计算机取证调查指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

计算机取证调查指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一章 计算机取证和调查专业介绍1

了解计算机取证2

计算机取证与其他相关学科3

计算机取证历史简介4

开发计算机取证资源6

为计算机调查做准备7

了解执法机构调查9

了解企业调查11

维护职业道德16

本章小结17

关键术语18

复习题19

练习题20

案例题21

第二章 理解计算机调查23

为计算机调查做准备24

调查一起计算机犯罪24

调查一起违反公司制度的案件26

采取系统化方法26

评估案件27

制订调查计划29

确保证据的安全32

了解数据恢复工作站与软件33

建立计算机取证工作站35

展开调查38

收集证据39

创建一张取证引导软盘40

准备好制作一张取证启动盘所需的工具40

通过远程网络连接来恢复取证数据45

拷贝证据磁盘45

使用FTK Imager创建位流镜像文件48

分析数字证据48

结束案件54

对案件进行评估56

本章小结56

关键术语57

复习题58

练习题59

案例题64

第三章 调查人员的办公室与实验室65

了解取证实验室的认证要求66

明确实验室管理者和实验室工作人员的职责66

实验室预算方案67

获取认证与培训70

确定计算机取证实验室的物理布局72

确定实验室安全需求72

展开高风险调查73

考虑办公室的人体工程学74

考虑环境因素75

考虑结构设计因素76

确定实验室的电力需求77

制订通信计划78

安装灭火系统78

使用证据容器79

监督实验室的维护80

考虑物理安全需求80

审查计算机取证实验室81

确定计算机取证实验室的楼层计划81

选择一个基本取证工作站83

为警察实验室选择工作站83

为私人实验室和企业实验室选择工作站84

储备硬件外围设备84

为操作系统和应用软件做好详细清单85

运用灾难恢复计划85

为设备升级制订计划86

使用笔记本取证工作站86

为取证实验室的发展确定业务状况86

为计算机取证实验室准备一份业务需求报告88

本章小结91

关键术语92

复习题93

练习题94

案例题95

第四章 目前的计算机取证工具97

计算机取证软件需求98

计算机取证工具的类型98

计算机取证工具的执行任务99

工具比较106

针对工具的其他需要考虑的事项108

计算机取证软件108

命令行取证工具108

UNIX/Linux命令行取证工具109

GUI取证工具109

计算机硬件工具110

计算机调查工作站110

验证并测试取证软件113

使用NIST（国家标准与技术研究院）工具113

验证协议115

本章小结116

关键术语117

复习题117

练习题118

案例题126

第五章 处理犯罪和事故现场128

收集私营部门事故现场的证据129

处理执法犯罪现场132

理解在搜查令中使用的概念和术语134

为查找证据做准备134

鉴定案件性质134

鉴别计算机系统的类型135

确定是否可以查封一台电脑135

获取一份详尽的犯罪地点的描述135

确定谁是主管136

使用辅助技术专家136

确定需要的工具137

组建调查小组139

保护计算机事故或犯罪现场140

在现场获取数字证据141

处理一个主要的事故或犯罪现场141

使用RAID陈列处理数据中心143

在事故或犯罪现场采用技术顾问144

民事调查案例144

刑事调查案例145

审阅一个案件146

鉴别案件需求147

规划你的调查148

取证工具包（AccessData FTK）150

本章小结160

关键术语161

复习题162

练习题163

案例题164

第六章 数字证据保全166

鉴别数字证据167

理解证据法规167

保护事故现场的数字证据170

分类数字证据172

实验室证据需要考虑的事项173

处理和管理数字证据173

存储数字证据174

证据保留和介质存储需求175

存档证据175

获取数字散列176

本章小结181

关键术语181

复习题182

练习题183

案例题187

第七章 在Windows和DOS系统下工作188

了解文件系统189

了解引导顺序189

了解磁盘驱动器190

探讨Microsoft文件结构192

磁盘分区192

主引导记录195

检测FAT磁盘195

检测NTFS磁盘199

NTFS系统文件201

NTFS属性202

NTFS数据流203

NTFS压缩文件204

NTFS加密文件系统（EFS）204

EFS恢复钥代理205

删除NTFS文件205

了解Windows注册表206

Windows 9x注册表207

Windows 2000和XP注册表207

了解Microsoft引导任务209

Windows XP、Windows 2000以及NT启动209

Windows XP系统文件210

Windows 9x和ME启动211

了解MS-DOS启动任务212

其他磁盘操作系统213

DOS命令和批处理文件214

本章小结217

关键术语217

复习题221

练习题222

案例题226

第八章 Macintosh与Linux引导过程和文件系统227

了解Macintosh文件结构228

了解卷228

探讨Macintosh引导任务230

使用Macintosh取证软件231

检测UNIX和Linux磁盘结构231

UNIX和Linux概述235

了解i节点239

了解UNIX和Linux引导过程242

了解Linux Loader和GRUB242

UNIX和Linux驱动器和分区方案243

