計(jì)算機(jī)取證技術(shù)

前言

計(jì)算機(jī)取證技術(shù)是一門涉及計(jì)算機(jī)科學(xué)、法學(xué)等多個(gè)領(lǐng)域的交叉學(xué)科。作為一個(gè)新領(lǐng)域，計(jì)算機(jī)取證技術(shù)在我國(guó)研究與實(shí)踐的時(shí)間都不長(zhǎng)，但打擊計(jì)算機(jī)犯罪等現(xiàn)實(shí)需要，使得對(duì)此領(lǐng)域產(chǎn)生興趣的人越來(lái)越多。計(jì)算機(jī)取證技術(shù)在我國(guó)必將會(huì)有更加迅速的發(fā)展。目前國(guó)內(nèi)正式出版的計(jì)算機(jī)取證方面的書(shū)籍較少。本書(shū)作者多年來(lái)一直致力于計(jì)算機(jī)取證方面的研究，從2004年開(kāi)始編寫此書(shū)，歷時(shí)四載，經(jīng)過(guò)反復(fù)修改，終于完成了此書(shū)。作者編寫本書(shū)的主要目的是拋磚引玉，希望有更多的人了解、關(guān)注計(jì)算機(jī)取證技術(shù)，從而推動(dòng)、促進(jìn)我國(guó)計(jì)算機(jī)取證技術(shù)的發(fā)展。全書(shū)共分8章。第1章介紹計(jì)算機(jī)取證的基本概念，主要有電子證據(jù)的概念、計(jì)算機(jī)取證的原則和步驟、計(jì)算機(jī)取證模型及計(jì)算機(jī)取證的發(fā)展趨勢(shì)等內(nèi)容；第2章介紹計(jì)算機(jī)取證的常見(jiàn)工具，主要包括計(jì)算機(jī)取證的相關(guān)工具、取證復(fù)制工具包、取證分析工具包、國(guó)內(nèi)外計(jì)算機(jī)取證設(shè)備對(duì)比與分析及Linux環(huán)境下的計(jì)算機(jī)取證工具介紹等內(nèi)容；第3章介紹硬盤結(jié)構(gòu)及文件系統(tǒng)基礎(chǔ)，主要包括硬盤結(jié)構(gòu)、硬盤數(shù)據(jù)組織及文件的刪除號(hào)恢復(fù)等內(nèi)容；第4章介紹Windows系統(tǒng)取證方法，主要包括windows系統(tǒng)初始響應(yīng)方法及windows系統(tǒng)取證實(shí)例等內(nèi)容；第5章介紹Unix系統(tǒng)取證方法，主要包括Unix系統(tǒng)初始響應(yīng)方法及Unix系統(tǒng)取證分析等內(nèi)容；第6章介紹Linux系統(tǒng)取證方法，主要包括Linux系統(tǒng)初始響應(yīng)方法、Linux磁盤介質(zhì)備份及Linux系統(tǒng)取證方法等內(nèi)容；第7章介紹計(jì)算機(jī)反取證技術(shù)，主要包括數(shù)據(jù)擦除、數(shù)據(jù)隱藏、Linux環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證工具介紹及Windows環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證工具介紹等內(nèi)容；第8章介紹可引導(dǎo)取證-工具Helix及其使用。本書(shū)在編寫過(guò)程中參考、引用了國(guó)內(nèi)外相關(guān)文獻(xiàn)及有關(guān)網(wǎng)站的內(nèi)容，在此表示衷心的感謝。由于作者水平有限，書(shū)中難免存在疏漏與不妥之處，懇請(qǐng)廣大讀者和同行專家批評(píng)指正。

內(nèi)容概要

本書(shū)系統(tǒng)地講述了計(jì)算機(jī)取證的基本概念、原理及方法，主要涉及計(jì)算機(jī)取證的基本原則和步驟、計(jì)算機(jī)取證的常見(jiàn)工具、硬盤結(jié)構(gòu)及文件系統(tǒng)基礎(chǔ)、Windows系統(tǒng)取證方法、Unix系統(tǒng)取證方法、Linux系統(tǒng)取證方法、計(jì)算機(jī)反取證技術(shù)及可引導(dǎo)取證工具Helix及其使用等內(nèi)容。    本書(shū)共分8章，通過(guò)閱讀，可使讀者在較短的時(shí)間內(nèi)對(duì)計(jì)算機(jī)取證技術(shù)有比較系統(tǒng)、全面的了解，為進(jìn)一步學(xué)習(xí)和研究打下良好的基礎(chǔ)。    本書(shū)可作為高等院校計(jì)算機(jī)、信息安全等相關(guān)專業(yè)的教材或教學(xué)參考書(shū)，也可供公安網(wǎng)絡(luò)監(jiān)察、網(wǎng)絡(luò)安全管理等領(lǐng)域的相關(guān)人員參考。

