電子數據取證 - 城邦阅读花园


	本書主要介紹電腦取證的相關概念和實踐，目的是説明讀者通過完成各種實踐練習，獲得收集和保存數位證據的實踐經驗。本書共21章，每一章都集中於一個特定的取證主題，且由兩個部分組成：背景知識和實踐練習。本書以經驗為導向，包含了20個以探究為基礎的實踐練習，以説明讀者更好地理解數位取證概念和學習數位取證調查技術。本書適用於正在學習數位取證相關課程或從事數位取證研究的本科生和研究生。它還適用於數字取證從業者、IT安全分析師、IT安全行業的安全工程師，特別是負責數位調查和事件處理的IT專業人士或在這些相關領域工作的研究人員。



	購買中國簡體書籍請注意： 1. 因裝幀品質及貨運條件未臻完善，中國簡體書可能有出現磨痕、凹痕、折痕等問題，故簡體字館除封面破損、內頁脫落、缺頁等較嚴重的狀態外，其餘所有商品將正常出貨。


	目錄推薦序譯者序前言致謝譯者簡介第一部分　電腦系統和電腦取證基礎第1章　電子資料取證概述 2 1.1　概述 2 1.1.1　成長期 2 1.1.2　快速發展 3 1.1.3　挑戰 4 1.1.4　數字取證的隱私風險 7 1.1.5　展望未來 7 1.2　電子資料取證的範疇及其重要性 8 1.3　電子證據 10 1.4　電子資料取證流程與技術 14 1.4.1　準備階段 16 1.4.2　犯罪現場階段 16 1.4.3　電子證據實驗室階段 18 1.5　電子資料取證的類型 20 1.6　有用的資源 23 1.7　練習題 27 參考文獻 28 第2章　電腦系統概論 30 2.1　計算機組成 30 2.2　資料表示 33 2.3　記憶體對齊和位元組順序 35 2.4　實戰練習 38 2.4.1　設置實驗環境 38 2.4.2　練習題 38 附錄　如何使用gdb調試工具調試C程式 41 參考文獻 42 第3章　搭建取證工作站 43 3.1　TSK和Autopsy Forensics Browser 43 3.1.1　TSK 43 3.1.2　Autopsy Forensic Browser 45 3.1.3　Kali Linux中的TSK和Autopsy 47 3.2　虛擬化 47 3.2.1　為什麼要虛擬化 48 3.2.2　有哪些虛擬機器可供選擇 49 3.2.3　為什麼選擇VMware虛擬化平臺 50 3.3　使用 Kali Linux 建立取證工作站 50 3.4　首次使用TSK進行電子資料核對 62 3.5　實戰練習 66 3.5.1　設置實驗環境 66 3.5.2　練習題 66 附錄A　在 Linux 中安裝軟體 72 附錄B　dcfldd備忘單 73 參考文獻 74 第二部分　檔案系統取證分析第4章　卷的檢驗分析 76 4.1　硬碟結構和磁碟分割 76 4.1.1　硬碟結構 77 4.1.2　磁碟分割 79 4.1.3　DOS分區 80 4.1.4　分區中的磁區定址 85 4.2　卷分析 86 4.2.1　磁片佈局分析 86 4.2.2　分區連續性檢查 86 4.2.3　獲取分區 87 4.2.4　已刪除分區的恢復 87 4.3　實戰練習 89 4.3.1　設置實驗環境 89 4.3.2　練習題 89 4.4　提示 90 參考文獻 92 第5章　FAT檔案系統檢驗分析 93 5.1　檔案系統概述 94 5.2　FAT檔案系統 99 5.2.1　磁碟分割開機磁區 100 5.2.2　檔案配置表 103 5.2.3　FAT檔案系統定址 104 5.2.4　根目錄和目錄項 105 5.2.5　長檔名 108 5.3　實戰練習 112 5.3.1　設置實驗環境 112 5.3.2　練習題 112 5.4　提示 113 附錄A　FAT12 / 16磁碟分割開機磁區的資料結構 115 附錄B　FAT32磁碟分割開機磁區的資料結構 116 附錄C　LFN目錄項校驗和演算法 116 參考文獻 117 第6章　FAT檔案系統資料恢復 118 6.1　資料恢復原理 118 6.2　FAT檔案系統中的檔創建和刪除 121 6.2.1　文件創建 121 6.2.2　檔刪除 123 6.3　FAT檔案系統中刪除檔的恢復 123 6.4　實戰練習 125 6.4.1　設置實驗環境 125 6.4.2　練習題 125 6.5　提示 127 參考文獻 130 第7章　NTFS檔案系統檢驗分析 131 7.1　NTFS檔案系統 131 7.2　MFT 133 7.3　NTFS索引 140 7.3.1　B樹 140 7.3.2　NTFS 目錄索引 142 7.4　NTFS 高級特性 151 7.4.1　EFS 