序 拥抱电子证据的时代&赵志刚 1
导言 1
第一章 电子证据概述 4
第一节 电子证据的概念与表现形式 4
一、电子证据的概念 4
二、电子证据的表现形式 6
第二节 电子证据与传统证据的关系 7
第三节 法律中的“电子证据” 9
一、《刑事诉讼法》中的电子证据 9
二、《民事诉讼法》中的电子证据 9
三、“两个证据规定”中的电子证据 10
第四节 电子证据的分类与特征 11
一、电子证据的分类 11
二、电子证据的特征 12
第五节 信息系统在案件中的地位与作用 18
一、对象论 18
二、工具论 19
三、线索论 20
四、沟通渠道论 21
五、现场论 23
六、其他观点 33
第六节 电子证据的相关界定 35
一、现有的一些鉴定类型 35
二、计算机犯罪与计算机证据的区别 39
三、电子数据与视听资料的关系 39
第二章 通信技术基础与证据调查 42
第一节 信息与信号 42
一、信息 42
二、信号 43
第二节 通信发展简史 46
一、古代通信技术 48
二、“电力”通信时代 49
三、现代通信网络 50
四、有线电报和无线电报 51
第三节 模拟通信与数字通信 57
第四节 移动通信技术原理 57
一、移动通信的发展历史 59
二、蜂窝电话基本原理 61
三、关键术语 62
四、系统的主要特点 66
五、SIM卡 67
第五节 手机在侦查中的应用 70
一、定位功能 70
二、信息截获 71
三、手机信息获取 73
四、可获取手机信息类型 79
第六节 手机的扣押 80
第七节 SafeMobile盘石手机取证分析系统功能介绍 81
第八节 VAT-CelAn手机行为分析系统功能介绍 81
一、工具功能特点 82
二、主要分析模块介绍 86
三、多机关联分析模块介绍 89
四、智能报告生成 91
第九节 效率源一站式智能手机专业取证系统介绍 92
一、产品概述 92
二、操作使用介绍 99
三、系统管理 114
四、辅助功能 119
第三章 声纹与测谎 121
第一节 声波、声波数字化及声纹鉴定 121
一、声波 121
二、声波数字化 124
三、声纹鉴定 127
第二节 测谎与情感分析 132
一、测谎与测谎技术 132
二、测谎的功能 134
三、测谎技术在我国的应用 136
四、测谎技术的局限性 137
第三节 语音情感分析 139
一、人类的发音机制 140
二、LVA分析原始值 141
三、LVA分析的谎言类型 142
四、LVA6.5工作模式 143
五、LVA技术在检察系统的应用 145
第四章 计算机证据调查技术基础 146
第一节 信息技术 146
一、信息构成 146
二、信息载体 146
三、信息技术 147
第二节 计算机系统 149
一、二进制 149
二、微型计算机系统结构 152
三、内存与字节 156
四、编码 158
第三节 存储层次 174
一、应用程序层 178
二、操作系统与文件系统层 188
三、文件签名 191
四、存储设备层 196
第四节 计算机搜查 197
一、是否需要申领搜查证 201
二、如何确定搜查的范围 203
三、如何保护其他人员的合法权益 205
四、第三方如何进行必要的协助 206
第五节 证据固定的三大技术基础 208
一、只读的概念 211
二、镜像的概念 211
三、数字指纹的概念 214
第六节 内存信息的获取 220
第七节 带电移机 221
第五章 密码学基础及其在取证中的应用 222
第一节 传统安全与保密 222
第二节 加密通信模型 228
第三节 古典密码学 230
一、移位加密法 234
二、关键词加密法 236
三、仿射加密法(Caesar的穷举变种) 240
四、多文字加密法(Playfair) 240
五、置换加密法 241
第四节 现代密码学 241
第五节 密码算法 246
第六节 解密技术 247
第七节 解密的应用 254
第六章 信息安全与网络取证技术基础 258
第一节 信息安全概念 258
一、保密性(Confidentiality) 259
二、完整性(Integrity) 260
三、可用性(Availability) 261
四、真实性(Authenticity) 261
五、不可抵赖性(Non-repudiation) 261
第二节 单机信息安全的由来 261
第三节 网络信息安全 265
一、网络基础 270
