《21世纪高等学校规划教材·计算机应用 计算机取证与司法鉴定 第2版》PDF下载

第1章 计算机取证与司法鉴定概论 1

1.1概述 1

1.1.1计算机取证与司法鉴定 1

1.1.2计算机取证与司法鉴定的研究现状 2

1.1.3相关研究成果与进展 3

1.2计算机取证与司法鉴定的原则 6

1.2.1计算机取证与司法鉴定的原则发展概况 6

1.2.2计算机取证与司法鉴定的原则解析 7

1.2.3计算机取证与司法鉴定过程模型 10

1.3计算机取证与司法鉴定的实施 17

1.3.1操作程序规则 18

1.3.2计算机证据的显示与质证 20

1.4计算机取证与司法鉴定的发展趋势 21

1.4.1主机证据保全、恢复和分析技术 21

1.4.2网络数据捕获与分析、网络追踪 22

1.4.3主动取证技术 23

1.4.4计算机证据法学研究 24

1.5小结 25

本章参考文献 25

第2章 计算机取证与司法鉴定的相关法学问题 26

2.1计算机取证与司法鉴定基础 26

2.1.1计算机取证与司法鉴定的法律基础 27

2.1.2计算机取证与司法鉴定的技术基础 27

2.1.3计算机取证与司法鉴定的特点 28

2.1.4计算机取证与司法鉴定的相关事项 28

2.2司法鉴定 29

2.2.1司法鉴定简介 29

2.2.2司法鉴定人 29

2.2.3司法鉴定机构和法律制度 31

2.2.4司法鉴定原则和方法 32

2.2.5鉴定意见 33

2.2.6司法鉴定的程序 34

2.2.7实验室认可 34

2.3信息网络安全的法律责任制度 36

2.3.1刑事责任 37

2.3.2行政责任 39

2.3.3民事责任 40

2.4小结 41

本章参考文献 41

第3章 计算机取证与司法鉴定基础知识 43

3.1仪器设备配置标准 43

3.1.1背景 43

3.1.2配置原则 43

3.1.3配置标准及说明 43

3.1.4结语 46

3.2数据加密 47

3.2.1密码学 47

3.2.2传统加密算法 47

3.2.3对称加密体系 48

3.2.4公钥密码体系 50

3.2.5散列函数 52

3.3数据隐藏 55

3.3.1信息隐藏原理 55

3.3.2数据隐写术 56

3.3.3数字水印 58

3.4密码破解 59

3.4.1密码破解原理 60

3.4.2一般密码破解方法 60

3.4.3分布式网络密码破解 60

3.4.4密码破解的应用部分 62

3.5入侵与追踪 64

3.5.1入侵与攻击手段 65

3.5.2追踪手段 67

3.6检验、分析与推理 70

3.6.1计算机取证与司法鉴定的准备 70

3.6.2计算机证据的保全 71

3.6.3计算机证据的分析 72

3.6.4计算机证据的推理 72

3.6.5证据跟踪 73

3.6.6结果提交 73

3.7小结 73

本章参考文献 73

第4章 Windows系统的取证与分析 75

4.1 Windows系统现场证据的获取 75

4.1.1固定证据 75

4.1.2深入获取证据 79

4.2 Windows系统中电子证据的获取 81

4.2.1日志 81

4.2.2文件和目录 85

4.2.3注册表 87

4.2.4进程列表 90

4.2.5网络轨迹 92

4.2.6系统服务 93

4.2.7用户分析 95

4.3证据获取/工具使用实例 96

4.3.1 EnCase 96

4.3.2 MD5校验值计算工具（MD5sums） 98

4.3.3进程工具（pslist） 99

4.3.4注册表工具（Autoruns） 100

4.3.5网络查看工具（f port和netstat） 102

4.3.6服务工具（psservice） 103

4.4 Windows Vista操作系统的取证与分析 104

4.4.1引言 104

4.4.2 Windows Vista系统取证与分析 104

4.4.3总结 110

4.5小结 110

本章参考文献 110

第5章 UNIX/Linux系统的取证与分析 111

5.1 UNIX/Linux操作系统概述 111

5.1.1 UNIX/Linux操作系统发展简史 111

5.1.2 UNIX/Linux系统组成 111

5.2 UNIX/Linux系统中电子证据的获取 114

5.2.1 UNIX/Linux现场证据的获取 114

5.2.2屏幕信息的获取 114

5.2.3内存及硬盘信息的获取 115

5.2.4进程信息 117

5.2.5网络连接 118

5.3 Linux系统中电子证据的分析 119

5.3.1数据预处理 120

5.3.2日志文件 121

5.3.3其他信息源 126

5.4 UNIX/Linux取证与分析工具 128

5.4.1 The Coroners Toolkit 128

5.4.2 Sleuth Kit 129

5.4.3 Autopsy 129

5.4.4 SMART for Linux 130

5.5小结 135

本章参考文献 135

第6章 网络取证 136

6.1网络取证的定义和特点 136

6.1.1网络取证的定义 136

6.1.2网络取证的特点 137

6.1.3专用网络取证 137

6.2 TCP/IP基础 138

6.2.1 OSI 138

6.2.2 TCP/IP协议 139

6.2.3网络取证中层的重要性 142

