第一章 计算机犯罪及其侦查机构 1
1.1 计算机犯罪的定义 1
1.1.1 国外关于计算机犯罪概念的界定 1
1.1.2 我国刑法中关于计算机犯罪的定义 3
1.1.3 计算机犯罪的几种形式 4
1.2 计算机犯罪的特点 5
1.3 计算机犯罪的现状 7
1.4 计算机犯罪的立法 8
1.4.1 国外计算机犯罪立法状况 8
1.4.2 我国计算机违法犯罪处罚依据 9
1.5 计算机犯罪侦查机构的建立 9
1.5.1 国外计算机犯罪侦查机构 9
1.5.2 我国计算机犯罪侦查机构的建立 12
第二章 计算机取证概述 14
2.1 电子证据及其特点 14
2.1.1 电子证据的概念 14
2.1.2 电子证据的特点 16
2.1.3 常见电子设备中潜在的电子证据 18
2.2 计算机取证技术概述 20
2.2.1 计算机取证技术的相关概念 20
2.2.2 计算机取证的三个重要知识体系 22
2.2.3 计算机取证的基本原则 22
2.2.4 计算机取证的相关技术 23
2.2.5 涉及的案例类型 24
2.3 国内外计算机取证技术的发展和研究概况 25
2.3.1 国外计算机取证技术发展概况 26
2.3.2 我国计算机取证技术发展概况 28
2.4 计算机取证技术的发展趋势 30
第三章 计算机取证相关技术基础 35
3.1 数据存储设备和存储原理 35
3.1.1 硬盘存储原理 35
3.1.2 数字移动设备存储原理 53
3.2 磁盘的文件系统 56
3.2.1 常用的文件系统 56
3.2.2 文件存储原理 58
3.3 数据的删除与恢复原理 59
3.3.1 硬盘分区方式 59
3.3.2 数据恢复原理 60
3.3.3 操作系统的启动 62
3.4 系统日志文件的查看和记录方式 65
3.4.1 日志的概念 65
3.4.2 日志的特点 66
3.4.3 系统日志文件 67
3.5 数据加密技术 77
3.6 CRC校验和MD5哈希 78
3.7 Internet基础 80
3.8 网络数据包的截取和解密技术 82
3.9 恶意代码 84
3.9.1 恶意代码的定义及传播特点 84
3.9.2 恶意代码的类型 84
3.10 漏洞扫描 85
3.11 入侵检测 86
第四章 计算机取证的原则、技术和流程 89
4.1 计算机取证的原则 89
4.2 计算机取证的技术 90
4.2.1 基于单机和设备的计算机取证技术 90
4.2.2 基于网络的计算机取证技术 94
4.3 计算机取证的流程 97
4.3.1 评估阶段 97
4.3.2 获取阶段 98
4.3.3 检查和分析阶段 103
4.3.4 备案和报告阶段 103
4.4 计算机取证工具介绍 104
4.4.1 现场获取设备 104
4.4.2 数据分析工具 110
第五章 计算机现场勘查与取证 115
5.1 勘查流程 116
5.1.1 进入现场之前的准备工作 116
5.1.2 提取、固定易失性数据 119
5.1.3 搜查证物 123
5.1.4 在线分析 125
5.1.5 提取、固定证物 126
5.1.6 证物移交 128
5.2 一个典型的现场勘查流程 129
第六章 计算机取证技术应用 130
6.1 IE访问历史记录的分析与取证 130
6.1.1 行为记录文件介绍 130
6.1.2 Index.dat取证 148
6.2 注册表分析与取证 150
6.2.1 注册表概述 151
6.2.2 注册表的组织结构 152
6.2.3 注册表的分析 156
6.2.4 几种常见软件的注册表相关数据 160
6.2.5 注册表的取证 163
6.3 电子邮件的调查与取证 165
6.3.1 电子邮件的诞生与发展 165
6.3.2 电子邮件的传输原理 166
6.3.3 电子邮件的编码方式 170
6.3.4 电子邮件的分析 172
6.4 即时通信工具的调查与取证(QQ、MSN、UC) 184
6.4.1 QQ 184
6.4.2 MSN 187
6.4.3 雅虎通(Yahoo!Messenger) 188