二、OSI参考模型与TCP/IP协议簇 275
三、互联网服务 287
四、网络互连设备 294
五、网络信息传输 298
第四节 网络信息服务过程 301
一、PSTN公共电话网 301
二、通过局域网网关接入 307
三、DDN专线 308
四、CATV接入和电力线接入 308
五、卫星接入 309
六、光纤接入 309
七、无线接入 309
八、FTTX+LAN接入方式 310
九、移动接入方式 310
第五节 网络取证原理 311
第六节 网络信息安全 313
一、网络身份的确认 318
二、访问控制 324
第七节 网络安全威胁 331
第八节 安全技术 332
一、加密 332
二、认证和识别 333
三、权限控制 334
四、安全工具分类 335
第九节 信息战 336
第十节 信息犯罪 338
一、信息犯罪的起源 338
二、信息犯罪的特点 338
第十一节 网络证据调查 341
第七章 电子数据勘验与鉴定程序规则 343
第一节 现场勘验 343
第二节 程序规则 345
第八章 单机证据分析 354
第一节 安全策略 355
第二节 日志的查看 357
第三节Windows登录类型 363
第四节 其他日志 364
第五节 其他痕迹 367
第六节 内存转储 369
一、内存固定 370
二、在线信息获取 370
第七节 pagefile.sys 374
第八节 hiberfil.sys 374
第九节 临时文件和各类镜像文件 374
第十节 系统分析与监控工具 376
一、虚拟机 376
二、文件监控 379
三、注册表监控 380
四、系统文件监控 381
五、进程分析 383
第十一节 自启动分析 395
一、AUTOEXEC.BAT 395
二、“启动”菜单 397
三、WIN.INI与SYSTEM.INI 398
四、WININIT.INI与WINSTART.BAT 400
五、Config.sys 402
六、USERINIT.INI 402
七、Dosstart.bat 402
八、注册为系统服务 402
九、驱动级木马 402
十、DESPTOP.ini和FOLDER.HTT 404
十一、注册表启动 404
十二、Explorer.exe启动 408
十三、屏幕保护启动方式 408
十四、依附启动 409
十五、脚本启动 409
十六、计划任务启动方式 410
十七、AutoRun.inf启动方式 410
十八、start命令 411
十九、控制面板启动 411
二十、修改组策略 411
二十一、修改文件关联 413
二十二、添加到流媒体中 414
第十二节 如何查看木马 414
一、系统自带工具 414
二、防病毒工具 415
三、微点自主防御软件 416
四、IceSword 418
五、knlsc 419
第十三节 信息隐藏 419
一、通过文件属性进行隐藏 419
二、超级隐藏 420
三、变换扩展名 421
四、特殊目录/文件名 424
五、加密 426
六、网页加密 426
七、设置访问权限 426
八、回收站隐藏 428
九、System Volume Information 429
十、捆绑隐藏 432
十一、添加到文件后 433
十二、流方式隐藏 433
十三、利用设备名 436
十四、嵌入/信息隐藏 438
第十四节 数码照片中的隐私信息 440
第十五节 WORD文档中的隐私信息 446
一、访问记录 446
二、临时文件 447
三、WBK文件 448
四、虚拟内存文件与休眠文件 448
五、非法操作时所产生的“被挽救的文档” 448
六、Temp目录 449
七、回收站目录 449
八、剪贴板 449
九、摘要 449
十、WORD口令破解 452
第十六节 上网痕迹与邮件 455
第十七节 证据分析专业工具 456
一、EnCase 456
二、FTK 481
三、盘石介质取证分析系统SafeAnalyzer 495
四、X-Ways 550
五、其他工具 550
第十八节 溯源性分析 551
一、硬件系统 552
二、软件系统 552
三、溯源性 554
第十九节 存储介质检验 558
第二十节 鉴定分析工作的应用 558
第二十一节 电子证据让虚假鉴定显原形 559
第九章 网络证据分析 562
第一节 网络数据包协议解析 562
一、HTTP数据包分析 562
