电子数据取证技术

第1章电子数据取证技术概述

1.1网络犯罪及其主要特点

1.1.1计算机犯罪与网络犯罪

1.1.2常见的网络犯罪的形式

1.1.3网络犯罪的特点

1.2电子数据的概念

1.2.1电子证据

1.2.2电子数据

1.3电子数据的常见类型

1.3.1计算机数据类证据

1.3.2通信数据类证据

1.3.3静态电子数据证据和动态电子数据证据

1.3.4电子设备生成的电子数据

1.3.5数字电文数据

1.3.6封闭和开放系统中的电子数据

1.3.7电子数据和再生性电子数据

1.3.8根据现行法律对电子证据的分类

1.3.9新型电子数据

1.4电子数据的特点

1.5电子数据取证

1.5.1电子数据取证的概念及特点

1.5.2电子数据取证的对象

1.6电子数据取证过程

1.6.1电子证据的保全

1.6.2电子数据获取

1.6.3数据恢复

1.6.4证据分析

1.7电子数据取证的发展

1.7.1国外电子数据取证发展概况

1.7.2国内电子数据取证发展概况

1.7.3电子数据取证技术的发展

1.8电子数据取证的特点

1.9电子数据取证人员的素质要求

1.9.1电子数据取证人员应具备的知识

1.9.2电子数据取证人员应具备的能力

习题

第2章电子数据取证的基本规则

2.1电子数据取证的基本原则

2.1.1IOCE提出的计算机取证原则

2.1.2ACPO提出的计算机取证原则

2.1.3电子数据取证应遵循的原则

2.2电子数据取证规则

2.2.1电子数据的收集与提取

2.2.2电子数据的检查和侦查实验

2.2.3电子数据真实性的认定

2.3电子数据取证的一般流程

2.3.1案件受理

2.3.2现场保护与外围调查

2.3.3电子数据获取与固定

2.3.4电子数据分析

2.3.5报告和归档

习题

第3章电子数据取证基础知识

3.1计算机基础知识

3.1.1计算机系统的组成

3.1.2计算机中信息的表示

3.1.3虚拟化与云计算

3.1.4大数据

3.1.5人工智能

3.1.6集成电路技术

3.2计算机硬件

3.2.1典型计算机系统的硬件组成

3.2.2中央处理器

3.2.3存储器

3.2.4总线与I/O接口

3.2.5输入/输出设备

3.2.6智能手机的硬件

3.3操作系统

3.3.1操作系统概述

3.3.2操作系统的资源管理

3.4计算机网络

3.4.1计算机网络概述

3.4.2计算机网络的分层模型及数据单元

3.5数字媒体

3.5.1文本

3.5.2图形与图像

3.5.3数字音频

3.5.4数字视频

3.6数据库

3.6.1数据库基础

3.6.2数据仓库与数据挖掘

3.6.3关系数据库

习题

第4章Windows操作系统取证技术

4.1Windows操作系统取证概述

4.1.1Windows操作系统的发展

4.1.2注册表的取证

4.1.3事件日志的取证

4.1.4卷影复制的取证

4.1.5时间信息的取证

4.2磁盘与文件

4.2.1卷与分区

4.2.2独立冗余磁盘阵列

4.2.3文件系统

4.2.4EFS加密

4.2.5文件取证

4.3数据的提取和固定

4.3.1前期准备

4.3.2在线取证

4.3.3离线取证

4.4数据恢复

4.4.1数据恢复的原理

4.4.2常见类型和方法

4.5数据分析

4.5.1系统痕迹

4.5.2用户痕迹

4.5.3内存分析

4.5.4反取证痕迹

习题

第5章macOS取证技术

5.1macOS取证概述

5.1.1Mac的发展

5.1.2Apple T2安全芯片

5.1.3macOS的发展

5.2macOS的系统特性

5.2.1系统架构

5.2.2时间戳

5.3文件系统

5.3.1卷与分区

5.3.2根目录

5.3.3文件系统的发展

5.3.4文件保险箱

5.3.5关键文件格式

5.4数据的提取与固定

5.4.1准备工作

5.4.2在线取证

5.4.3离线取证

5.5数据的分析

5.5.1用户域

5.5.2用户与群组

5.5.3主目录

5.5.4资源库

5.5.5钥匙串

5.5.6系统痕迹

5.5.7用户痕迹

5.5.8时间机器

5.5.9常用工具

习题

第6章UNIX/Linux操作系统取证技术

6.1操作系统发展简介

6.1.1单机应用时代的操作系统

6.1.2网络时代的操作系统

6.2UNIX/Linux操作系统取证概述

6.2.1UNIX操作系统简介

6.2.2Linux操作系统简介

6.3Linux操作系统特性

6.3.1文件系统

6.3.2重要目录

6.3.3常用命令

6.3.4日志分析

6.3.5Linux日志分析

6.3.6不同类型案件取证

习题

第7章移动终端取证技术

7.1移动通信概述

7.1.1运营商的发展

7.1.2智能手机操作系统

7.1.3移动终端的发展

7.2取证对象

7.2.1用户识别卡

7.2.2鉴权码

7.2.3手机存储卡

7.2.4备份与云服务

7.2.5取证流程

7.2.6取证方法

7.3iOS设备取证

7.3.1iOS设备取证概述

7.3.2文件系统

7.3.3SQLite数据库

7.3.4加密与解密

7.3.5数据的提取与固定

7.3.6数据的恢复

7.3.7数据的分析

7.4Android设备取证

7.4.1Android设备取证概述

7.4.2文件系统

7.4.3加密与解密

7.4.4数据的提取、固定与分析

7.5其他智能设备取证

7.5.1Apple Watch取证

7.5.2小米手环取证

习题

第8章网络取证技术

8.1网络取证定义

8.1.1网络取证的特点

8.1.2网络取证模型

8.1.3网络证据数据源

8.1.4网络证据分析

8.1.5对取证人员的要求

8.2服务提供端取证

8.2.1日志信息的主要功能

8.2.2Web服务器日志和配置文件分析

8.2.3Apache日志的配置文件分析

8.2.4IIS日志和配置文件分析

8.2.5数据库日志和配置文件分析

8.3客户端取证

8.3.1注册表分析

8.3.2日志分析

8.3.3浏览器取证

8.4局域网取证

8.4.1局域网监听的基本原理

8.4.2局域网监听的实现及取证方法

8.5无线网络取证

8.5.1无线网络取证的基本思路

8.5.2无线网络的取证对象

8.5.3无线网络的取证种类

8.5.4移动客户端的痕迹分析

8.5.5无线网络设备的痕迹分析

8.6网络数据包分析

8.6.1数据包嗅探器工作原理

8.6.2数据包捕获

8.6.3典型数据包分析

8.7云端数据取证

8.7.1云取证概述

8.7.2证据来源及重点关注的问题

8.7.3证据源的收集及分析

习题

参考文献