计算机取证与司法鉴定PDF|Epub|txt|kindle电子书版本网盘下载

计算机取证与司法鉴定PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

项目1 计算机取证准备和现场处理1

学习目标1

项目说明1

项目任务1

基础知识2

1.1 计算机取证调查和鉴定的概念2

1.1.1 计算机取证和司法鉴定2

1.1.2 计算机取证调查和鉴定的业务范围3

1.1.3 计算机取证的发展状况4

1.1.4 计算机取证调查与个人隐私和公司秘密的保障5

1.1.5 计算机取证和司法鉴定的原则6

1.1.6 计算机取证的实施过程10

1.2 计算机取证调查人员15

1.2.1 计算机取证和鉴定人员的要求15

1.2.2 企业内部调查取证人员与司法取证和鉴定人员的异同18

1.2.3 计算机取证人员的职业道德18

1.3 电子取证相关工作基本程序19

1.3.1 电子取证的基本程序19

1.3.2 计算机调查的程序20

1.3.3 计算机现场勘验的程序21

1.4 企业内部取证调查和司法取证调查23

1.4.1 针对私营企业内部取证现场的取证调查23

1.4.2 针对执法犯罪现场的取证调查26

项目分析27

项目实施28

1.5 任务一：计算机取证的程序和文档准备28

1.5.1 计算机取证调查授权书的准备28

1.5.2 评估案件的性质30

1.5.3 确定计算机取证调查的边界31

1.5.4 准备计算机取证的证据管理表单33

1.6 任务二：计算机取证的硬软件准备35

1.6.1 了解取证案件的需求35

1.6.2 规划取证调查36

1.6.3 制作干净的启动盘37

1.6.4 建立现场取证工具箱47

1.6.5 准备取证所需设备和工具48

1.7 任务三：进入取证现场51

1.7.1 处理一个主要的取证现场51

1.7.2 保护现场的数字证据52

1.7.3 分类数字证据53

1.7.4 处理和管理数字证据54

1.7.5 存储数字证据54

应用实训55

拓展练习56

项目2 Windows环境单机取证57

学习目标57

项目说明57

项目任务57

基础知识58

2.1 电子证据的概念和法律定位58

2.1.1 电子证据的概念58

2.1.2 电子证据、计算机证据和数字证据的异同58

2.1.3 电子证据的特点60

2.1.4 电子证据的可采性问题62

2.1.5 电子证据与我国传统的七大证据的关系62

2.1.6 电子证据与直接证据和间接证据的关系65

2.2 Windows/DOS取证基础66

2.2.1 主引导记录MBR66

2.2.2 FAT文件结构68

2.2.3 NTFS文件结构71

项目分析77

项目实施78

2.3 任务一：在Windows环境下进行原始证据取证复制78

2.3.1 现场取证复制前的考虑78

2.3.2 易失性证据的获取79

2.3.3 利用FTK Imager进行取证复制82

2.3.4 利用X-Ways Forensics进行取证复制88

2.4 任务二：Windows注册表调查92

2.4.1 注册表基础92

2.4.2 计算机取证调查中关注的常规键94

2.4.3 取证调查时注册表中关注的文件夹位置96

2.4.4 取证调查时注册表中关注的自启动项98

2.4.5 注册表取证调查的方法99

2.5 任务三：Windows文件目录调查102

2.5.1 自启动目录和文件102

2.5.2 Windows系统中的重要目录103

2.5.3 Windows系统中的重要系统文件106

2.6 任务四：Windows日志调查108

2.6.1 事件日志的调查108

2.6.2 网络日志的调查112

2.7 任务五：Windows的进程和网络痕迹调查115

2.7.1 系统常用进程分析115

2.7.2 系统网络痕迹调查118

应用实训119

拓展练习120

项目3 非Windows环境的单机取证121

学习目标121

项目说明121

项目任务121

基础知识122

3.1 Macintosh的引导过程和文件系统122

3.1.1 Macintosh文件结构122

3.1.2 Macintosh中的卷结构123

3.1.3 引导Macintosh系统124

3.2 UNIX/Linux的引导过程和文件系统125

