電子數據取證(2021年機械工業出版社出版的圖書)

本書主要介紹計算機取證的相關概念和實踐，目的是幫助讀者通過完成各種實踐練習，獲得收集和保存數字證據的實踐經驗。本書共21章，每一章都集中於一個特定的取證主題，且由兩個部分組成：背景知識和實踐練習。本書以經驗為導向，包含了20個以探究為基礎的實踐練習，以幫助讀者更好地理解數字取證概念和學習數字取證調查技術。

本書適用於正在學習數字取證相關課程或從事數字取證研究的本科生和研究生。它還適用於數字取證從業者、IT安全分析師、IT安全行業的安全工程師，特別是負責數字調查和事件處理的IT專業人士或在這些相關領域工作的研究人員。

推薦序

譯者序

前言

致謝

譯者簡介

第一部分　計算機系統和計算機取證基礎

第1章　電子數據取證概述 2

1.1　概述 2

1.1.1　成長期 2

1.1.2　快速發展 3

1.1.3　挑戰 4

1.1.4　數字取證的隱私風險 7

1.1.5　展望未來 7

1.2　電子數據取證的範疇及其重要性 8

1.3　電子證據 10

1.4　電子數據取證流程與技術 14

1.4.1　準備階段 16

1.4.2　犯罪現場階段 16

1.4.3　電子證據實驗室階段 18

1.5　電子數據取證的類型 20

1.6　有用的資源 23

1.7　練習題 27

參考文獻 28

第2章　計算機系統概論 30

2.1　計算機組成 30

2.2　數據表示 33

2.3　記憶體對齊和位元組順序 35

2.4　實戰練習 38

2.4.1　設定實驗環境 38

2.4.2　練習題 38

附錄　如何使用gdb調試工具調試C程式 41

參考文獻 42

第3章　搭建取證工作站 43

3.1　TSK和Autopsy Forensics Browser 43

3.1.1　TSK 43

3.1.2　Autopsy Forensic Browser 45

3.1.3　Kali Linux中的TSK和Autopsy 47

3.2　虛擬化 47

3.2.1　為什麼要虛擬化 48

3.2.2　有哪些虛擬機可供選擇 49

3.2.3　為什麼選擇VMware虛擬化平台 50

3.3　使用 Kali Linux 建立取證工作站 50

3.4　首次使用TSK進行電子數據檢驗 62

3.5　實戰練習 66

3.5.1　設定實驗環境 66

3.5.2　練習題 66

附錄A　在 Linux 中安裝軟體 72

附錄B　dcfldd備忘單 73

參考文獻 74

第二部分　檔案系統取證分析

第4章　卷的檢驗分析 76

4.1　硬碟結構和磁碟分區 76

4.1.1　硬碟結構 77

4.1.2　磁碟分區 79

4.1.3　DOS分區 80

4.1.4　分區中的扇區定址 85

4.2　卷分析 86

4.2.1　磁碟布局分析 86

4.2.2　分區連續性檢查 86

4.2.3　獲取分區 87

4.2.4　已刪除分區的恢復 87

4.3　實戰練習 89

4.3.1　設定實驗環境 89

4.3.2　練習題 89

4.4　提示 90

參考文獻 92

第5章　FAT檔案系統檢驗分析 93

5.1　檔案系統概述 94

5.2　FAT檔案系統 99

5.2.1　分區引導扇區 100

5.2.2　檔案分配表 103

5.2.3　FAT檔案系統定址 104

5.2.4　根目錄和目錄項 105

5.2.5　長檔案名稱 108

5.3　實戰練習 112

5.3.1　設定實驗環境 112

5.3.2　練習題 112

5.4　提示 113

附錄A　FAT12 / 16分區引導扇區的數據結構 115

附錄B　FAT32分區引導扇區的數據結構 116

附錄C　LFN目錄項校驗和算法 116

參考文獻 117

第6章　FAT檔案系統數據恢復 118

6.1　數據恢復原理 118

6.2　FAT檔案系統中的檔案創建和刪除 121

6.2.1　檔案創建 121

6.2.2　檔案刪除 123

6.3　FAT檔案系統中刪除檔案的恢復 123

6.4　實戰練習 125

6.4.1　設定實驗環境 125

6.4.2　練習題 125

6.5　提示 127

參考文獻 130

第7章　NTFS檔案系統檢驗分析 131

7.1　NTFS檔案系統 131

7.2　MFT 133

7.3　NTFS索引 140

7.3.1　B樹 140

7.3.2　NTFS 目錄索引 142

7.4　NTFS 高級特性 151

7.4.1　EFS 151

7.4.2　數據存儲效率 156

7.5　實戰練習 158

7.5.1　設定實驗環境 158

7.5.2　練習題 158

7.6　提示 159

7.6.1　在NTFS檔案系統中查找MFT 159

7.6.2　確定一個給定MFT表項的簇地址 160

參考文獻 161

第8章　NTFS檔案系統數據恢復 162

8.1　NTFS檔案恢復 162

8.1.1　NTFS檔案系統中的檔案創建和刪除 163

8.1.2　NTFS檔案系統中已刪除檔案的恢復 168

8.2　實戰練習 169

8.2.1　設定實驗環境 169

8.2.2　練習題 170

參考文獻 171

第9章　檔案雕復 172

9.1　檔案雕復的原理 172

9.1.1　頭部/尾部雕復 173

9.1.2　BGC 176

9.2　檔案雕復工具 180

9.2.1　Foremost 180

9.2.2　Scalpel 181

9.2.3　TestDisk和Photorec 182

9.3　實戰練習 189

9.3.1　設定實驗環境 189

9.3.2　練習題 189

參考文獻 190

第10章　檔案指紋搜尋取證 191

10.1　概述 191

10.2　檔案指紋搜尋過程 192

10.3　使用hfind進行檔案指紋搜尋 194

10.3.1　使用md5sum創建一個散列庫 194

10.3.2　為散列庫創建MD5索引檔案 195

10.3.3　在散列庫中搜尋特定的散列值 195

10.4　實戰練習 196

10.4.1　設定實驗環境 196

……