检测CD数据结构243

了解其他磁盘结构245

检测SCSI磁盘245

检测IDE/EIDE设备246

本章小结250

关键术语251

复习题253

练习题254

案例题256

第九章 数据提取257

确定最好的数据提取方法258

考虑数据恢复中的意外事故259

使用MS-DOS数据提取工具260

了解DriveSpy如何访问扇区260

使用DriveSpy数据保存命令262

使用Drive5py数据处理命令268

使用Windows数据提取工具271

AccessDate FTK Imager272

使用X-Ways Replica275

使用Replica275

PDA数据提取277

PDA调查中的综合考虑278

使用其他证据提取工具280

探讨SnapBack DatArrest280

探讨SafeBack281

探讨EnCase281

本章小结282

关键术语283

复习题283

练习题284

案例题291

第十章 计算机取证分析293

了解计算机取证分析294

优化调查方案294

使用DriveSpy分析计算机数据295

DriveSpy命令开关301

DriveSpy关键词搜索301

DriveSpy脚本302

DriveSpy数据完整化工具304

DriveSpy残留数据收集工具306

其他有用的DriveSpy命令工具306

使用其他Digital Intelligence计算机取证工具307

使用PDBlock和PDWipe308

使用AccessData’s取证工具包308

使用Guidance Software的EnCase314

计算机取证案件的处理方法319

执行计算机取证分析320

组建取证工作站321

在Microsoft的文件系统上完成取证分析322

UNIX和Linux取证分析329

Macintosh调查331

掌握数据掩密技术331

隐藏分区332

标记坏簇334

位移334

使用掩密技术337

检查加密文件338

修复密码338

本章小结339

关键术语340

复习题341

练习题342

案例题348

第十一章 恢复图像文件350

恢复图像文件351

了解位图和光栅图像351

了解向量图352

了解图元文件图形352

了解图形文件格式352

了解数据压缩353

回顾有损和无损压缩354

定位并恢复图像文件354

鉴别图像文件片段355

恢复已损的文件头355

从未分配空间中剪切数据356

重建文件头361

重建文件片段364

鉴别未知文件格式371

分析图像文件的头373

图像浏览工具374

了解图像文件中的掩密技术375

使用掩密分析工具378

鉴定图形的版权问题379

本章小结380

关键术语381

复习题382

练习题383

案例题387

第十二章 网络取证389

了解因特网的基本原理390

因特网协议390

了解网络基础391

在Linux计算机上提取数据392

了解网络取证399

网络取证的方法399

网络日志400

使用网络工具402

UNIX/Linux工具403

网络嗅探器406

蜜网项目407

本章小结409

关键术语409

复习题410

练习题410

案例题411

第十三章 电子邮件调查413

在电子邮件里探究客户端和服务器的作用414

调查电子邮件犯罪和违规行为415

识别电子邮件犯罪和违规行为415

审查电子邮件消息416

检查电子邮件头部418

审核电子邮件头部426

审核附加的电子邮件文件428

追踪电子邮件消息429

利用与电子邮件相关的网络日志429

了解电子邮件服务器430

审查UNIX电子邮件服务器日志432

审查微软电子邮件服务器日志434

审查Novell GroupWise电子邮件日志436

运用专业的电子邮件取证工具438

本章小结440

关键术语441

复习题441

练习题443

案例题446

第十四章 成为一个专家型证人并书写调查结果报告448

理解报告的重要性449

报告要明确449

报告类型450

书写报告的准则453

报告结构454

报告要简明扼要455

设计报告的编排和陈述456

使用取证软件工具生成报告结果460

使用FTK演示版461

形成专家意见469

准备证词470

存档和准备证据471

处理证据472

成为咨询专家或专家证人473

创建和维护简历473

准备好技术解释474

法庭作证474

了解审判程序474

使证言和誓词具有法律效力475

解决潜在的问题475

常规作证476

提出证据477

帮助你的律师478

回避证言问题478

在主询问中作证478

使用图表作证479

在反询问中作证480

作证时要讲究职业道德482

理解原告的不当行为482

准备笔录证词482

在笔录证词中的作证的指导方针483

了解笔录证词的相关问题483

公开发表信息：与记者打交道484

本章小结485

关键术语485

复习题486

练习题489

案例题493

附录A 证书考试介绍494

IACIS证书494

IACIS计算机取证技能要求495

查找URLs495

附录B 计算机取证参考498

针对计算机调查员的快速参照表498

DriveSpy命令开关参照表498

UNIX和Linux通用的外壳程序命令499

DriveSpy脚本范例501

FAT目录结构的综述502

DOS脚本的范例507

计算机取证参考512

MS-DOS参考书513

附录C 企业高科技调查规范514

调查的程序514

职员解雇案件514

律师与当事人之间秘密特权的调查516

媒体泄漏调查517

工业间谍调查518

在高科技调查中的面谈和审问520

术语表521