《電子物證檢驗與分析》是2014年清華大學出版社出版的圖書,作者是湯艷君、高洪濤、羅文華。
基本介紹
- 書名:電子物證檢驗與分析
- ISBN:9787302348832
- 定價:33元
- 裝幀:平裝
圖書簡介,圖書目錄,
圖書簡介
本書以電子物證檢驗分析過程中所需要的知識為主線展開,從電子數據、電子數據取證、電子物證檢驗等相關概念入手,介紹了電子物證檢驗與分析基本過程、製作電子數據的保全備份的方法、常用的電子物證檢驗工具的使用方法、不同作業系統環境下電子數據的檢驗方法以及手機信息的檢驗方法。
圖書目錄
第1章電子物證檢驗與分析概述1
1.1電子數據1
1.1.1電子數據定義2
1.1.2電子數據特點2
1.1.3電子數據的審查3
1.2電子數據的法律地位5
1.2.1電子數據相關的證據5
1.2.2電子數據的法律地位6
1.3電子數據取證9
1.3.1電子數據取證的概念9
1.3.2電子數據取證的原則9
1.4電子物證11
1.4.1物證11
1.4.2電子物證11
1.4.3電子物證的特點12
1.4.4電子物證的封存方法12
1.4.5電子物證的固定方法12
1.5電子物證檢驗13
1.5.1什麼是電子物證檢驗13
1.5.2電子物證檢驗的基本原則13
1.5.3電子物證檢驗的常用技術和工具14
1.5.4電子物證檢驗的難點及有利因素15
習題116
第2章電子物證檢驗與分析基本過程17
2.1電子物證檢驗與分析的對象17
2.1.1單機系統中的電子數據17
2.1.2網路系統中的電子數據18
2.1.3其他電子設備中的電子數據18
2.2電子物證檢驗與分析條件19電子物證檢驗與分析目錄2.2.1電子物證檢驗與分析人員條件19
2.2.2電子物證檢驗與分析實驗室條件19
2.3電子物證檢驗與分析過程22
2.3.1案件受理22
2.3.2檢材的保存及處理26
2.3.3檢驗與分析26
2.3.4鑑定文書的形成與簽發29
2.3.5出庭30
2.4影響電子物證檢驗與分析結果的因素31
習題231
第3章製作電子數據的保全備份32
3.1存儲介質的擦除32
3.1.1存儲介質的擦除標準32
3.1.2命令擦除法33
3.1.3軟體擦除法34
3.1.4硬體擦除法34
3.2保全備份34
3.2.1命令備份法34
3.2.2軟體備份法34
3.2.3硬體備份法35
3.3數據完整性校驗35
3.3.1Hash 36
3.3.2MD5算法36
3.3.3SHA算法36
3.3.4CRC算法37
習題337
第4章常用電子物證檢驗工具38
4.1EnCase檢驗工具38
4.1.1EnCase工具概述39
4.1.2EnCase工具的安裝及設定42
4.1.3EnCase工具界面介紹45
4.1.4案例管理及證據操作48
4.1.5證據的分析及檢驗51
4.1.6關鍵字搜尋54
4.1.7索引搜尋57
4.1.8書籤的製作及使用58
4.1.9RAID磁碟重建60
4.2XWays檢驗工具62
4.2.1配置軟體62
4.2.2XWays工具界面介紹63
4.2.3創建案件68
4.2.4XWays基本操作69
4.2.5磁碟快照71
4.2.6檔案過濾73
4.2.7數據搜尋74
4.2.8案件報告75
4.2.9數據恢復76
4.2.10安全擦除78
4.2.11特定類型檔案恢復78
4.3FTK檢驗工具79
4.3.1FTK的安裝79
4.3.2FTK案例和證據管理79
4.3.3FTK視圖81
4.3.4數據過濾83
4.3.5數據搜尋84
習題485
第5章Windows系統的檢驗方法86
5.1檔案系統和存儲層86
5.1.1物理層86
5.1.2數據分類層87
5.1.3分配單元層87
5.1.4存儲空間管理層87
5.1.5信息分類層87
5.1.6套用級存儲層87
5.2文檔內容瀏覽87
5.2.1Quick View Plus軟體介紹88
5.2.2Quick View Plus軟體主要功能90
5.2.3Quick View Plus瀏覽文檔內容方法91
5.3日誌檔案的檢驗92
5.3.1Windows作業系統日誌檢驗92
5.3.2網路伺服器日誌檢驗95
5.3.3常見資料庫日誌檢驗99
5.4註冊表檔案的檢驗101
5.4.1註冊表中的重要鍵值101
5.4.2註冊表的檢驗104
5.5交換檔案的檢驗107
5.5.1交換檔案的顯示與設定107
5.5.2交換檔案的檢驗108
5.6辦公文檔碎片的檢驗108
5.6.1辦公文檔碎片的文本檢驗109
5.6.2辦公文檔碎片的圖片檢驗109
5.7列印脫機檔案的檢驗109
5.7.1列印脫機檔案的設定109
5.7.2列印脫機檔案的類型110
5.7.3列印脫機檔案的存放位置110
5.7.4列印脫機檔案的檢驗110
5.8刪除檔案的檢驗113
