電子數(shù)據(jù)取證

推薦序
譯者序
前言
致謝
譯者簡(jiǎn)介
第一部分　計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)取證基礎(chǔ)
第1章　電子數(shù)據(jù)取證概述 2
1.1　概述 2
1.1.1　成長(zhǎng)期 2
1.1.2　快速發(fā)展 3
1.1.3　挑戰(zhàn) 4
1.1.4　數(shù)字取證的隱私風(fēng)險(xiǎn) 7
1.1.5　展望未來(lái) 7
1.2　電子數(shù)據(jù)取證的范疇及其重要性 8
1.3　電子證據(jù) 10
1.4　電子數(shù)據(jù)取證流程與技術(shù) 14
1.4.1　準(zhǔn)備階段 16
1.4.2　犯罪現(xiàn)場(chǎng)階段 16
1.4.3　電子證據(jù)實(shí)驗(yàn)室階段 18
1.5　電子數(shù)據(jù)取證的類(lèi)型 20
1.6　有用的資源 23
1.7　練習(xí)題 27
參考文獻(xiàn) 28
第2章　計(jì)算機(jī)系統(tǒng)概論 30
2.1　計(jì)算機(jī)組成 30
2.2　數(shù)據(jù)表示 33
2.3　內(nèi)存對(duì)齊和字節(jié)順序 35
2.4　實(shí)戰(zhàn)練習(xí) 38
2.4.1　設(shè)置實(shí)驗(yàn)環(huán)境 38
2.4.2　練習(xí)題 38
附錄　如何使用gdb調(diào)試工具調(diào)試C程序 41
參考文獻(xiàn) 42
第3章　搭建取證工作站 43
3.1　TSK和Autopsy Forensics Browser 43
3.1.1　TSK 43
3.1.2　Autopsy Forensic Browser 45
3.1.3　Kali Linux中的TSK和Autopsy 47
3.2　虛擬化 47
3.2.1　為什么要虛擬化 48
3.2.2　有哪些虛擬機(jī)可供選擇 49
3.2.3　為什么選擇VMware虛擬化平臺(tái) 50
3.3　使用 Kali Linux 建立取證工作站 50
3.4　首次使用TSK進(jìn)行電子數(shù)據(jù)檢驗(yàn) 62
3.5　實(shí)戰(zhàn)練習(xí) 66
3.5.1　設(shè)置實(shí)驗(yàn)環(huán)境 66
3.5.2　練習(xí)題 66
附錄A　在 Linux 中安裝軟件 72
附錄B　dcfldd備忘單 73
參考文獻(xiàn) 74
第二部分　文件系統(tǒng)取證分析
第4章　卷的檢驗(yàn)分析 76
4.1　硬盤(pán)結(jié)構(gòu)和磁盤(pán)分區(qū) 76
4.1.1　硬盤(pán)結(jié)構(gòu) 77
4.1.2　磁盤(pán)分區(qū) 79
4.1.3　DOS分區(qū) 80
4.1.4　分區(qū)中的扇區(qū)尋址 85
4.2　卷分析 86
4.2.1　磁盤(pán)布局分析 86
4.2.2　分區(qū)連續(xù)性檢查 86
4.2.3　獲取分區(qū) 87
4.2.4　已刪除分區(qū)的恢復(fù) 87
4.3　實(shí)戰(zhàn)練習(xí) 89
4.3.1　設(shè)置實(shí)驗(yàn)環(huán)境 89
4.3.2　練習(xí)題 89
4.4　提示 90
參考文獻(xiàn) 92
第5章　FAT文件系統(tǒng)檢驗(yàn)分析 93
5.1　文件系統(tǒng)概述 94
5.2　FAT文件系統(tǒng) 99
5.2.1　分區(qū)引導(dǎo)扇區(qū) 100
5.2.2　文件分配表 103
5.2.3　FAT文件系統(tǒng)尋址 104
5.2.4　根目錄和目錄項(xiàng) 105
5.2.5　長(zhǎng)文件名 108
