電子數(shù)據(jù)取證實(shí)訓(xùn)

第1章電子數(shù)據(jù)取證工具

1.1寫保護(hù)工具

1.2鏡像工具

1.2.1硬件工具

1.2.2軟件工具

1.3現(xiàn)場(chǎng)勘驗(yàn)工具

1.4數(shù)據(jù)恢復(fù)工具

1.4.1硬件工具

1.4.2軟件工具

1.5密碼破解工具

1.6系統(tǒng)仿真工具

1.7內(nèi)存取證工具

1.8綜合性取證工具

1.8.1商業(yè)性綜合取證工具

1.8.2開(kāi)源性綜合取證工具

1.9移動(dòng)終端取證工具

1.9.1硬件工具

1.9.2軟件工具

第2章電子數(shù)據(jù)取證基礎(chǔ)實(shí)訓(xùn)

2.1只讀鎖的使用

2.1.1預(yù)備知識(shí): 寫保護(hù)技術(shù)

2.1.2實(shí)驗(yàn)?zāi)康呐c條件

2.1.3實(shí)驗(yàn)過(guò)程

2.1.4實(shí)驗(yàn)小結(jié)

2.2鏡像的制作

2.2.1預(yù)備知識(shí): 鏡像的意義

2.2.2實(shí)驗(yàn)?zāi)康呐c條件

2.2.3實(shí)驗(yàn)過(guò)程

2.2.4實(shí)驗(yàn)小結(jié)

2.3哈希校驗(yàn)

2.3.1預(yù)備知識(shí): 哈希算法在電子數(shù)據(jù)取證中的應(yīng)用

2.3.2實(shí)驗(yàn)?zāi)康呐c條件

2.3.3實(shí)驗(yàn)過(guò)程

2.3.4實(shí)驗(yàn)小結(jié)

2.4文件過(guò)濾

2.4.1預(yù)備知識(shí): 文件屬性

2.4.2實(shí)驗(yàn)?zāi)康呐c條件

2.4.3實(shí)驗(yàn)過(guò)程

2.4.4實(shí)驗(yàn)小結(jié)

2.5數(shù)據(jù)搜索

2.5.1預(yù)備知識(shí): 字節(jié)順序、編碼與解碼、正則表達(dá)式

2.5.2實(shí)驗(yàn)?zāi)康呐c條件

2.5.3實(shí)驗(yàn)過(guò)程

2.5.4實(shí)驗(yàn)小結(jié)

第3章Windows操作系統(tǒng)取證實(shí)訓(xùn)

3.1易失性數(shù)據(jù)提取

3.1.1預(yù)備知識(shí): 易失性數(shù)據(jù)

3.1.2實(shí)驗(yàn)?zāi)康呐c條件

3.1.3實(shí)驗(yàn)過(guò)程

3.1.4實(shí)驗(yàn)小結(jié)

3.2內(nèi)存的獲取與分析

3.2.1預(yù)備知識(shí): 內(nèi)存取證、DumpIt工具、Volatility工具

3.2.2實(shí)驗(yàn)?zāi)康呐c條件

3.2.3實(shí)驗(yàn)過(guò)程

3.2.4實(shí)驗(yàn)小結(jié)

3.3注冊(cè)表分析取證

3.3.1預(yù)備知識(shí): 注冊(cè)表

3.3.2實(shí)驗(yàn)?zāi)康呐c條件

3.3.3實(shí)驗(yàn)過(guò)程

3.3.4實(shí)驗(yàn)小結(jié)

3.4Windows事件日志取證

3.4.1預(yù)備知識(shí): Windows事件日志

3.4.2實(shí)驗(yàn)?zāi)康呐c條件

3.4.3實(shí)驗(yàn)過(guò)程

3.4.4實(shí)驗(yàn)小結(jié)

3.5回收站取證

3.5.1預(yù)備知識(shí): 回收站運(yùn)行機(jī)制

3.5.2實(shí)驗(yàn)?zāi)康呐c條件

3.5.3實(shí)驗(yàn)過(guò)程

3.5.4實(shí)驗(yàn)小結(jié)

3.6分區(qū)恢復(fù)

3.6.1預(yù)備知識(shí): 磁盤分區(qū)原理

3.6.2實(shí)驗(yàn)?zāi)康呐c條件

3.6.3實(shí)驗(yàn)過(guò)程

3.6.4實(shí)驗(yàn)小結(jié)

3.7FAT文件系統(tǒng)數(shù)據(jù)恢復(fù)

3.7.1預(yù)備知識(shí): FAT文件系統(tǒng)原理

3.7.2實(shí)驗(yàn)?zāi)康呐c條件

3.7.3實(shí)驗(yàn)過(guò)程

3.7.4實(shí)驗(yàn)小結(jié)

3.8NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)

3.8.1預(yù)備知識(shí): NTFS文件系統(tǒng)原理

3.8.2實(shí)驗(yàn)?zāi)康呐c條件

3.8.3實(shí)驗(yàn)過(guò)程

3.8.4實(shí)驗(yàn)小結(jié)

第4章智能終端取證實(shí)訓(xùn)

4.1SQLite數(shù)據(jù)庫(kù)解密及分析

4.1.1預(yù)備知識(shí): SQLite數(shù)據(jù)庫(kù)、微信數(shù)據(jù)庫(kù)

4.1.2實(shí)驗(yàn)?zāi)康呐c條件

4.1.3實(shí)驗(yàn)過(guò)程

4.1.4實(shí)驗(yàn)小結(jié)

4.2APK分析

4.2.1預(yù)備知識(shí): APK文件、APK分析、APK分析工具

4.2.2實(shí)驗(yàn)?zāi)康呐c條件

4.2.3實(shí)驗(yàn)過(guò)程

4.2.4實(shí)驗(yàn)小結(jié)

4.3智能手表取證

4.3.1預(yù)備知識(shí): Apple Watch、Apple Watch取證、Apple Watch取證工具

4.3.2實(shí)驗(yàn)?zāi)康呐c條件

4.3.3實(shí)驗(yàn)過(guò)程

4.3.4實(shí)驗(yàn)小結(jié)

4.4無(wú)人機(jī)取證

4.4.1預(yù)備知識(shí): 無(wú)人機(jī)取證

4.4.2實(shí)驗(yàn)?zāi)康呐c條件

4.4.3實(shí)驗(yàn)過(guò)程

4.4.4實(shí)驗(yàn)小結(jié)

第5章網(wǎng)絡(luò)取證實(shí)訓(xùn)

5.1網(wǎng)站遠(yuǎn)程證據(jù)固定

5.1.1預(yù)備知識(shí): Hosts文件

5.1.2實(shí)驗(yàn)?zāi)康呐c條件

5.1.3實(shí)驗(yàn)過(guò)程

5.1.4實(shí)驗(yàn)小結(jié)

5.2網(wǎng)絡(luò)數(shù)據(jù)流分析

5.2.1預(yù)備知識(shí): 流量分析

5.2.2實(shí)驗(yàn)?zāi)康呐c條件

5.2.3實(shí)驗(yàn)過(guò)程

5.2.4實(shí)驗(yàn)小結(jié)

5.3Wireshark解密HTTPS流量

5.3.1預(yù)備知識(shí): HTTP與HTTPS

5.3.2實(shí)驗(yàn)?zāi)康呐c條件

5.3.3實(shí)驗(yàn)過(guò)程

5.3.4實(shí)驗(yàn)小結(jié)