6.3网络取证数据源 142

6.3.1防火墙和路由器 142

6.3.2数据包嗅探器和协议分析器 143

6.3.3入侵检测系统 145

6.3.4远程访问 146

6.3.5 SEM软件 146

6.3.6网络取证分析工具 146

6.3.7其他来源 148

6.4网络通信数据的收集 148

6.4.1技术问题 149

6.4.2法律方面 154

6.5网络通信数据的检查与分析 154

6.5.1辨认相关的事件 155

6.5.2检查数据源 156

6.5.3得出结论 159

6.5.4攻击者的确认 160

6.5.5对检查和分析的建议 161

6.6网络取证与分析实例 161

6.6.1发现攻击 162

6.6.2初步分析 162

6.6.3现场重建 162

6.6.4取证分析 169

6.7 QQ取证 169

6.7.1发展现状 169

6.7.2技术路线 169

6.7.3取证工具 170

6.7.4技术基础 170

6.7.5聊天记录提取 170

6.7.6其他相关证据提取 172

6.7.7 QQ取证与分析案例 172

6.7.8结束语 174

6.8小结 174

本章参考文献 174

第7章 木马的取证 176

7.1木马简介 176

7.1.1木马的定义 176

7.1.2木马的特性 177

7.1.3木马的种类 177

7.1.4木马的发展现状 177

7.2木马的基本结构和原理 179

7.2.1木马的原理 179

7.2.2木马的植入 179

7.2.3木马的自启动 179

7.2.4木马的隐藏和Rootkit 180

7.2.5木马的感染现象 182

7.2.6木马的检测 182

7.3木马的取证与分析方法 183

7.3.1取证的基本知识 183

7.3.2识别木马 183

7.3.3证据提取 187

7.3.4证据分析 187

7.4典型案例分析 190

7.4.1 PC-share 191

7.4.2灰鸽子 194

7.4.3广外男生 196

7.4.4驱动级隐藏木马 197

本章参考文献 201

第8章 手机取证 203

8.1手机取证概述 203

8.1.1手机取证的背景 203

8.1.2手机取证的概念 204

8.1.3手机取证的原则 204

8.1.4手机取证的流程 204

8.1.5手机取证的发展方向 206

8.2手机取证基础知识 206

8.2.1移动通信相关知识 207

8.2.2 SIM卡相关知识 211

8.2.3手机相关知识 213

8.3手机取证与分析工具 216

8.3.1便携式手机取证箱（CellDEK） 217

8.3.2 XRY系统 218

8.4专业电子设备取证与分析 219

8.4.1专业电子设备的电子证据 219

8.4.2专业电子设备取证的一般方法及流程 221

8.5小结 222

本章参考文献 223

第9章 计算机取证与司法鉴定案例 224

9.1“熊猫烧香”案件的司法鉴定 224

9.1.1案件背景 224

9.1.2熊猫烧香病毒介绍 224

9.1.3熊猫烧香病毒网络破坏过程 225

9.1.4鉴定要求 225

9.1.5鉴定环境 226

9.1.6检材克隆和MD5值校验 226

9.1.7鉴定过程 226

9.1.8鉴定结论 230

9.1.9将附件刻录成光盘 231

9.1.10审判 231

9.1.11总结与展望 231

9.2某软件侵权案件的司法鉴定 231

9.2.1问题的提出 231

9.2.2计算机软件系统结构的对比 232

9.2.3模块文件结构、数目、类型、属性对比 232

9.2.4数据库对比 233

9.2.5运行界面对比 235

9.2.6 MD5校验对比 236

9.2.7结论与总结 236

9.3某少女被杀案的取证与分析 237

9.3.1案情介绍 237

9.3.2检材确认及初步分析 237

9.3.3线索突破 238

9.3.4总结与思考 239

9.4某破坏网络安全管理系统案 239

9.4.1基本案情及委托要求 239

9.4.2鉴定过程 240

9.4.3检测结果和鉴定意见 247

9.4.4小结 247

9.5某短信联盟诈骗案 247

9.5.1基本案情 247

9.5.2鉴定过程 247

9.5.3检测结果和鉴定意见 259

9.5.4小结 260

9.6云南新东方86亿网络赌博案 260

9.6.1基本案情及委托要求 260

9.6.2鉴定过程 261

9.6.3检测结果和鉴定意见 268

9.6.4小结 268

9.7某网络传销案 269

9.7.1基本案情及委托要求 269

9.7.2鉴定过程 269

9.7.3检测结果和鉴定意见 276

9.7.4小结 276

习题14 368

第15章 图形界面编程简介 369

15.1案例剖析 369

15.2 Windows编程 370

15.2.1 Windows API与MFC概述 370

15.2.2 MFC编程 370

15.3基于对话框的应用程序 371

15.3.1对话框应用程序实例 371

15.3.2对话框应用程序控件 377

15.4文档/视图结构应用程序实例 377

本章小结 379

习题15 380

附录 381

附录A运算符的优先级与结合性 381

附录B常用字符与ASCII值对照表 383

参考文献 384