計算機取證與司法鑑定（第2版）

指出了計算機取證與司法鑑定的特點和業務類型，闡述了計算機取證與司法鑑定的原則和過程模型，論述了計算機取證與司法鑑定的實施過程，介紹了常用的幾種計算機取證與司法鑑定設備和分析工具，討論了Windows XP、Windows Vista和UNIX/Linux系統的取證理論與方法，探討了網路取證、QQ取證、木馬取證、手機取證和專業電子設備取證等特定取證類型的分析方法，最後給出了筆者所帶領的團隊完成的7個典型案例。本書在學術理論上具有交叉性、前沿性和創新性，在實踐套用中注重可操作性和實用性。

第1章計算機取證與司法鑑定概論

1.1概述

1.1.1計算機取證與司法鑑定

1.1.2計算機取證與司法鑑定的研究現狀

1.1.3相關研究成果與進展

1.2計算機取證與司法鑑定的原則

1.2.1計算機取證與司法鑑定的原則發展概況

1.2.2計算機取證與司法鑑定的原則解析

1.2.3計算機取證與司法鑑定過程模型

1.3計算機取證與司法鑑定的實施

1.3.1操作程式規則

1.3.2計算機證據的顯示與質證

1.4計算機取證與司法鑑定的發展趨勢

1.4.1主機證據保全、恢復和分析技術

1.4.2網路數據捕獲與分析、網路追蹤

1.4.3主動取證技術

1.4.4計算機證據法學研究

1.5小結

本章參考文獻

第2章計算機取證與司法鑑定的相關法學問題

2.1計算機取證與司法鑑定基礎

2.1.1計算機取證與司法鑑定的法律基礎

2.1.2計算機取證與司法鑑定的技術基礎

2.1.3計算機取證與司法鑑定的特點

2.1.4計算機取證與司法鑑定的相關事項

2.2司法鑑定

2.2.1司法鑑定簡介

2.2.2司法鑑定人

2.2.3司法鑑定機構和法律制度

2.2.4司法鑑定原則和方法

2.2.5鑑定意見

2.2.6司法鑑定的程式

2.2.7實驗室認可

2.3信息網路安全的法律責任制度

2.3.1刑事責任

2.3.2行政責任

2.3.3民事責任

2.4小結

本章參考文獻

第3章計算機取證與司法鑑定基礎知識

3.1儀器設備配置標準

3.1.1背景

3.1.2配置原則

3.1.3配置標準及說明

3.1.4結語

3.2數據加密

3.2.1密碼學

3.2.2傳統加密算法

3.2.3對稱加密體系

3.2.4公鑰密碼體系

3.2.5散列函式

3.3數據隱藏

3.3.1信息隱藏原理

3.3.2數據隱寫術

3.3.3數字水印

3.4密碼破解

3.4.1密碼破解原理

3.4.2一般密碼破解方法

3.4.3分散式網路密碼破解

3.4.4密碼破解的套用部分

3.5入侵與追蹤

3.5.1入侵與攻擊手段

3.5.2追蹤手段

3.6檢驗、分析與推理

3.6.1計算機取證與司法鑑定的準備

3.6.2計算機證據的保全

3.6.3計算機證據的分析

3.6.4計算機證據的推理

3.6.5證據跟蹤

3.6.6結果提交

3.7小結

本章參考文獻

第4章Windows系統的取證與分析

4.1Windows系統現場證據的獲取

4.1.1固定證據

4.1.2深入獲取證據

4.2Windows系統中電子證據的獲取

4.2.1日誌

4.2.2檔案和目錄

4.2.3註冊表

4.2.4進程列表

4.2.5網路軌跡

4.2.6系統服務

4.2.7用戶分析

4.3證據獲取/工具使用實例

4.3.1EnCase

4.3.2MD5校驗值計算工具(MD5sums)

4.3.3進程工具(pslist)

4.3.4註冊表工具(Autoruns)

4.3.5網路查看工具(fport和netstat)

4.3.6服務工具(psservice)

