電子物證技術基礎

本書從電子物證角度，從存儲技術、檔案系統、檔案、記憶體管理、系統安全、字元編碼及執行檔格式等方面介紹了相關基礎知識，系統而又全面地闡述其電子物證特性，並對涉及的工具軟體和技術方法予以詳細描述。全書提供了大量套用實例，每章後均附有習題。

第1章存儲技術基礎1

1.1數據存儲技術1

1.1.1電存儲技術1

1.1.2磁存儲技術2

1.1.3光存儲技術3

1.2數據存儲介質種類4

1.2.1硬碟4

1.2.2光碟9

1.2.3隨身碟12

1.2.4存儲卡13

1.2.5磁碟陣列15

1.3硬碟接口類型20

1.3.1IDE/ATA接口21

1.3.2SCSI接口23

1.3.3SATA接口24

1.3.4光纖通道25

1.3.5SAS接口26

1.3.6USB接口26

1.3.71394接口27

1.3.8eSATA接口28

習題128

第2章檔案系統基礎29

2.1FAT檔案系統29

2.1.1主引導記錄29

2.1.2DOS引導記錄31

2.1.3檔案分配表34

2.1.4檔案目錄表35

2.1.5數據40

2.1.6套用實例402.1.7檔案的刪除與恢復43

2.2NTFS檔案系統45

電子物證技術基礎目錄2.2.1NTFS檔案系統特性46

2.2.2NTFS檔案系統的高級特性47

2.2.3NTFS檔案系統結構51

2.2.4套用實例68

2.2.5檔案的刪除與恢復69

2.2.6FAT與NTFS的格式轉換72

2.3Ext2/Ext3檔案系統74

2.3.1超級塊75

2.3.2組描述符76

2.3.3點陣圖77

2.3.4索引節點77

2.3.5Ext3檔案系統78

2.3.6Ext2/Ext3檔案系統的套用81

2.4其他檔案系統83

2.4.1手機檔案系統84

2.4.2MAC檔案系統84

習題287

第3章檔案基礎89

3.1檔案類型89

3.1.1Windows環境下的主要檔案類型89

3.1.2UNIX/Linux環境下的主要檔案類型89

3.2檔案擴展名91

3.2.1Windows環境下的檔案擴展名91

3.2.2UNIX/Linux環境下的檔案擴展名92

3.3檔案訪問控制93

3.3.1Windows作業系統的檔案訪問控制機制93

3.3.2Linux作業系統的檔案訪問控制機制95

3.4檔案時間屬性97

3.4.1Windows環境下的檔案時間屬性97

3.4.2Linux環境下的檔案時間屬性100

3.5系統資料夾功能103

3.5.1Windows系統資料夾功能103

3.5.2Linux系統資料夾功能113

習題3117

第4章記憶體管理基礎119

4.1記憶體管理機制119

4.1.1Windows記憶體管理機制119

4.1.2Linux記憶體管理機制124

4.2系統進程功能125

4.2.1Windows系統進程功能125

4.2.2Linux常見守護進程134

4.3進程操作方法136

4.3.1Windows作業系統進程操作方法136

4.3.2Linux作業系統進程操作方法143

4.4記憶體信息分析148

4.4.1線上分析148

4.4.2實驗室分析149

4.5其他系統記憶體管理機制155

習題4157

第5章系統安全基礎159

5.1用戶管理159

5.1.1Windows用戶管理策略159

5.1.2Linux用戶管理策略165

5.2系統配置檔案170

5.2.1Windows作業系統的註冊表170

5.2.2Linux系統配置檔案189

5.3日誌管理190

5.3.1Windows作業系統日誌管理191

5.3.2Linux作業系統日誌管理198

5.4系統服務207

5.4.1Windows系統服務207

5.4.2Linux核心繫統服務210

5.5系統安全設定211

5.5.1Windows系統安全設定211

5.5.2Linux作業系統的系統安全223

習題5229

第6章字元編碼基礎230

6.1ASCII編碼230

6.2GB2312編碼230

6.3GB13000編碼231

6.4GBK編碼232

6.5GB18030編碼232

6.6BIG5編碼233

6.7CJK編碼233