5.3　實(shí)戰(zhàn)練習(xí) 112
5.3.1　設(shè)置實(shí)驗(yàn)環(huán)境 112
5.3.2　練習(xí)題 112
5.4　提示 113
附錄A　FAT12 / 16分區(qū)引導(dǎo)扇區(qū)的數(shù)據(jù)結(jié)構(gòu) 115
附錄B　FAT32分區(qū)引導(dǎo)扇區(qū)的數(shù)據(jù)結(jié)構(gòu) 116
附錄C　LFN目錄項(xiàng)校驗(yàn)和算法 116
參考文獻(xiàn) 117
第6章　FAT文件系統(tǒng)數(shù)據(jù)恢復(fù) 118
6.1　數(shù)據(jù)恢復(fù)原理 118
6.2　FAT文件系統(tǒng)中的文件創(chuàng)建和刪除 121
6.2.1　文件創(chuàng)建 121
6.2.2　文件刪除 123
6.3　FAT文件系統(tǒng)中刪除文件的恢復(fù) 123
6.4　實(shí)戰(zhàn)練習(xí) 125
6.4.1　設(shè)置實(shí)驗(yàn)環(huán)境 125
6.4.2　練習(xí)題 125
6.5　提示 127
參考文獻(xiàn) 130
第7章　NTFS文件系統(tǒng)檢驗(yàn)分析 131
7.1　NTFS文件系統(tǒng) 131
7.2　MFT 133
7.3　NTFS索引 140
7.3.1　B樹(shù) 140
7.3.2　NTFS 目錄索引 142
7.4　NTFS 高級(jí)特性 151
7.4.1　EFS 151
7.4.2　數(shù)據(jù)存儲(chǔ)效率 156
7.5　實(shí)戰(zhàn)練習(xí) 158
7.5.1　設(shè)置實(shí)驗(yàn)環(huán)境 158
7.5.2　練習(xí)題 158
7.6　提示 159
7.6.1　在NTFS文件系統(tǒng)中查找MFT 159
7.6.2　確定一個(gè)給定MFT表項(xiàng)的簇地址 160
參考文獻(xiàn) 161
第8章　NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù) 162
8.1　NTFS文件恢復(fù) 162
8.1.1　NTFS文件系統(tǒng)中的文件創(chuàng)建和刪除 163
8.1.2　NTFS文件系統(tǒng)中已刪除文件的恢復(fù) 168
8.2　實(shí)戰(zhàn)練習(xí) 169
8.2.1　設(shè)置實(shí)驗(yàn)環(huán)境 169
8.2.2　練習(xí)題 170
參考文獻(xiàn) 171
第9章　文件雕復(fù) 172
9.1　文件雕復(fù)的原理 172
9.1.1　頭部/尾部雕復(fù) 173
9.1.2　BGC 176
9.2　文件雕復(fù)工具 180
9.2.1　Foremost 180
9.2.2　Scalpel 181
9.2.3　TestDisk和Photorec 182
9.3　實(shí)戰(zhàn)練習(xí) 189
9.3.1　設(shè)置實(shí)驗(yàn)環(huán)境 189
9.3.2　練習(xí)題 189
參考文獻(xiàn) 190
第10章　文件指紋搜索取證 191
10.1　概述 191
10.2　文件指紋搜索過(guò)程 192
10.3　使用hfind進(jìn)行文件指紋搜索 194
10.3.1　使用md5sum創(chuàng)建一個(gè)散列庫(kù) 194
10.3.2　為散列庫(kù)創(chuàng)建MD5索引文件 195
10.3.3　在散列庫(kù)中搜索特定的散列值 195
10.4　實(shí)戰(zhàn)練習(xí) 196
10.4.1　設(shè)置實(shí)驗(yàn)環(huán)境 196
10