电子数据取证

本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者更好地理解数字取证概念和学习数字取证调查技术。本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。

推荐序
译者序
前言
致谢
译者简介
第一部分 计算机系统和计算机取证基础
第1章 电子数据取证概述 2
1.1 概述 2
1.1.1 成长期 2
1.1.2 快速发展 3
1.1.3 挑战 4
1.1.4 数字取证的隐私风险 7
1.1.5 展望未来 7
1.2 电子数据取证的范畴及其重要性 8
1.3 电子证据 10
1.4 电子数据取证流程与技术 14
1.4.1 准备阶段 16
1.4.2 犯罪现场阶段 16
1.4.3 电子证据实验室阶段 18
1.5 电子数据取证的类型 20
1.6 有用的资源 23
1.7 练习题 27
参考文献 28
第2章 计算机系统概论 30
2.1 计算机组成 30
2.2 数据表示 33
2.3 内存对齐和字节顺序 35
2.4 实战练习 38
2.4.1 设置实验环境 38
2.4.2 练习题 38
附录 如何使用gdb调试工具调试C程序 41
参考文献 42
第3章 搭建取证工作站 43
3.1 TSK和Autopsy Forensics Browser 43
3.1.1 TSK 43
3.1.2 Autopsy Forensic Browser 45
3.1.3 Kali Linux中的TSK和Autopsy 47
3.2 虚拟化 47
3.2.1 为什么要虚拟化 48
3.2.2 有哪些虚拟机可供选择 49
3.2.3 为什么选择VMware虚拟化平台 50
3.3 使用 Kali Linux 建立取证工作站 50
3.4 首次使用TSK进行电子数据检验 62
3.5 实战练习 66
3.5.1 设置实验环境 66
3.5.2 练习题 66
附录A 在 Linux 中安装软件 72
附录B dcfldd备忘单 73
参考文献 74
第二部分 文件系统取证分析
第4章 卷的检验分析 76
4.1 硬盘结构和磁盘分区 76
4.1.1 硬盘结构 77
4.1.2 磁盘分区 79
4.1.3 DOS分区 80
4.1.4 分区中的扇区寻址 85
4.2 卷分析 86
4.2.1 磁盘布局分析 86
4.2.2 分区连续性检查 86
4.2.3 获取分区 87
4.2.4 已删除分区的恢复 87
4.3 实战练习 89
4.3.1 设置实验环境 89
4.3.2 练习题 89
4.4 提示 90
参考文献 92
第5章 FAT文件系统检验分析 93
5.1 文件系统概述 94
5.2 FAT文件系统 99
5.2.1 分区引导扇区 100
5.2.2 文件分配表 103
5.2.3 FAT文件系统寻址 104
5.2.4 根目录和目录项 105
5.2.5 长文件名 108
5.3 实战练习 112
5.3.1 设置实验环境 112
5.3.2 练习题 112
5.4 提示 113
附录A FAT12 / 16分区引导扇区的数据结构 115
附录B FAT32分区引导扇区的数据结构 116
附录C LFN目录项校验和算法 116
参考文献 117
第6章 FAT文件系统数据恢复 118
6.1 数据恢复原理 118
6.2 FAT文件系统中的文件创建和删除 121
6.2.1 文件创建 121
6.2.2 文件删除 123
6.3 FAT文件系统中删除文件的恢复 123
6.4 实战练习 125
6.4.1 设置实验环境 125
6.4.2 练习题 125
6.5 提示 127
参考文献 130
第7章 NTFS文件系统检验分析 131
7.1 NTFS文件系统 131
7.2 MFT 133
7.3 NTFS索引 140
7.3.1 B树 140
7.3.2 NTFS 目录索引 142
7.4 NTFS 高级特性 151
7.4.1 EFS 151
7.4.2 数据存储效率 156
7.5 实战练习 158
7.5.1 设置实验环境 158
7.5.2 练习题 158
7.6 提示 159
7.6.1 在NTFS文件系统中查找MFT 159
7.6.2 确定一个给定MFT表项的簇地址 160
参考文献 161
第8章 NTFS文件系统数据恢复 162
8.1 NTFS文件恢复 162
8.1.1 NTFS文件系统中的文件创建和删除 163
8.1.2 NTFS文件系统中已删除文件的恢复 168
8.2 实战练习 169
8.2.1 设置实验环境 169
8.2.2 练习题 170
参考文献 171
第9章 文件雕复 172
9.1 文件雕复的原理 172
9.1.1 头部/尾部雕复 173
9.1.2 BGC 176
9.2 文件雕复工具 180
9.2.1 Foremost 180
9.2.2 Scalpel 181
9.2.3 TestDisk和Photorec 182
9.3 实战练习 189
9.3.1 设置实验环境 189
9.3.2 练习题 189
参考文献 190
第10章 文件指纹搜索取证 191
10.1 概述 191
10.2 文件指纹搜索过程 192
10.3 使用hfind进行文件指纹搜索 194
10.3.1 使用md5sum创建一个散列库 194
10.3.2 为散列库创建MD5索引文件 195
10.3.3 在散列库中搜索特定的散列值 195
10.4 实战练习 196
……