计算机取证实用教程

《计算机取证实用教程》

内容简介

在这本教材里，编者阐述了计算机取证的概念和内容，介绍了计算机取证的技术与工具，剖析了主流的磁盘分区和文件系统，分析了数据恢复的基本原理和关键技术。本书所讨论的设备对象涵盖了计算机、移动智能终端和网络设备；分析的操作系统包含了：三种主流的计算机操作系统（Windows、Linux和Mac OS X），两种占据了绝大部分市场份额的的移动智能终端操作系统（Android和iOS），网络设备中最具代表性的思科IOS操作系统。

本书从取证原理、相关技术和常用工具等方面系统地介绍了计算机取证的核心内容，并辅以必需的预备知识介绍，使读者能够在短时间内了解计算机取证的主要内容和通用程序，掌握计算机取证的的基础理论和技术方法。全书通俗易懂的原理分析、图文并茂的流程说明，能够令读者在学习过程中感受到良好的实践体验。

本书既可以作为高等院校计算机科学与技术、信息安全、法学、侦查学等专业计算机取证、电子数据检验鉴定等课程的教材，也可作为计算机取证从业人员的培训和参考用书。对于信息安全技术与管理人员、律师和司法工作者、信息安全技术爱好者，本书也具有很高的参考价值。

前言

信息技术的迅猛发展，计算机和网络应用的全方位普及，不断改变着人们工作、学习和生活的习惯和方式，政府运作、商贸往来乃至个人休闲娱乐都已进入了网络模式。在企事业单位内部调查、民事纠纷、刑事诉讼等案/事件的举证中，数字证据正在发挥越来越大的作用，成为信息化时代的证据之王。

信息技术的专业性和数字证据来源的多样性，决定了计算机取证的复杂性。本书编者试图凭借多年的教学和实践经验，将博大精深的计算机取证知识体系提炼为通俗易懂、循序渐进的篇章。

只会操作自动取证软件，无法成为独当一面的优秀取证分析师。本书的编写旨在培养读者掌握技术原理基础上的实践技能，同时注重提高读者对相关知识的自主学习能力，为胜任不同类型的计算机取证工作奠定牢固的理论基础。

计算机取证的目的是发现与案/事件相关联的行为及其结果，为证明案/事件事实和重现案/事件提供依据。要了解案/事件的全貌并重建案/事件，计算机取证所关注的设备对象不仅仅是传统的计算机，也包括移动智能终端，还涉及各种网络互连设备和网络安全设备。系统而全面的知识结构，是本书的一大亮点。

第1章是计算机取证和数字证据的基本知识介绍。

第2章分析了计算机取证所涉及的相关技术，并介绍了计算机取证的常用工具。

第3章详细剖析了DOS和GPT两种分区体系以及FAT、NTFS、ExtX和HFS+四种文件系统。在此基础上，第4章给出了主流分区体系和文件系统的数据恢复要领以及典型的数据恢复实例。

第5、6、7章分别讨论了Windows、Linux和Mac OS X取证。Linux在服务器领域尤其是大型服务器领域的主导地位毋庸置疑，本书侧重于分析服务器端的Linux取证。对于Mac OS X取证，主要从客户端的角度探析；而对Windows取证的阐述则涵盖了服务器端和客户端的取证焦点问题。

第8章探讨了以路由器和交换机为代表的网络设备取证，这是目前业内甚少涉足的一个领域。

第9、10章讨论的是移动智能终端的取证。以智能手机为代表的移动智能设备正在逐步取代传统的便携式个人计算机，成为互联网的终端，这导致了移动智能终端的取证需求日益增长。这两章分别以智能手机为例，介绍了两大主流移动操作系统（Android和iOS）取证的原理、技术和方法。

最后一章给出了几个取证分析的典型实训案例。

文伯聪设计本书的整体结构，编写了第1、8章并负责全书统稿；吴琪编写了第6章的3-6节和第9章，并参与其他各章内容的审阅；刘文编写了第5章、第11章的3-5节；彭建新编写了第2章、第6章的1-2节第11章的1、2节；林素娥编写了第3、4章；张萍编写了第7章和第10章。

本书内容丰富，教师或读者可以有针对性地选择教学的内容。

在本书的编写过程中，文伯聪设计了全书的整体结构，编写了第6章和第8章，并负责全书统稿；吴琪编写了第1章和第9章，并参与了其他各章节内容的审阅；彭建新编写了第2章、第10章和第11章的1、2节；刘文编写了第5章、第11章的3～5节；林素娥编写了第3章；张萍编写了第4章和第7章。

在本书的编写过程中，编者参考和吸收了大量专家学者和业界同行的研究成果和实践经验，在此表达衷心的感谢！

计算机取证涉及的知识面十分广泛、采用的技术手段繁杂多样并随信息技术的发展而更新，本书对相关知识、技术和产品的介绍难以做到面面俱到，还望读者谅解。此外，受编者自身水平局限和编写时间仓促的影响，本书可能存在错漏与不足，敬请广大读者反馈和指正。编者电子邮件地址：*******************。

编者

2015年5月20日

目录

第1章计算机取证概论

1.1 计算机取证概述

1.1.1 计算机取证的概念

1.1.2 电子数据司法鉴定

1.1.3 计算机取证分类

1.2 数字证据概述

1.2.1 数字证据的概念

1.2.2 数字证据的来源

1.2.3 数字证据的认定

1.3 计算机取证的原则

1.4 计算机取证通用程序

1.4.1 案件受理与方案制定

1.4.2 调查取证的实施

1.4.3 检验鉴定文书的出具

1.4.4 出庭作证

1.4.5 取证文档管理

1.5 本章小结

习题

第2章计算机取证技术与工具

2.1 计算机取证技术

2.1.1 电子数据保全备份技术

2.1.2 常用的数据收集和分析技术

2.1.3 反取证破解技术

2.1.4 其他相关技术

2.2 计算机取证工具

2.2.1 硬件设备

2.2.2 启动盘

2.2.3 计算机取证的必备软件

2.3 本章小结

习题

第3章硬盘数据组织

3.1 硬盘的结构和接口

3.1.1 硬盘结构

3.1.2 硬盘接口

3.2 分区

3.2.1 DOS分区

3.2.2 GPT分区

3.2.3 其他分区