计算机取证实用教程

《计算机取证实用教程》
内容简介
在这本教材里，编者阐述了计算机取证的概念和内容，介绍了计算机取证的技术与工具，剖析了主流的磁盘分区和文件系统，分析了数据恢复的基本原理和关键技术。

本书所讨论的设备对象涵盖了计算机、移动智能终端和网络设备；分析的操作系统包含了：三种主流的计算机操作系统（Windows、Linux和Mac OS X），两种占据了绝大部分市场份额的的移动智能终端操作系统（Android和iOS），网络设备中最具代表性的思科IOS操作系统。

本书从取证原理、相关技术和常用工具等方面系统地介绍了计算机取证的核心内容，并辅以必需的预备知识介绍，使读者能够在短时间内了解计算机取证的主要内容和通用程序，掌握计算机取证的的基础理论和技术方法。

全书通俗易懂的原理分析、图文并茂的流程说明，能够令读者在学习过程中感受到良好的实践体验。

本书既可以作为高等院校计算机科学与技术、信息安全、法学、侦查学等专业计算机取证、电子数据检验鉴定等课程的教材，也可作为计算机取证从业人员的培训和参考用书。

对于信息安全技术与管理人员、律师和司法工作者、信息安全技术爱好者，本书也具有很高的参考价值。

前言
信息技术的迅猛发展，计算机和网络应用的全方位普及，不断改变着人们工作、学习和生活的习惯和方式，政府运作、商贸往来乃至个人休闲娱乐都已进入了网络模式。

在企事业单位内部调查、民事纠纷、刑事诉讼等案/事件的举证中，数字证据正在发挥越来越大的作用，成为信息化时代的证据之王。

信息技术的专业性和数字证据来源的多样性，决定了计算机取证的复杂性。

本书编者试图凭借多年的教学和实践经验，将博大精深的计算机取证知识体系提炼为通俗易懂、循序渐进的篇章。

只会操作自动取证软件，无法成为独当一面的优秀取证分析师。

本书的编写旨在培养读者掌握技术原理基础上的实践技能，同时注重提高读者对相关知识的自主学习能力，为胜任不同类型的计算机取证工作奠定牢固的理论基础。

计算机取证的目的是发现与案/事件相关联的行为及其结果，为证明案/事件事实和重现案/事件提供依据。

要了解案/事件的全貌并重建案/事件，计算机取证所关注的设备对象不仅仅是传统的计算机，也包括移动智能终端，还涉及各种网络互连设备和网络安全设备。

系统而全面的知识结构，是本书的一大亮点。

第1章是计算机取证和数字证据的基本知识介绍。

第2章分析了计算机取证所涉及的相关技术，并介绍了计算机取证的常用工具。

第3章详细剖析了DOS和GPT两种分区体系以及FAT、NTFS、ExtX和HFS+四种文件系统。

在此基础上，第4章给出了主流分区体系和文件系统的数据恢复要领以及典型的数据恢复实例。

第5、6、7章分别讨论了Windows、Linux和Mac OS X取证。

Linux在服务器领域尤其是大型服务器领域的主导地位毋庸置疑，本书侧重于分析服务器端的Linux取证。

对于Mac OS X取证，主要从客户端的角度探析；而对Windows取证的阐述则涵盖了服务器端和客户端的取证焦点问题。

第8章探讨了以路由器和交换机为代表的网络设备取证，这是目前业内甚少涉足的一个领域。

第9、10章讨论的是移动智能终端的取证。

以智能手机为代表的移动智能设备正在逐步取代传统的便携式个人计算机，成为互联网的终端，这导致了移动智能终端的取证需求日益增长。

这两章分别以智能手机为例，介绍了两大主流移动操作系统（Android和iOS）取证的原理、技术和方法。

最后一章给出了几个取证分析的典型实训案例。

文伯聪设计本书的整体结构，编写了第1、8章并负责全书统稿；吴琪编写了第6章的3-6节和第9章，并参与其他各章内容的审阅；刘文编写了第5章、第11章的3-5节；彭建新编写了第2章、第6章的1-2节第11章的1、2节；林素娥编写了第3、4章；张萍编写了第7章和第10章。

本书内容丰富，教师或读者可以有针对性地选择教学的内容。

在本书的编写过程中，文伯聪设计了全书的整体结构，编写了第6章和第8章，并负责全书统稿；吴琪编写了第1章和第9章，并参与了其他各章节内容的审阅；彭建新编写了第2章、第10章和第11章的1、2节；刘文编写了第5章、第11章的3～5节；林素娥编写了第3章；张萍编写了第4章和第7章。

在本书的编写过程中，编者参考和吸收了大量专家学者和业界同行的研究成果和实践经验，在此表达衷心的感谢！
计算机取证涉及的知识面十分广泛、采用的技术手段繁杂多样并随信息技术的发展而更新，本书对相关知识、技术和产品的介绍难以做到面面俱到，还望读者谅解。

