
6.5.4 文件真实属性检验 167
习题6 167
第7章 手机的检验 169
7.1 手机的操作系统简介 169
7.1.1 Symbian 169
7.1.2 Windows Mobile 170
7.1.3 Windows Phone 170
7.1.4 Android 171
7.1.5 iPhone OS 171
7.1.6 BlackBerry OS 171
7.1.7 Linux OS 172
7.2 收缴手机的保管与封装 172
7.3 手机常用信息的获取 173
7.3.1 IMEI、ESN与PSID的获取方法 173
7.3.2 手机出厂日期的检验方法 175
7.3.3 手机规格信息的查询 175
7.3.4 运营商网络包含的证据信息 176
7.4 手机信息的检验 177
7.4.1 SIM卡信息的检验 177
7.4.2 手机机身内存信息的检验 182
7.4.3 手机扩展卡信息的检验 192
习题7 193
第8章 典型案例分析与检验 194
8.1 网络赌博案件的检验 194
8.1.1 简要案情 194
8.1.2 网络赌博案件检验步骤及方法 195
8.1.3 检验时需注意的问题 198
8.2 网络敲诈案件的检验 199
8.2.1 简要案情 199
8.2.2 网络敲诈案件检验步骤及方法 199
8.2.3 检验时需注意的问题 200
8.3 伪造证件、印章案件的检验 201
8.3.1 简要案情 202
8.3.2 伪造证件、印章案件的检验步骤及方法 202
8.3.3 检验时需注意的问题 204
8.4 网上非法贩卖枪支弹药案件的检验 204
8.4.1 简要案情 204
8.4.2 网上非法贩卖枪支弹药案件的检验步骤及方法 204
8.4.3 检验时需注意的问题 209
8.5 非法制造假发票案件的检验 209
8.5.1 简要案情 209
8.5.2 非法制造假发票案件的检验步骤及方法 210
8.5.3 检验时需注意的问题 212
8.6 KTV寻衅滋事案件的检验 212
8.6.1 简要案情 212
8.6.2 KTV寻衅滋事案件的检验步骤及方法 212
8.6.3 检验时需注意的问题 215
8.7 赌博游戏代理服务器的检验 216
8.7.1 简要案情 216
8.7.2 赌博游戏代理服务器的检验步骤及方法 216
8.7.3 检验时需注意的问题 220
8.8 非法入侵政府网站案件的检验 221
8.8.1 简要案情 221
8.8.2 非法入侵政府网站案件的检验步骤及方法 221
8.8.3 检验时需注意的问题 224
8.9 侵犯知识产权案件的检验 225
8.9.1 简要案情 225
8.9.2 侵犯知识产权案件检验步骤及方法 225
8.9.3 检验时需注意的问题 230
8.10 有害信息传播案件的检验 231
8.10.1 简要案情 231
8.10.2 有害信息传播案件的检验步骤及方法 231
8.10.3 检验时需注意的问题 235
8.11 窃取公司商业机密案件的检验 235
8.11.1 简要案情 236
8.11.2 窃取公司商业机密案件的检验步骤及方法 236
8.11.3 检验时需注意的问题 241
习题8 241
参考文献 242