書(shū)籍目錄

前言第1章 計(jì)算機(jī)取證的基本概念   1.1 計(jì)算機(jī)取證的基本概念     1.1.1 計(jì)算機(jī)取證的定義     1.1.2 計(jì)算機(jī)取證研究概況   1.2 電子證據(jù)的概念     1.2.1 電子證據(jù)的定義     1.2.2 電子證據(jù)的特點(diǎn)     1.2.3 電子證據(jù)的來(lái)源   1.3 計(jì)算機(jī)取證的原則和步驟     1.3.1 計(jì)算機(jī)取證的基本原則     1.3.2 計(jì)算機(jī)取證的一般步驟     1.3.3 一個(gè)具體的計(jì)算機(jī)取證實(shí)例   1.4 計(jì)算機(jī)取證模型     1.4.1 基本過(guò)程模型     1.4.2 事件響應(yīng)過(guò)程模型     1.4.3 法律執(zhí)行過(guò)程模型     1.4.4 過(guò)程抽象模型   1.5 計(jì)算機(jī)取證的發(fā)展趨勢(shì)   參考文獻(xiàn)第2章 計(jì)算機(jī)取證的常見(jiàn)工具   2.1 計(jì)算機(jī)取證的相關(guān)工具     2.1.1 一般工具軟件     2.1.2 取證專用工具軟件   2.2 取證復(fù)制工具包     2.2.1 Encase     2.2.2 SafeBack     2.2.3 Unix實(shí)用程序dd     2.2.4 開(kāi)放數(shù)據(jù)復(fù)制工具   2.3 取證分析工具包     2.3.1 FTK     2.3.2 TCT工具包   2.4 國(guó)內(nèi)外計(jì)算機(jī)取證設(shè)備對(duì)比與分析     2.4.1 國(guó)內(nèi)主要取證產(chǎn)品介紹     2.4.2 國(guó)內(nèi)外計(jì)算機(jī)取證設(shè)備對(duì)比與分析   2.5 Linux環(huán)境下的計(jì)算機(jī)取證工具介紹     2.5.1 Sleuthkit     2.5.2 Autopsy     2.5.3 SMART for Linux   參考文獻(xiàn)第3章 硬盤結(jié)構(gòu)及文件系統(tǒng)基礎(chǔ)   3.1 硬盤的結(jié)構(gòu)     3.1.1 硬盤的物理結(jié)構(gòu)     3.1.2 硬盤的邏輯結(jié)構(gòu)   3.2 硬盤數(shù)據(jù)組織   3.3 文件的刪除與恢復(fù)     3.3.1 Windows系統(tǒng)的文件刪除與恢復(fù)     3.3.2 Unix/Linux系統(tǒng)的文件刪除與恢復(fù)   參考文獻(xiàn)第4章 Windows系統(tǒng)取證方法   4.1 Windows系統(tǒng)初始響應(yīng)方法     4.1.1 創(chuàng)建初始響應(yīng)工具包     4.1.2 初始響應(yīng)方法     4.1.3 編寫初始響應(yīng)腳本   4.2 Windows系統(tǒng)取證實(shí)例     4.2.1 取證背景     4.2.2 系統(tǒng)概況和證據(jù)處理     4.2.3 建立取證工具     4.2.4 介質(zhì)備份及分析     4.2.5 MAC時(shí)間分析     4.2.6 注冊(cè)表     4.2.7 恢復(fù)被刪除文件     4.2.8 最后分析結(jié)論   參考文獻(xiàn)第5章 Unix系統(tǒng)取證方法   5.1 Unix系統(tǒng)初始響應(yīng)方法     5.1.1 創(chuàng)建初始響應(yīng)工具包     5.1.2 保存初始響應(yīng)信息     5.1.3 收集數(shù)據(jù)   5.2 Unix系統(tǒng)取證方法     5.2.1 數(shù)據(jù)獲取     5.2.2 取證分析   參考文獻(xiàn)第6章 Linux系統(tǒng)取證方法   6.1 Linux系統(tǒng)初始響應(yīng)方法     6.1.1 初始響應(yīng)的準(zhǔn)備工作     6.1.2 初始響應(yīng)的具體步驟和方法   6.2 Linux磁盤介質(zhì)備份     6.2.1 準(zhǔn)備工作     6.2.2 介質(zhì)備份   6.3 Linux系統(tǒng)取證方法   參考文獻(xiàn)第7章 計(jì)算機(jī)反取證技術(shù)   7.1 數(shù)據(jù)擦除   7.2 數(shù)據(jù)隱藏     7.2.1 實(shí)現(xiàn)數(shù)據(jù)隱藏的幾種常用方法     7.2.2 實(shí)現(xiàn)數(shù)據(jù)隱藏的具體實(shí)例   7.3 Linux環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證工具介紹   7.4 Windows環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證工具介紹   參考文獻(xiàn)第8章 可引導(dǎo)取證工具Helix及其使用   8.1 引言   8.2 Windows工作模式     8.2.1 預(yù)覽系統(tǒng)信息     8.2.2 使用dd工具獲取正在運(yùn)行的Windows系統(tǒng)映像     8.2.3 Windows系統(tǒng)應(yīng)急響應(yīng)工具     8.2.4 在線瀏覽重要文檔     8.2.5 瀏覽CD-ROM和主機(jī)OS的內(nèi)容     8.2.6 從正在運(yùn)行的系統(tǒng)中查找圖片文件   8.3 Linux工作模式