3.2.1 UNIX/Linux磁盘结构125

3.2.2 i节点简介128

3.2.3 Linux的目录结构和重要文件130

3.2.4 UNIX/Linux的引导过程133

项目分析134

项目实施135

3.3 任务一：在UNIX/Linux环境下获取原始证据135

3.3.1 UNIX/Linux系统中现场证据的获取135

3.3.2 UNIX/Linux环境中内存与硬盘信息的获取137

3.3.3 UNIX/Linux环境中进程信息的获取142

3.3.4 UNIX/Linux的网络连接信息获取145

3.4 任务二：UNIX/Linux环境的数据初步分析148

3.4.1 UNIX/Linux环境的取证数据预处理148

3.4.2 UNIX/Linux环境的日志调查150

3.4.3 UNIX/Linux环境中其他重要信息的调查155

应用实训158

拓展练习159

项目4 原始证据的深入分析160

学习目标160

项目说明160

项目任务160

基础知识161

4.1 电子证据司法鉴定的程序161

4.1.1 电子证据司法鉴定的含义161

4.1.2 电子证据司法鉴定的程序161

4.2 电子证据保全的程序162

4.2.1 电子证据保全的含义162

4.2.2 电子证据保全的程序163

4.3 调查取证报告164

4.3.1 调查取证报告的重要性164

4.3.2 取证报告的书写准则165

项目分析168

项目实施169

4.4 任务一：利用EnCase Forensic进行分析169

4.4.1 创建新案件并添加证据磁盘169

4.4.2 EnCase界面简介172

4.4.3 利用EnCase调查案件的前期步骤184

4.4.4 文件操作188

4.4.5 关键词搜索190

4.4.6 使用书签194

4.4.7 生成报告196

4.5 任务二：利用X-Ways Forensics进行分析199

4.5.1 环境设置199

4.5.2 创建新案件200

4.5.3 添加取证分析的原始证据202

4.5.4 基本界面和操作202

4.5.5 进行磁盘快照206

4.5.6 使用过滤器208

4.5.7 搜索数据信息210

4.5.8 提取文件212

4.5.9 生成报告214

应用实训216

拓展练习217

项目5 在网络中进行取证218

学习目标218

项目说明218

项目任务219

基础知识219

5.1 网络取证基础219

5.1.1 网络取证的定义219

5.1.2 网络取证的特点220

5.1.3 网络电子证据的特点221

5.1.4 网络取证的难点和发展趋势222

5.1.5 网络监控的程序224

5.2 网络调查的信息源和常用分析工具224

5.2.1 网络调查的信息源224

5.2.2 网络取证分析工具226

项目分析232

项目实施232

5.3 任务一：云存储取证案例分析232

5.3.1 云计算基础232

5.3.2 调查云存储痕迹233

5.4 任务二：网络取证案例分析238

5.4.1 搭建蜜罐（Honeypot）238

5.4.2 运用蜜罐技术进行网络取证调查244

应用实训249

拓展练习250

项目6 针对多媒体进行取证251

学习目标251

项目说明251

项目任务252

基础知识252

6.1 数字多媒体基础252

6.1.1 灰度图像253

6.1.2 彩色图像253

6.1.3 调色板图像254

6.2 数字图像内容认证技术基础255

6.2.1 数字图像内容篡改的现状255

6.2.2 数字图像的篡改方法258

项目分析261

项目实施261

6.3 任务一：对简单数据隐藏进行分析261

6.3.1 针对最简单的数据隐藏方式进行分析262

6.3.2 插入式数据隐藏263

6.4 任务二：利用隐写分析技术分析可疑图像264

6.4.1 数字隐写和隐写分析技术264

6.4.2 数字图像隐写技术基础264

6.4.3 利用简单的数字图像隐写术隐藏数据267

6.4.4 针对简单数字图像隐写术的分析取证271

6.5 任务三：数字图像内容真实性认证273

6.5.1 数字图像内容认证技术概略273

6.5.2 数字图像内容认证案例分析276

应用实训279

拓展练习279

参考文献281