151 7.4.2　資料存儲效率 156 7.5　實戰練習 158 7.5.1　設置實驗環境 158 7.5.2　練習題 158 7.6　提示 159 7.6.1　在NTFS檔案系統中查找MFT 159 7.6.2　確定一個給定MFT表項的簇位址 160 參考文獻 161 第8章　NTFS檔案系統資料恢復 162 8.1　NTFS檔案修復 162 8.1.1　NTFS檔案系統中的檔創建和刪除 163 8.1.2　NTFS檔案系統中已刪除檔的恢復 168 8.2　實戰練習 169 8.2.1　設置實驗環境 169 8.2.2　練習題 170 參考文獻 171 第9章　文件雕複 172 9.1　文件雕複的原理 172 9.1.1　頭部/尾部雕複 173 9.1.2　BGC 176 9.2　文件雕復工具 180 9.2.1　Foremost 180 9.2.2　Scalpel 181 9.2.3　TestDisk和Photorec 182 9.3　實戰練習 189 9.3.1　設置實驗環境 189 9.3.2　練習題 189 參考文獻 190 第10章　文件指紋搜索取證 191 10.1　概述 191 10.2　檔指紋搜索過程 192 10.3　使用hfind進行檔指紋搜索 194 10.3.1　使用md5sum創建一個散列庫 194 10.3.2　為散列庫創建MD5索引檔 195 10.3.3　在散列庫中搜索特定的散列值 195 10.4　實戰練習 196 10.4.1　設置實驗環境 196 10.4.2　練習題 196 附錄　創建用於生成散列資料庫檔的shell腳本 197 參考文獻 198 第11章　關鍵字取證 199 11.1　關鍵字搜索取證過程 200 11.2　grep和規則運算式 200 11.3　案例研究 201 11.4　實戰練習 205 11.4.1　設置實驗環境 205 11.4.2　練習題 205 附錄　規則運算式元字元 206 參考文獻 207 第12章　時間線分析 208 12.1　時間線分析原理 208 12.1.1　時間線 208 12.1.2　時間線上的事件 209 12.2　時間線分析的過程 210 12.2.1　時間線創建 210 12.2.2　時間線分析 211 12.2.3　使用TSK創建和分析MAC時間線 211 12.3　時間線分析取證工具 213 12.3.1　Log2timeline 214 12.3.2　EnCase 214 12.4　案例研究 214 12.5　實戰練習 216 12.5.1　設置實驗環境 216 12.5.2　練習題 217 參考文獻 218 第13章　資訊隱藏與檢測 219 13.1　資訊隱藏基礎 219 13.1.1　隱藏的檔和目錄 220 13.1.2　偽裝和改名 221 13.1.3　卷鬆弛 222 13.1.4　鬆弛空間 222 13.1.5　異常狀態的簇 223 13.1.6　損壞的MFT記錄 223 13.1.7　備選資料流程 223 13.2　OOXML文檔中的資訊隱藏和檢測 225 13.2.1　OOXML文檔基礎 225 13.2.2　OOXML文檔中的資訊隱藏 227 13.2.3　OOXML文檔中的隱藏資料檢測 239 13.3　實戰練習 241 13.3.1　設置實驗環境 241 13.3.2　練習題 242 參考文獻 243 第三部分　取證日誌分析第14章　日誌分析 246 14.1　系統日誌分析 246 14.1.1　syslog 247 14.1.2　Windows事件日誌 250 14.1.3　日誌分析的挑戰 252 14.2　安全資訊與事件管理系統 253 14.2.1　日誌標準化與日誌關聯 255 14.2.2　日誌資料分析 256 14.2.3　SIEM的具體特徵 258 14.2.4　日誌關聯案例分析 259 14.3　實施SIEM 260 14.3.1　OSSIM的工作原理 260 14.3.2　AlienVault事件視覺化 261 14.4　實戰練習 265 14.4.1　設置實驗環境 265 14.4.2　練習題 267 參考文獻 268 第四部分　移動設備取證第15章　Android取證 270 15.1　智慧手機基礎知識 271 15.2　移動設備取證調查 272 15.2.1　存儲位置 273 15.2.2　資料獲取方法 274 15.2.3　資料分析 281 15.2.4　案例研究 283 15.3　實戰練習 292 15.3.1　設置實驗環境 293 15.3.2　練習題 298 參考文獻 299 第16章