4.4Windows Vista作業系統的取證與分析

4.4.1引言

4.4.2Windows Vista系統取證與分析

4.4.3總結

4.5小結

本章參考文獻

第5章UNIX/Linux系統的取證與分析

5.1UNIX/Linux作業系統概述

5.1.1UNIX/Linux作業系統發展簡史

5.1.2UNIX/Linux系統組成

5.2UNIX/Linux系統中電子證據的獲取

5.2.1UNIX/Linux現場證據的獲取

5.2.2螢幕信息的獲取

5.2.3記憶體及硬碟信息的獲取

5.2.4進程信息

5.2.5網路連線

5.3Linux系統中電子證據的分析

5.3.1數據預處理

5.3.2日誌檔案

5.3.3其他信息源

5.4UNIX/Linux取證與分析工具

5.4.1The Coroners Toolkit

5.4.2Sleuth Kit

5.4.3Autopsy

5.4.4SMART for Linux

5.5小結

本章參考文獻

第6章網路取證

6.1網路取證的定義和特點

6.1.1網路取證的定義

6.1.2網路取證的特點

6.1.3專用網路取證

6.2TCP/IP基礎

6.2.1OSI

6.2.2TCP/IP協定

6.2.3網路取證中層的重要性

6.3網路取證數據源

6.3.1防火牆和路由器

6.3.2數據包嗅探器和協定分析器

6.3.3入侵檢測系統

6.3.4遠程訪問

6.3.5SEM軟體

6.3.6網路取證分析工具

6.3.7其他來源

6.4網路通信數據的收集

6.4.1技術問題

6.4.2法律方面

6.5網路通信數據的檢查與分析

6.5.1辨認相關的事件

6.5.2檢查數據源

6.5.3得出結論

6.5.4攻擊者的確認

6.5.5對檢查和分析的建議

6.6網路取證與分析實例

6.6.1發現攻擊

6.6.2初步分析

6.6.3現場重建

6.6.4取證分析

6.7QQ取證

6.7.1發展現狀

6.7.2技術路線

6.7.3取證工具

6.7.4技術基礎

6.7.5聊天記錄提取

6.7.6其他相關證據提取

6.7.7QQ取證與分析案例

6.7.8結束語

6.8小結

本章參考文獻

第7章木馬的取證

7.1木馬簡介

7.1.1木馬的定義

7.1.2木馬的特性

7.1.3木馬的種類

7.1.4木馬的發展現狀

7.2木馬的基本結構和原理

7.2.1木馬的原理

7.2.2木馬的植入

7.2.3木馬的自啟動

7.2.4木馬的隱藏和Rootkit

7.2.5木馬的感染現象

7.2.6木馬的檢測

7.3木馬的取證與分析方法

7.3.1取證的基本知識

7.3.2識別木馬

7.3.3證據提取

7.3.4證據分析

7.4典型案例分析

7.4.1PCshare

7.4.2灰鴿子

7.4.3廣外男生

7.4.4驅動級隱藏木馬

本章參考文獻

第8章手機取證

8.1手機取證概述

8.1.1手機取證的背景

8.1.2手機取證的概念

8.1.3手機取證的原則

8.1.4手機取證的流程

8.1.5手機取證的發展方向

8.2手機取證基礎知識

8.2.1移動通信相關知識

8.2.2SIM卡相關知識

8.2.3手機相關知識

8.3手機取證與分析工具

8.3.1攜帶型手機取證箱(CellDEK)

8.3.2XRY系統

8.4專業電子設備取證與分析

8.4.1專業電子設備的電子證據

8.4.2專業電子設備取證的一般方法及流程

8.5小結

本章參考文獻

第9章計算機取證與司法鑑定案例

9.1“熊貓燒香”案件的司法鑑定

9.1.1案件背景

9.1.2熊貓燒香病毒介紹

9.1.3熊貓燒香病毒網路破壞過程

9.1.4鑑定要求

9.1.5鑑定環境

9.1.6檢材克隆和MD5值校驗

9.1.7鑑定過程

9.1.8鑑定結論

9.1.9將附屬檔案刻錄成光碟

9.1.10審判

9.1.11總結與展望

9.2某軟體侵權案件的司法鑑定

9.2.1問題的提出

9.2.2計算機軟體系統結構的對比

9.2.3模組檔案結構、數目、類型、屬性對比

9.2.4資料庫對比

9.2.5運行界面對比

9.2.6MD5校驗對比

9.2.7結論與總結

9.3某少女被殺案的取證與分析

9.3.1案情介紹

9.3.2檢材確認及初步分析

9.3.3線索突破

9.3.4總結與思考

9.4某破壞網路安全管理系統案

9.4.1基本案情及委託要求

9.4.2鑑定過程

9.4.3檢測結果和鑑定意見

9.4.4小結

9.5某簡訊聯盟詐欺案

9.5.1基本案情

9.5.2鑑定過程

9.5.3檢測結果和鑑定意見

9.5.4小結

9.6雲南新東方86億網路賭博案

9.6.1基本案情及委託要求

9.6.2鑑定過程

9.6.3檢測結果和鑑定意見

9.6.4小結

9.7某網路傳銷案

9.7.1基本案情及委託要求

9.7.2鑑定過程

9.7.3檢測結果和鑑定意見

9.7.4小結