6.4.4 新浪UC 189
6.5 网络证据调查取证 194
6.5.1 网络犯罪的特点 195
6.5.2 网络证据调查取证要点 197
6.5.3 Windows系统篇 198
6.5.4 Unix/Linux系统篇 200
6.5.5 路由器的调查取证 203
6.6 数字移动设备的取证 215
6.7 基于数据挖掘的计算机取证技术 218
6.7.1 计算机取证中的数据挖掘技术 218
6.7.2 基于计算机犯罪的广义数据恢复与模式重现原则 220
6.7.3 应用实例 222
第七章 国内外常用计算机取证硬件和软件介绍 227
7.1 国外计算机取证硬件 227
7.1.1 Logicube 227
7.1.2 ICS 229
7.1.3 Tableau 231
7.1.4 VOOM 233
7.2 国外计算机取证软件 234
7.2.1 New Technologies Incorporated 234
7.2.2 Guidance Software 235
7.2.3 AccessData 236
7.2.4 Ilook 238
7.2.5 Vogon 239
7.2.6 MASTER 239
7.2.7 ProDiscover 241
7.2.8 X-way Forensic 241
7.3 国内取证公司及其产品介绍 242
7.3.1 厦门美亚柏科公司 242
7.3.2 北京天宇宏远公司 245
7.3.3 金诺网络安全技术发展公司 246
7.4 Unix/Linux系统下的取证软件 248
7.4.1 TCT 249
7.4.2 TASK 249
7.4.3 TaFusion MEPIS Forensic System 250
7.4.4 ForensiX 250
7.5 手机和PDA取证软件 251
7.5.1 PDA取证工具软件——PDA Seizure 251
7.5.2 手机取证工具软件——Cell Seizure 252
7.5.3 手机、PDA取证工具软件——Device Seizure 253
第八章 数据恢复技术 255
8.1 数据损坏的原因 256
8.1.1 物理损坏 256
8.1.2 逻辑损坏 257
8.2 数据恢复的方式 258
8.2.1 硬件恢复 258
8.2.2 软件恢复 260
8.2.3 数据恢复的常用方法 260
8.3 数据恢复技术的未来前瞻 266
第九章 电子证据司法鉴定和相关标准、法律规范 270
9.1 电子证据司法鉴定 270
9.1.1 电子证据司法鉴定要解决的主要问题 272
9.1.2 对电子证据司法鉴定机构取证和鉴定程序的要求 273
9.1.3 电子证据鉴定的步骤 274
9.1.4 制作电子证据鉴定报告 275
9.2 电子证据司法鉴定人员的权利和义务 275
9.2.1 司法鉴定人的权利 275
9.2.2 电子证据司法鉴定人员的义务 276
9.3 计算机取证过程和法律效力 277
附录 282
附录1 几种常见硬盘复制机的比较 282
附录2 常见设备速度一览 284
附录3 HASH算法 286
附录4 计算机取证的步骤 288
附录5 常见进程名列表 292
附录6 残留痕迹常见隐藏位置 294
参考文献 297
- 《计算机取证技术》米佳 2007
- 《计算机取证技术》陈龙,麦永浩,黄传河主编;董振兴,史文明,宋秀丽副主编 2007
- 《计算机取证技术》殷联甫编著 2008
- 《计算机取证调查指南》(美)BillNelson等著 2009
- 《计算机取证:应急响应精要》(美)Warren G.Kruse II,(美)Jay G.Heiser著;段海新等译 2003
- 《计算机取证 第2版》顾益军,杨永川,宋蕾编著 2015
- 《计算机取证与司法鉴定》张湛,武春岭主编;瞿芳,邓晶副主编 2014
- 《计算机犯罪取证法律问题研究》王学光著 2016
- 《信息犯罪与计算机取证》王永全,唐玲,刘三满主编 2018
- 《内存取证原理与实践》王连海,张睿超,徐丽娟,张淑慧 2018