二、电子邮件数据包分析 564
三、即时通信数据包分析 565
四、FTP数据包分析 567
五、P2P共享文件数据包分析 568
六、Telnet数据包分析 569
七、VOIP数据包分析 569
八、HTTP视频流数据包分析 570
九、HTTPS/SSL数据包分析 571
十、WLAN数据包介绍 572
第二节 网络事件处理与取证 572
一、网络典情 572
二、社会关系排查 579
三、网络洗钱 582
四、网络诽谤与人身攻击 584
五、网络谣言 588
六、网络诈骗 591
七、网络水军与网络推手 593
八、网络删帖 596
九、网络侵权 597
第三节 网络线索应用 597
第四节 网站远程固定工具 601
第十章 动态仿真分析系统 603
第一节 工具简介 603
一、概述 603
二、主要功能 603
第二节 软件安装 604
一、系统要求 604
二、SafeVM Pro安装升级 604
第三节 操作方法 607
一、设备连接 607
二、系统仿真 607
三、提取密码Hash值 614
四、启动失败配置 614
第四节 仿真系统在木马调查中的使用 616
一、操作系统仿真 617
二、搭建网络环境 618
三、木马行为分析 619
第五节 在线动态数据分析出现问题的应对 619
一、64位系统仿真失败 620
二、启动虚拟机时出现“The physical disk is already in use”(物理磁盘已被使用)字样 620
三、Unix/Linux、 Windows双系统启动失败 621
四、切换到虚拟机系统,键盘及鼠标没有反应 622
第六节 ATT-3000 622
第十一章 电子邮件调查 623
第一节 电子邮件的发送和接收 623
第二节 电子邮件地址构成 624
第三节 电子邮件起源 626
第四节 电子邮件服务器系统 627
第五节 使用电子邮件的两种常用方式 627
一、客户端方式 627
二、WEB方式 628
第六节 电子邮件真实性判定 629
第七节 电子邮件的鉴定思路 641
第八节 典型案例 644
一、北京大学顶替上学的邮件 644
二、垃圾电子邮件典型案例 647
三、劳动争议中电子邮件证据 648
四、邮箱泄密典型案例 648
第十二章 网络公证与打击侵权盗版 651
第一节 网络公证概述 651
一、网络公证的含义 651
二、美国网络公证发展概述及对我国公证行业的借鉴意见 654
三、美国网络公证行动对于我国公证行业的借鉴意义 654
第二节 网络公证与电子商务 656
一、网络诚信问题已成为电子商务发展的“瓶颈” 656
二、充分发挥电子认证服务与网络公证服务的作用,对于构建诚信网络有现实意义 656
第三节 网络公证与互联网知识产权保护 657
一、网络环境下的知识产权保护现状 657
二、网络公证与网络环境下的知识产权保护 658
第四节 小结 660
第十三章 电子证据工具体系与取证云 661
第一节 取证工作云 661
一、应用背景 661
二、取证工作云的业务 663
三、工作云平台结构 663
四、工作云平台业务之间的关系 664
五、工作云平台业务流程 665
六、后端分析 666
第二节 取证服务云 666
一、应用背景 666
二、取证服务云的数据采集 666
三、取证服务云的业务 667
第十四章 网上交易、跨国犯罪与国际协作 669
第一节 网上交易平台 669
第二节 网游交易平台 670
第三节 主要跨国犯罪类型 671
一、洗钱 671
二、恐怖行动 671
三、盗窃文物和艺术品 672
四、侵犯知识产权 672
五、非法买卖武器 672
六、劫机 672
七、海盗 672
八、抢劫地面交通工具 673
九、骗保 673
十、计算机犯罪 673
十一、生态犯罪 673
十二、贩卖人口 673
十三、人体器官交易 674
十四、非法贩卖毒品 674
十五、虚假破产 674
十六、参与非法经营 674
十七、贪污受贿 674
第四节 国际反贪局联合会 675
第五节 引渡制度 676
一、概念 676
二、发展历史 676
三、引渡主体 676
四、引渡对象 678
五、引渡理由 678
六、引渡效果 680
第六节《网络犯罪公约》 680
第十五章 电子数据综合应用 683
第一节 电子数据综合应用的实际做法 683
第二节 结语 684