章節(jié)摘錄

插圖：第1章 計(jì)算機(jī)取證的基本概念隨著信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)越來(lái)越多地參與到人們的工作與生活中，與計(jì)算機(jī)相關(guān)的法庭案例也不斷出現(xiàn)。一種新的存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備（包括網(wǎng)絡(luò)介質(zhì)）中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。人們每天面對(duì)大量的計(jì)算機(jī)犯罪案例，如商業(yè)機(jī)密信息的竊取與破壞、計(jì)算機(jī)欺詐、對(duì)政府或金融網(wǎng)站的破壞等，這些案例的取證工作需要提取存在于計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)，甚至需要從已被刪除、加密或破壞的文件中獲取信息。電子證據(jù)本身和取證過(guò)程存在許多有別于傳統(tǒng)物證和取證的特點(diǎn)，它們對(duì)司法和計(jì)算機(jī)科學(xué)領(lǐng)域都提出了新的挑戰(zhàn)。2001年6月8日至22日，在法國(guó)圖魯茲城召開(kāi)的為期5天的第十三屆全球FIRST（Forum of Incident Response and Security Teams）年會(huì)上，入侵后的系統(tǒng)恢復(fù)和分析取證成為此次大會(huì)的主要議題。由此可見(jiàn)，作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉學(xué)科——計(jì)算機(jī)取證（Computer Forensics）正逐漸成為計(jì)算機(jī)安全領(lǐng)域一個(gè)新的研究熱點(diǎn)。在計(jì)算機(jī)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)不斷升級(jí)的形勢(shì)下，單靠網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪不可能非常有效，因此需要發(fā)揮社會(huì)和法律的強(qiáng)大威力來(lái)對(duì)付網(wǎng)絡(luò)犯罪，計(jì)算機(jī)取證正是在這種形勢(shì)下產(chǎn)生和發(fā)展的，它標(biāo)志著網(wǎng)絡(luò)安全防御理論的成熟。1.1 計(jì)算機(jī)取證的基本概念1.1.1 計(jì)算機(jī)取證的定義什么是計(jì)算機(jī)取證？計(jì)算機(jī)取證資深專家Robbins給出了如下的定義：計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與提取上。計(jì)算機(jī)緊急事件響應(yīng)組和取證咨詢公司New Technologies進(jìn)一步擴(kuò)展了該定義：計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。系統(tǒng)管理審計(jì)和網(wǎng)絡(luò)安全協(xié)會(huì)SANS則歸結(jié)為：計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

編輯推薦

《網(wǎng)絡(luò)與計(jì)算機(jī)安全叢書(shū)·計(jì)算機(jī)取證技術(shù)》可作為高等院校計(jì)算機(jī)、信息安全等相關(guān)專業(yè)的教材或教學(xué)參考書(shū)，也可供公安網(wǎng)絡(luò)監(jiān)察、網(wǎng)絡(luò)安全管理等領(lǐng)域的相關(guān)人員參考。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    計(jì)算機(jī)取證技術(shù) PDF格式下載

---