計算機取證技術

前言
第1章 計算機取證的基本概念
1.1 計算機取證的基本概念
1.1.1 計算機取證的定義
1.1.2 計算機取證研究概況
1.2 電子證據(jù)的概念
1.2.1 電子證據(jù)的定義
1.2.2 電子證據(jù)的特點
1.2.3 電子證據(jù)的來源
1.3 計算機取證的原則和步驟
1.3.1 計算機取證的基本原則
1.3.2 計算機取證的一般步驟
1.3.3 一個具體的計算機取證實例
1.4 計算機取證模型
1.4.1 基本過程模型
1.4.2 事件響應過程模型
1.4.3 法律執(zhí)行過程模型
1.4.4 過程抽象模型
1.5 計算機取證的發(fā)展趨勢
參考文獻
第2章 計算機取證的常見工具
2.1 計算機取證的相關工具
2.1.1 一般工具軟件
2.1.2 取證專用工具軟件
2.2 取證復制工具包
2.2.1 Encase
2.2.2 SafeBack
2.2.3 Unix實用程序dd
2.2.4 開放數(shù)據(jù)復制工具
2.3 取證分析工具包
2.3.1 FTK
2.3.2 TCT工具包
2.4 國內(nèi)外計算機取證設備對比與分析
2.4.1 國內(nèi)主要取證產(chǎn)品介紹
2.4.2 國內(nèi)外計算機取證設備對比與分析
2.5 Linux環(huán)境下的計算機取證工具介紹
2.5.1 Sleuthkit
2.5.2 Autopsy
2.5.3 SMART for Linux
參考文獻
第3章 硬盤結構及文件系統(tǒng)基礎
3.1 硬盤的結構
3.1.1 硬盤的物理結構
3.1.2 硬盤的邏輯結構
3.2 硬盤數(shù)據(jù)組織
3.3 文件的刪除與恢復
3.3.1 Windows系統(tǒng)的文件刪除與恢復
3.3.2 Unix/Linux系統(tǒng)的文件刪除與恢復
參考文獻
第4章 Windows系統(tǒng)取證方法
4.1 Windows系統(tǒng)初始響應方法
4.1.1 創(chuàng)建初始響應工具包
4.1.2 初始響應方法
4.1.3 編寫初始響應腳本
4.2 Windows系統(tǒng)取證實例
4.2.1 取證背景
4.2.2 系統(tǒng)概況和證據(jù)處理
4.2.3 建立取證工具
4.2.4 介質(zhì)備份及分析
4.2.5 MAC時間分析
4.2.6 注冊表
4.2.7 恢復被刪除文件
4.2.8 最后分析結論
參考文獻
第5章 Unix系統(tǒng)取證方法
5.1 Unix系統(tǒng)初始響應方法
5.1.1 創(chuàng)建初始響應工具包
5.1.2 保存初始響應信息
5.1.3 收集數(shù)據(jù)
5.2 Unix系統(tǒng)取證方法
5.2.1 數(shù)據(jù)獲取
5.2.2 取證分析
參考文獻
第6章 Linux系統(tǒng)取證方法
6.1 Linux系統(tǒng)初始響應方法
6.1.1 初始響應的準備工作
6.1.2 初始響應的具體步驟和方法
6.2 Linux磁盤介質(zhì)備份
6.2.1 準備工作
6.2.2 介質(zhì)備份
6.3 Linux系統(tǒng)取證方法
參考文獻
第7章 計算機反取證技術
7.1 數(shù)據(jù)擦除
7.2 數(shù)據(jù)隱藏
7.2.1 實現(xiàn)數(shù)據(jù)隱藏的幾種常用方法
7.2.2 實現(xiàn)數(shù)據(jù)隱藏的具體實例
7.3 Linux環(huán)境下常見的計算機反取證工具介紹
7.4 Windows環(huán)境下常見的計算機反取證工具介紹
參考文獻
第8章 可引導取證工具Helix及其使用
8.1 引言
8.2 Windows工作模式
8.2.1 預覽系統(tǒng)信息
8.2.2 使用dd工具獲取正在運行的Windows系統(tǒng)映像
8.2.3 Windows系統(tǒng)應急響應工具
8.2.4 在線瀏覽重要文檔
8.2.5 瀏覽CD-ROM和主機OS的內(nèi)容
8.2.6 從正在運行的系統(tǒng)中查找圖片文件
8.3 Linux工作模式