6.8Unicode編碼234

6.8.1編碼方式234

6.8.2實現方式234

6.8.3Big Endian、Little Endian236

6.8.4位元組順序標記236

6.8.5代碼頁237

6.9UU、MIME、BinHex編碼241

習題6242

第7章執行檔格式基礎244

7.1Windows環境下執行檔格式244

7.1.1COM執行檔案格式244

7.1.2EXE執行檔案格式246

7.2Linux環境下執行檔格式255

7.2.1Linux執行檔格式綜述255

7.2.2a.out執行檔格式257

7.2.3COFF執行檔格式258

7.2.4ELF執行檔格式259

習題7262

參考文獻263

第1章引言1

1.1作業系統面臨安全威脅1

1.1.1病毒和蠕蟲1

1.1.2邏輯炸彈2

1.1.3特洛伊木馬2

1.1.4天窗3

1.1.5隱蔽通道3

1.2作業系統安全和信息系統安全4

1.3安全作業系統的國內外研究現狀5

1.4相關術語10

1.5本書的組織和編排13

1.6本章小結13

1.7習題14

第2章基本概念15

2.1系統邊界與安全周界15

2.2安全功能與安全保證15

2.3可信軟體與不可信軟體16

2.4主體與客體17

2.5安全策略和安全模型18

2.6訪問控制思想19

2.6.1訪問控制矩陣19

2.6.2引用監控器19

2.6.3安全核心20

2.7可信計算基22

2.8本章小結23

2.9習題23

第3章安全機制24

3.1硬體安全機制24

3.1.1存儲保護24

3.1.2運行保護26

3.1.3I/O保護28

3.2標識與鑑別28

3.2.1基本概念28

3.2.2安全作業系統中的標識與鑑別機制28

3.2.3與鑑別有關的認證機制29

3.2.4口令管理30

3.2.5實現要點32

電子物證技術基礎目錄3.3訪問控制33

3.3.1自主訪問控制34

3.3.2強制訪問控制37

3.4最小特權管理42

3.4.1基本思想42

3.4.2POSIX權能機制43

3.4.3特權細分45

3.4.4一個最小特權管理機制的實現舉例47

3.5可信路徑49

3.6安全審計49

3.6.1審計的概念49

3.6.2審計事件50

3.6.3審計記錄和審計日誌51

3.6.4一般作業系統審計的實現51

3.7UNIX/Linux的安全機制52

3.7.1標識53

3.7.2鑑別53

3.7.3訪問控制54

3.7.4審計56

3.7.5密碼56

3.7.6網路安全性58

3.7.7網路監控與入侵檢測59

3.7.8備份/恢復60

3.8本章小結60

3.9習題60

第4章安全模型62

4.1安全模型的作用和特點62

4.2形式化安全模型設計63

4.3狀態機模型原理64

4.4機密性安全模型 65

4.4.1BellLaPadula模型 65

4.4.2BLP模型分析與改進75

4.5完整性安全模型77

4.5.1Biba模型77

4.5.2ClarkWilson完整性模型81

4.6多策略安全模型85

4.6.1中國牆（Chinese Wall）模型86

4.6.2基於角色的存取控制（RBAC）模型93

4.6.3域型強制實施（DTE）模型96

4.7安全性分析模型97

4.7.1信息流模型97

4.7.2無干擾模型102

4.8本章小結103

4.9習題103

第5章安全體系結構104

5.1安全體系結構概念104

5.1.1安全體系結構含義104

5.1.2安全體系結構類型105

5.1.3安全體系結構設計原則106

5.2權能（capability）體系109

5.2.1權能的一般概念109

5.2.2對權能的控制及實現方法110

5.2.3權能系統的局限性110

5.3Flask體系110

5.3.1背景介紹110

5.3.2策略可變通性分析112

5.3.3Flask體系的設計與實現113

5.3.4特殊微核心特徵117

5.3.5支持吊銷機制118

5.3.6安全伺服器119

5.3.7其他Flask對象管理器120

5.4LSM安全框架124

5.4.1LSM設計思想124

5.4.2LSM實現方法125

