計(jì)算機(jī)取證調(diào)查指南

前言

　　近年來世界范圍內(nèi)發(fā)生的重大事件，已經(jīng)影響和改變了我們對(duì)于證據(jù)收集的思考方式。2001年9月11日美國紐約世貿(mào)中心遭到襲擊后不久，許多青年男女都自發(fā)地以不同的方式為國家效力。沒有參軍的年輕人，則選擇加入了執(zhí)法和安全機(jī)構(gòu)。隨著諸如CSI、罪案取證和NCIS等主流電視節(jié)目越來越受歡迎，加上國土安全問題重新被重視，使得對(duì)計(jì)算機(jī)取證領(lǐng)域方面的專家需求大增。這種需求正通過在全美的大專院校甚至高中所開設(shè)的計(jì)算機(jī)取證專業(yè)課程來得以滿足?！　∪欢?jì)算機(jī)取證絕不是一門還處于探索階段的新興領(lǐng)域。早在20世紀(jì)90年代，當(dāng)時(shí)我在海軍犯罪調(diào)查機(jī)構(gòu)里擔(dān)任特別調(diào)查員，就已經(jīng)意識(shí)到個(gè)人電腦，更專業(yè)地說是無安全保障的個(gè)人電腦，給國家安全帶來了潛在的威脅。那時(shí)，我開始指導(dǎo)對(duì)白領(lǐng)犯罪、網(wǎng)絡(luò)攻擊，以及通信詐騙等案件的取證調(diào)查。今天，大多數(shù)新的計(jì)算機(jī)取證專家可能會(huì)參與更廣泛和更多樣化的取證調(diào)查，包括反恐間諜活動(dòng)、反洗錢、知識(shí)產(chǎn)權(quán)竊取、電子監(jiān)視等問題?！　〔煌娜∽C專家所必須具備的技能是不一樣的。最低限度來說，他們必須具備深厚的刑事司法體系知識(shí)、計(jì)算機(jī)硬軟件系統(tǒng)知識(shí)、調(diào)查和證據(jù)收集規(guī)范方面的知識(shí)。下一代的“電子偵探”將必須具備相應(yīng)的知識(shí)、技能和經(jīng)驗(yàn)，才能完成涉及多種操作系統(tǒng)和文件類型的、復(fù)雜的、數(shù)據(jù)密集型的取證調(diào)查工作。

內(nèi)容概要

本書包括計(jì)算機(jī)取證調(diào)查所需的工具和技巧，解釋了文檔結(jié)構(gòu)、數(shù)據(jù)恢復(fù)、電子郵件和網(wǎng)絡(luò)調(diào)查以及專家證人的證詞等主要問題。除了可以學(xué)到基本的概念，讀者還可以掌握處理數(shù)字調(diào)查證據(jù)和保存支持呈堂證據(jù)或者企業(yè)查詢證據(jù)的實(shí)踐知識(shí)。  　主要特點(diǎn)：　　涵蓋最新的兩個(gè)正在著手調(diào)查的案例，一個(gè)企業(yè)案件和一個(gè)刑事案件。將所學(xué)的概念運(yùn)用到真實(shí)世界中。　　全面更新的技術(shù)內(nèi)容，包括更多種類的取證調(diào)查軟件和關(guān)于網(wǎng)絡(luò)取證的最新一章內(nèi)容?！　」δ軓V泛的學(xué)習(xí)工具，包括練習(xí)、貫穿全書的項(xiàng)目和案例，讓學(xué)生能實(shí)踐所學(xué)技能。

作者簡(jiǎn)介

Bill Nelson專門進(jìn)行計(jì)算機(jī)取證調(diào)查工作長達(dá)8年之久。他曾是犯罪用自動(dòng)指紋識(shí)別系統(tǒng)的軟件工程師。