5.8.1刪除檔案的方法113
5.8.2刪除檔案的檢驗113
5.9資源回收筒的檔案檢驗115
5.9.1資源回收筒的特點115
5.9.2資源回收筒的檔案檢驗115
5.10IE訪問痕跡的檢驗117
5.10.1Cookies檔案的檢驗117
5.10.2歷史記錄檔案的檢驗119
5.10.3Internet臨時檔案的檢驗120
5.10.4Index.dat檔案的檢驗120
5.11電子郵件的檢驗123
5.11.1電子郵件傳輸原理124
5.11.2電子郵件的檢驗124
5.12隱藏數據的檢驗126
5.12.1磁碟特殊空間隱藏數據的檢驗126
5.12.2NTFS流檔案隱藏數據的檢驗126
5.13聊天記錄的檢驗127
5.13.1QQ聊天記錄的檢驗127
5.13.2MSN聊天記錄的檢驗129
5.13.3其他聊天記錄的檢驗130
習題5131
第6章UNIX/Linux系統的檢驗方法132
6.1UNIX/Linux環境下檔案系統的檢驗132
6.1.1UNIX/Linux檔案系統簡介132
6.1.2The Sleuth Kit軟體包使用說明133
6.1.3利用TSK工具包檢驗實例分析142
6.1.4利用系統命令進行搜尋144
6.1.5Linux環境下的數據刪除與恢復145
6.2日誌檔案檢驗150
6.2.1日誌配置檔案檢驗151
6.2.2日誌管理檔案檢驗152
6.2.3日誌檔案檢驗153
6.2.4進程記賬信息檢驗158
6.2.5日誌分析工具的使用159
6.3用戶賬號與用戶組信息檢驗161
6.3.1用戶賬戶檢驗161
6.3.2用戶組檢驗162
6.4系統啟動任務的檢驗163
6.5特殊檔案檢驗164
6.5.1隱藏檔案與tmp資料夾檢驗164
6.5.2特殊屬性的檔案檢驗165
6.5.3配置檔案的檢驗166
6.5.4檔案真實屬性檢驗167
習題6167
第7章手機的檢驗169
7.1手機的作業系統簡介169
7.1.1Symbian169
7.1.2Windows Mobile170
7.1.3Windows Phone170
7.1.4Android171
7.1.5iPhone OS171
7.1.6BlackBerry OS171
7.1.7Linux OS172
7.2收繳手機的保管與封裝172
7.3手機常用信息的獲取173
7.3.1IMEI、ESN與PSID的獲取方法173
7.3.2手機出廠日期的檢驗方法175
7.3.3手機規格信息的查詢175
7.3.4運營商網路包含的證據信息176
7.4手機信息的檢驗177
7.4.1SIM卡信息的檢驗177
7.4.2手機機身記憶體信息的檢驗182
7.4.3手機擴展卡信息的檢驗192
習題7193
第8章典型案例分析與檢驗194
8.1網路賭博案件的檢驗194
8.1.1簡要案情194
8.1.2網路賭博案件檢驗步驟及方法195
8.1.3檢驗時需注意的問題198
8.2網路敲詐案件的檢驗199
8.2.1簡要案情199
8.2.2網路敲詐案件檢驗步驟及方法199
8.2.3檢驗時需注意的問題200
8.3偽造證件、印章案件的檢驗201
8.3.1簡要案情202
8.3.2偽造證件、印章案件的檢驗步驟及方法202
8.3.3檢驗時需注意的問題204
8.4網上非法販賣槍枝彈藥案件的檢驗204
8.4.1簡要案情204
8.4.2網上非法販賣槍枝彈藥案件的檢驗步驟及方法204
8.4.3檢驗時需注意的問題209
8.5非法製造假髮票案件的檢驗209
8.5.1簡要案情209
8.5.2非法製造假髮票案件的檢驗步驟及方法210
8.5.3檢驗時需注意的問題212
8.6KTV尋釁滋事案件的檢驗212
8.6.1簡要案情212
8.6.2KTV尋釁滋事案件的檢驗步驟及方法212
8.6.3檢驗時需注意的問題215
8.7賭博遊戲代理伺服器的檢驗216
8.7.1簡要案情216
8.7.2賭博遊戲代理伺服器的檢驗步驟及方法216
8.7.3檢驗時需注意的問題220
8.8非法入侵政府網站案件的檢驗221
8.8.1簡要案情221
8.8.2非法入侵政府網站案件的檢驗步驟及方法221
8.8.3檢驗時需注意的問題224
8.9侵犯智慧財產權案件的檢驗225
8.9.1簡要案情225
8.9.2侵犯智慧財產權案件檢驗步驟及方法225
8.9.3檢驗時需注意的問題230
8.10有害信息傳播案件的檢驗231
8.10.1簡要案情231
8.10.2有害信息傳播案件的檢驗步驟及方法231
8.10.3檢驗時需注意的問題235
8.11竊取公司商業機密案件的檢驗235
8.11.1簡要案情236
8.11.2竊取公司商業機密案件的檢驗步驟及方法236
8.11.3檢驗時需注意的問題241
習題8241
參考文獻242
