計(jì)算機(jī)取證與司法鑒定（第二版）

第二版前言
第一版前言
項(xiàng)目1 計(jì)算機(jī)取證準(zhǔn)備和現(xiàn)場(chǎng)處理
學(xué)習(xí)目標(biāo)
項(xiàng)目說(shuō)明
項(xiàng)目任務(wù)
基礎(chǔ)知識(shí)
1．1 計(jì)算機(jī)取證和司法鑒定
1．1．1 計(jì)算機(jī)取證和司法鑒定的概念
1．1．2 計(jì)算機(jī)取證和司法鑒定的業(yè)務(wù)范圍
1．1．3 計(jì)算機(jī)取證的發(fā)展?fàn)顩r
1．1．4 計(jì)算機(jī)取證調(diào)查與個(gè)人隱私和公司秘密的保障
1．1．5 計(jì)算機(jī)取證和司法鑒定的原則
1．1．6 計(jì)算機(jī)取證的實(shí)施過(guò)程
1．2 計(jì)算機(jī)取證調(diào)查人員
1．2．1 計(jì)算機(jī)取證和司法鑒定人員的要求
1．2．2 企業(yè)內(nèi)部調(diào)查取證人員與司法取證和鑒定人員的異同
1．2．3 計(jì)算機(jī)取證人員的職業(yè)道德
1．3 企業(yè)內(nèi)部取證調(diào)查和司法取證調(diào)查
1．3．1 針對(duì)私營(yíng)企業(yè)內(nèi)部取證現(xiàn)場(chǎng)的取證調(diào)查
1．3．2 針對(duì)執(zhí)法犯罪現(xiàn)場(chǎng)的取證調(diào)查
項(xiàng)目分析
項(xiàng)目實(shí)施
1．4 任務(wù)一：計(jì)算機(jī)取證的程序和文檔準(zhǔn)備
1．4．1 計(jì)算機(jī)取證調(diào)查授權(quán)書(shū)的準(zhǔn)備
1．4．2 評(píng)估案件的性質(zhì)
1．4．3 確定計(jì)算機(jī)取證調(diào)查的邊界
1．4．4 準(zhǔn)備計(jì)算機(jī)取證的證據(jù)管理表單
1．5 任務(wù)二：計(jì)算機(jī)取證的硬、軟件準(zhǔn)備
1．5．1 了解取證案件的需求
1．5．2 規(guī)劃取證調(diào)查
1．5．3制作干凈的啟動(dòng)盤
1．5．4 建立現(xiàn)場(chǎng)取證工具箱
1．5．5 準(zhǔn)備取證所需設(shè)備和工具
1．6 任務(wù)三：進(jìn)入取證現(xiàn)場(chǎng)
1．6．1 處理一個(gè)主要的取證現(xiàn)場(chǎng)
1．6．2 保護(hù)現(xiàn)場(chǎng)的數(shù)字證據(jù)
1．6．3 分類數(shù)字證據(jù)
1．6．4 處理和管理數(shù)字證據(jù)
1．6．5 存儲(chǔ)數(shù)字證據(jù)
應(yīng)用實(shí)訓(xùn)
拓展練習(xí)
項(xiàng)目2 Windows環(huán)境的單機(jī)取證
學(xué)習(xí)目標(biāo)
項(xiàng)目說(shuō)明
項(xiàng)目任務(wù)
基礎(chǔ)知識(shí)
2．1 電子證據(jù)的概念和法律定位
2．1．1 電子證據(jù)的概念
2．1．2 電子證據(jù)、計(jì)算機(jī)證據(jù)和數(shù)字證據(jù)的異同
2．1．3 電子證據(jù)的特點(diǎn)
2．1．4 電子證據(jù)的可采性問(wèn)題
2．1．5 電子證據(jù)與我國(guó)傳統(tǒng)的七大證據(jù)的關(guān)系
2．1．6 電子證據(jù)與直接證據(jù)和間接證據(jù)的關(guān)系
2．2 Windows/DOS取證基礎(chǔ)
2．2．1 主引導(dǎo)記錄MBR
2．2．2 FAT文件結(jié)構(gòu)
2．2．3 NTFS文件結(jié)構(gòu)
