網路取證：從數據到電子證據

　　《網路取證：從數據到電子證據》由數據基礎；二進制到十進制；十六進制的力量；檔案；引導過程和主引導記錄（MBR）；位元組序與分區表；卷與分區；FAT12/16檔案系統；NTFS及其他檔案系統；網路取證：明智的調查策略；時間取證；調查案件結束；網路取證過程總結13章構成。

第1章 數據基礎

基數2的編碼系統：二進制和字元編碼

兩態通信

電和磁

構建塊：數據的來源

拓展數據構建塊

超越基數2

美國信息交換標準碼

字元編碼：處理文本數據的基礎

擴展ASCII編碼和Unicode編碼

第2章 二進制到十進制

ASCII

作為計算器的計算機

為什麼進制轉換在取證中是十分重要的？

數據表示

二進制到十進制的轉換

進制轉換分析

取證案例：數學的套用

十進制到二進制：重新審查

第3章 十六進制的力量

十六進制是什麼？

位、位元組與半位元組

半位元組和比特

二進制到十六進制的轉換

二進制（十六進制）編輯器

乾草堆里的針

第4章 檔案

檔案、檔案結構和檔案格式

檔案擴展名

更改檔案擴展名以逃避調查

檔案和十六進制編輯器

檔案簽名

ASCII不是文本或十六進制

檔案簽名的價值

複雜檔案：複合、壓縮和加密檔案

為什麼複合檔案會存在？

壓縮檔案

取證和加密檔案

密碼檔案結構

第5章 引導過程和主引導記錄（MBR）

引導啟動過程

引導過程的主要功能

取證鏡像和證據收集

BIOS

BIOS小結

BIOS設定實用程式

主引導記錄（MBR）

分區表

硬碟分區

第6章 位元組序與分區表

位元組序的種類

位元組序

位元組序的詞源

MBR中的分區表

第7章 卷與分區

技術回顧

柱面、磁頭、扇區和邏輯塊定址

卷與分區

第8章 FAT12/16檔案系統

技術回顧

檔案系統

元數據

檔案分配表（FAT）檔案系統

鬆弛空間

十六進制複習筆記

項

FAT

簇大小如何確定

擴展簇大小

項和FAT

FAT檔案系統的限制

項的限制

第9章 NTFS及其他檔案系統

新技術檔案系統

分區引導記錄

MFT

NTFS檔案系統小結

exFAT

其他檔案系統概念

第10章 網路取證：明智的調查策略

取證過程

明智的取證調查策略

時間

第11章 時間取證

時間是什麼？

網路時間協定

時間戳

時間追蹤

時鐘模型和時間邊界：時間取證基礎

MS-DOS的32位時間戳：日期和時間

日期確定

時間確定

時間的不精確性

第12章 調查案件結束

明智的取證調查策略

步驟五：調查（續）

步驟六：通報發現

一份優秀的網路取證報告的特徵

報告內容

步驟七：保留和管理證據

步驟八：調查總結和結論

調查人員作為專家證人的任務

第13章 網路取證過程總結

二進制

二進制一十進制——ASCII碼

數據與編碼

十六進制

從原始數據到檔案

存取檔案

位元組序

分區

檔案系統

時間

調查過程

附錄A ABC公司的取證調查

附錄B 術語表

致謝