此外，受编者自身水平局限和编写时间仓促的影响，本书可能存在错漏与不足，敬请广大读者反馈和指正。

编者电子邮件地址：*******************。

编者
2015年5月20日
目录
第1章计算机取证概论
1.1 计算机取证概述
1.1.1 计算机取证的概念
1.1.2 电子数据司法鉴定
1.1.3 计算机取证分类
1.2 数字证据概述
1.2.1 数字证据的概念
1.2.2 数字证据的来源
1.2.3 数字证据的认定
1.3 计算机取证的原则
1.4 计算机取证通用程序
1.4.1 案件受理与方案制定
1.4.2 调查取证的实施
1.4.3 检验鉴定文书的出具
1.4.4 出庭作证
1.4.5 取证文档管理
1.5 本章小结
习题
第2章计算机取证技术与工具2.1 计算机取证技术
2.1.1 电子数据保全备份技术
2.1.2 常用的数据收集和分析技术2.1.3 反取证破解技术
2.1.4 其他相关技术
2.2 计算机取证工具
2.2.1 硬件设备
2.2.2 启动盘
2.2.3 计算机取证的必备软件
2.3 本章小结
习题
第3章硬盘数据组织
3.1 硬盘的结构和接口
3.1.1 硬盘结构
3.1.2 硬盘接口
3.2 分区
3.2.1 DOS分区
3.2.2 GPT分区
3.2.3 其他分区
3.3 文件系统
3.3.1 FAT文件系统
3.3.2 NTFS文件系统
3.3.3 ExtX文件系统
3.3.4 HFS+文件系统
3.4 本章小结
习题
第4章数据恢复基础
4.1 数据恢复与调查取证概述4.2 不同分区体系的数据恢复4.2.1 DOS分区数据恢复
4.2.2 GPT分区数据恢复
4.3 不同文件系统的数据恢复
4.3.1 FAT文件系统数据恢复
4.3.2 NTFS文件系统数据恢复
4.3.3 ExtX文件系统数据恢复
4.3.4 HFS+文件系统数据恢复
4.4 基本数据恢复实例及分析
4.4.1 删除恢复
4.4.2 格式化恢复
4.4.3 MBR恢复
4.4.4 DBR恢复
4.5 本章小结
习题
第5章 Windows取证
5.1 易失性数据的提取
5.1.1 易失性数据提取的一般方法5.1.2 时间和屏幕信息的固定
5.1.3 内存数据获取
5.1.4 进程信息获取
5.1.5 网络配置与连接情况检查5.1.6 其他易失性数据获取
5.2 内容数据取证
5.2.1 标准文件的内容数据取证5.2.2 特殊文件的内容数据取证5.2.3 非标准内容数据取证
5.3 注册表分析
5.3.1 注册表简介
5.3.2 注册表的结构
5.3.3 注册表的访问
5.3.4 注册表调查取证
5.4 日志分析
5.4.1 事件日志
5.4.2 Windows防火墙日志
5.4.3 IIS日志
5.5 网络活动的调查取证
5.5.1 数据源定位
5.5.2 网页浏览的调查取证
5.5.3 电子邮件的调查取证
5.5.4 QQ软件的调查取证
5.5.5 P2P调查取证
5.6 本章小结
习题
第6章 Linux取证
6.1 Linux取证基础
6.1.1 Linux简介
6.1.2 Linux的文件类型
6.1.3 Linux文件系统的存储结构6.1.4 Linux取证的数据源
6.2 Linux环境下易失性数据的提取6.2.1 日期和时间信息的提取与固定6.2.2 屏幕信息获取
6.2.3 进程信息获取
6.2.4 网络连接情况获取
6.2.5 文件使用情况获取
6.3 非易失性数据的收集
6.3.1 Linux平台下的取证镜像制作6.3.2 Linux系统的日志
6.4 Linux系统中的证据分析
6.4.1 对比搜索技术的运用
6.4.2 日志分析
6.5 Linux取证软件
6.5.1 bulk_extractor
6.5.3 D-Recovery For Linux
6.6 本章小结
习题
第7章 Mac OS X取证
7.1 Mac OS X与Macintosh基础7.1.1 Mac OS X简介
7.1.2 Macintosh的引导过程
7.2 Mac OS X的分区和目录结构
7.2.1 Mac OS X的分区
7.2.2 Mac OS X的目录结构
7.3 Mac OS X易失性数据的获取
7.3.1 时间和屏幕信息的提取与固定7.3.2 内存数据获取
7.3.3 进程信息获取
7.3.4 检验当前网络配置
7.4 基于Mac OS X系统的磁盘镜像制作7.4.1 在取证工作站上制作镜像
7.4.2 重启待取证计算机制作镜像
7.5 Mac OS X的日志
7.5.1 Mac OS X的审计机制
7.5.2 Mac OS X的诊断报告和崩溃日志7.6 Mac OS X应用程序分析
7.6.1 网页浏览分析
7.6.2 Mac OS X邮件取证7.6.3 日历
7.6.4 同步iPhone
7.6.5 地址簿
7.7 本章小结
习题
第8章网络设备取证
8.1 网络设备取证概述
8.2 预备知识
8.2.1 常用网络设备简介8.2.2 网络设备的基本操作8.2.3 数据封装与解封装。