項(xiàng)目分析
項(xiàng)目實(shí)施
2．3 任務(wù)一：在Windows環(huán)境下進(jìn)行原始證據(jù)取證復(fù)制
2．3．1 現(xiàn)場(chǎng)取證復(fù)制前的考慮
2．3．2 易失性證據(jù)快速取證
2．3．3 利用FTK Imager進(jìn)行取證復(fù)制
2．3．4 利用X-Ways Forensics進(jìn)行取證復(fù)制
2．4 任務(wù)二：Windows注冊(cè)表調(diào)查
2．4．1 注冊(cè)表基礎(chǔ)
2．4．2 計(jì)算機(jī)取證調(diào)查中關(guān)注的常規(guī)鍵
2．4．3 取證調(diào)查時(shí)注冊(cè)表中關(guān)注的文件夾位置
2．4．4 取證調(diào)查時(shí)注冊(cè)表中關(guān)注的自啟動(dòng)項(xiàng)
2．4．5 注冊(cè)表取證調(diào)查的方法
2．5 任務(wù)三：Windows文件目錄調(diào)查
2．5．1 自啟動(dòng)目錄和文件
2．5．2 Windows系統(tǒng)中的重要目錄
2．5．3 Windows系統(tǒng)中的重要系統(tǒng)文件
2．6 任務(wù)四：Windows日志調(diào)查
2．6．1 事件日志的調(diào)查
2．6．2 網(wǎng)絡(luò)日志的調(diào)查
2．7 任務(wù)五：Windows的進(jìn)程和網(wǎng)絡(luò)痕跡調(diào)查
2．7．1 系統(tǒng)常用進(jìn)程分析
2．7．2 系統(tǒng)網(wǎng)絡(luò)痕跡調(diào)查
應(yīng)用實(shí)訓(xùn)
拓展練習(xí)
項(xiàng)目3 非Windows環(huán)境的單機(jī)取證
學(xué)習(xí)目標(biāo)
項(xiàng)目說(shuō)明
項(xiàng)目任務(wù)
基礎(chǔ)知識(shí)
3．1 Macintosh的引導(dǎo)過(guò)程和文件系統(tǒng)
3．1．1 Macintosh文件結(jié)構(gòu)
3．1．2 Macintosh中的卷結(jié)構(gòu)
3．1．3 引導(dǎo)Macintosh系統(tǒng)
3．2 UNIX/Linux的引導(dǎo)過(guò)程和文件系統(tǒng)
3．2．1 UNIX/Linux磁盤結(jié)構(gòu)
3．2．2 i節(jié)點(diǎn)簡(jiǎn)介
3．2．3 Linux的目錄結(jié)構(gòu)和重要文件
3．2．4 UNIX/Linux的引導(dǎo)過(guò)程
項(xiàng)目分析
項(xiàng)目實(shí)施
3．3 任務(wù)一：在UNIX/Linux環(huán)境下獲取
原始證據(jù)
3．3．1 UNIX/Linux系統(tǒng)中現(xiàn)場(chǎng)證據(jù)的獲取
3．3．2 UNIX/Linux環(huán)境中內(nèi)存與硬盤信息的獲取
3．3．3 UNIX/Linux環(huán)境中進(jìn)程信息的獲取
3．3．4 UNIX/Linux的網(wǎng)絡(luò)連接信息獲取
3．4 任務(wù)二：UNIX/Linux環(huán)境的數(shù)據(jù)初步分析
3．4．1 UNIX/Linux環(huán)境的取證數(shù)據(jù)預(yù)處理
3．4．2 UNIX/Linux環(huán)境的日志調(diào)查
3．4．3 UNIX/Linux環(huán)境中其他重要
信息的調(diào)查
應(yīng)用實(shí)訓(xùn)
拓展練習(xí)
……
項(xiàng)目4 原始證據(jù)的深入分析
項(xiàng)目5 針對(duì)多媒體進(jìn)行取證
參考文獻(xiàn)