書籍目錄

第一章　計(jì)算機(jī)取證和調(diào)查專業(yè)介紹  了解計(jì)算機(jī)取證    計(jì)算機(jī)取證與其他相關(guān)學(xué)科    計(jì)算機(jī)取證歷史簡(jiǎn)介    開發(fā)計(jì)算機(jī)取證資源  為計(jì)算機(jī)調(diào)查做準(zhǔn)備    了解執(zhí)法機(jī)構(gòu)調(diào)查    了解企業(yè)調(diào)查  維護(hù)職業(yè)道德  本章小結(jié)  關(guān)鍵術(shù)語  復(fù)習(xí)題  練習(xí)題  案例題第二章　理解計(jì)算機(jī)調(diào)查  為計(jì)算機(jī)調(diào)查做準(zhǔn)備    調(diào)查一起計(jì)算機(jī)犯罪    調(diào)查一起違反公司制度的案件  采取系統(tǒng)化方法    評(píng)估案件    制訂調(diào)查計(jì)劃    確保證據(jù)的安全  了解數(shù)據(jù)恢復(fù)工作站與軟件    建立計(jì)算機(jī)取證工作站  展開調(diào)查    收集證據(jù)  創(chuàng)建一張取證引導(dǎo)軟盤    準(zhǔn)備好制作一張取證啟動(dòng)盤所需的工具    通過遠(yuǎn)程網(wǎng)絡(luò)連接來恢復(fù)取證數(shù)據(jù)    拷貝證據(jù)磁盤    使用FrK Imager創(chuàng)建位流鏡像文件    分析數(shù)字證據(jù)  結(jié)束案件  對(duì)案件進(jìn)行評(píng)估  本章小結(jié)  關(guān)鍵術(shù)語  復(fù)習(xí)題  練習(xí)題  案例題第三章　調(diào)查人員的辦公室與實(shí)驗(yàn)室  了解取證實(shí)驗(yàn)室的認(rèn)證要求    明確實(shí)驗(yàn)室管理者和實(shí)驗(yàn)室工作人員的職責(zé)    實(shí)驗(yàn)室預(yù)算方案    獲取認(rèn)證與培訓(xùn)  確定計(jì)算機(jī)取證實(shí)驗(yàn)室的物理布局    確定實(shí)驗(yàn)室安全需求    展開高風(fēng)險(xiǎn)調(diào)查    考慮辦公室的人體工程學(xué)    考慮環(huán)境因素    考慮結(jié)構(gòu)設(shè)計(jì)因素    確定實(shí)驗(yàn)室的電力需求    制訂通信計(jì)劃    安裝滅火系統(tǒng)    使用證據(jù)容器    監(jiān)督實(shí)驗(yàn)室的維護(hù)    考慮物理安全需求    審查計(jì)算機(jī)取證實(shí)驗(yàn)室    確定計(jì)算機(jī)取證實(shí)驗(yàn)室的樓層計(jì)劃  選擇一個(gè)基本取證工作站　　……第四章　目前的計(jì)算機(jī)取證工具第五章　處理犯罪和事故現(xiàn)場(chǎng)第六章　數(shù)字證據(jù)保全第七章　在Windows和DOS系統(tǒng)下工作第八章　Macintosh與Linux引導(dǎo)過程和文件系統(tǒng)第九章　數(shù)據(jù)提取第十章　計(jì)算機(jī)取證分析第十一章　恢復(fù)圖像文件秕十二章　網(wǎng)絡(luò)取證第十三章　電子郵件調(diào)查第十四章　成為一個(gè)專家型證人并書寫調(diào)查結(jié)果報(bào)告　附錄A　證書考試介紹附錄B　計(jì)算機(jī)取證參考附錄C　企業(yè)高科技調(diào)查規(guī)范術(shù)語表　

章節(jié)摘錄

　　術(shù)語“企業(yè)環(huán)境”是指大型企業(yè)的計(jì)算機(jī)系統(tǒng)，該系統(tǒng)可能包含一個(gè)或多個(gè)無關(guān)聯(lián)的系統(tǒng)或者先前獨(dú)立的系統(tǒng)。在小型企業(yè)中，一個(gè)小組就可能完成調(diào)查三角形中所示的這些任務(wù)，或者一個(gè)小型企業(yè)與其他企業(yè)簽訂合同共同來完成這些任務(wù)?！　‘?dāng)你在脆弱性評(píng)估和風(fēng)險(xiǎn)管理小組工作時(shí)，一定要測(cè)試并證明獨(dú)立工作站與網(wǎng)絡(luò)服務(wù)器的完整性。此項(xiàng)完整性檢驗(yàn)包括系統(tǒng)的物理安全及操作系統(tǒng)與運(yùn)行的安全，這個(gè)小組的成員要對(duì)全網(wǎng)做測(cè)試，找出已知的操作系統(tǒng)和應(yīng)用系統(tǒng)安全隱患。該小組成員對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)工作站和服務(wù)器進(jìn)行攻擊，旨在評(píng)估其脆弱性。一般來說，完成該任務(wù)的人員應(yīng)具有多年在UNIX和Windows NT/2000/XP管理方面的經(jīng)驗(yàn)?！　〈嗳跣栽u(píng)估和風(fēng)險(xiǎn)管理小組中的專業(yè)人員還需具備網(wǎng)絡(luò)入侵檢測(cè)和事件響應(yīng)方面的技能。他們通過使用自動(dòng)化軟件工具和人工監(jiān)控網(wǎng)絡(luò)防火墻日志來檢測(cè)入侵者的攻擊。當(dāng)檢測(cè)到攻擊時(shí)，事件響應(yīng)小組就對(duì)入侵者進(jìn)行跟蹤、定位和識(shí)別，并拒絕他／她進(jìn)一步訪問網(wǎng)絡(luò)。如果入侵者的攻擊會(huì)造成重大或是潛在的破壞，響應(yīng)小組則要收集必要的證據(jù)用來提起對(duì)入侵者的民事或刑事訴訟。訴訟是在法庭上證明某人有罪或無罪的法律程序?！　∪绻词跈?quán)用戶正在訪問網(wǎng)絡(luò)，或任一用戶正在進(jìn)行非法操作，網(wǎng)絡(luò)入侵檢測(cè)和事件響應(yīng)組就要通過定位或阻斷該用戶的訪問來作出響應(yīng)。例如，一社區(qū)大學(xué)成員發(fā)送煽動(dòng)性電子郵件給網(wǎng)絡(luò)上的其他用戶，網(wǎng)絡(luò)組立刻意識(shí)到此電子郵件來自于本地網(wǎng)絡(luò)上的一節(jié)點(diǎn)，于是派出安全組到節(jié)點(diǎn)所在地去。在過去，脆弱性評(píng)估成員對(duì)高端計(jì)算機(jī)調(diào)查的貢獻(xiàn)是非常大的。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    計(jì)算機(jī)取證調(diào)查指南 PDF格式下載

---