5.4.3LSM 鉤函式調用說明127

5.5本章小結132

5.6習題133

第6章形式化規範與驗證134

6.1形式化安全驗證技術原理135

6.1.1形式化驗證技術135

6.1.2與安全作業系統開發相關的形式化驗證技術136

6.1.3形式化驗證中的層次分解技術137

6.2形式化安全驗證系統結構140

6.2.1規範語言和處理器141

6.2.2驗證條件生成器141

6.2.3定理證明器142

6.3一個形式化驗證技術在安全作業系統核心設計中的套用實例142

6.3.1Gypsy驗證環境（GVE）簡介142

6.3.2ASOS項目簡介143

6.3.3保障目標及技術路線概覽144

6.3.4ASOS安全模型145

6.3.5形式化頂層規範146

6.3.6具體驗證過程149

6.4本章小結155

6.5習題155

第7章隱蔽通道分析與處理157

7.1隱蔽通道的概念158

7.1.1隱蔽通道與MAC策略158

7.1.2隱蔽通道的分類162

7.1.3模型解釋缺陷164

7.1.4隱蔽通道的特徵165

7.2隱蔽通道的標識技術166

7.2.1標識技術的發展167

7.2.2句法信息流分析法169

7.2.3無干擾分析170

7.2.4共享資源矩陣分析法172

7.2.5語義信息流分析法175

7.2.6隱蔽流樹分析法177

7.2.7潛在隱蔽通道180

7.3隱蔽通道的頻寬計算技術180

7.3.1影響頻寬計算的因素181

7.3.2頻寬計算的兩種方法183

7.4處理技術185

7.4.1消除法186

7.4.2頻寬限制法187

7.4.3威懾法188

7.4.4進一步討論189

7.5本章小結190

7.6習題190

第8章安全作業系統設計192

8.1設計原則與一般結構192

8.2開發方法193

8.2.1虛擬機法193

8.2.2改進/增強法194

8.2.3仿真法194

8.3一般開發過程195

8.4應注意的問題197

8.4.1TCB的設計與實現197

8.4.2安全機制的友好性209

8.4.3兼容性和效率209

8.5安勝安全作業系統設計210

8.5.1設計目標210

8.5.2開發方法211

8.5.3總體結構212

8.5.4關鍵技術217

8.6經典SELinux安全設計226

8.6.1安全體系結構226

8.6.2安全策略配置228

8.7本章小結228

8.8習題229

第9章作業系統安全評測230

9.1作業系統安全性保證手段——從漏洞掃描評估到系統性安全性評測230

9.1.1作業系統安全漏洞掃描230

9.1.2作業系統安全性評測231

9.2作業系統安全評測方法231

9.3安全評測準則232

9.3.1國內外安全評測準則概況232

9.3.2美國橘皮書235

9.3.3中國國標GB 17859—1999246

9.3.4國際通用安全評價準則CC248

9.3.5中國推薦標準GB/T 18336—2001271

9.4本章小結272

9.5習題272

第10章安全作業系統的網路擴展273

10.1網路體系結構273

10.2網路安全威脅和安全服務275

10.3分散式安全網路系統277

10.3.1網路安全策略279

10.3.2安全網路系統主體、客體和訪問控制279

10.3.3安全域與相互通信280

10.3.4網路訪問控制機制282

10.3.5數據安全信息標識與傳輸機制284

10.3.6數據傳輸保護機制285

10.4安全網路系統的將來發展趨勢286

10.5本章小結287

10.6習題288

第11章可信計算與可信作業系統289

11.1可信計算概述289

11.1.1可信計算概念289

11.1.2可信計算組織TCG292

11.1.3國內外可信計算技術發展296

11.2可信平台模組TPM與可信加密模組TCM298

11.2.1可信平台模組TPM298

11.2.2可信加密模組TCM301

11.2.3TCM、TPM、TPM.next之間的關係304

11.3可信平台技術305

11.3.1可信平台構件306

11.3.2可信邊界306

11.3.3可傳遞的信任306

11.3.4完整性度量306

11.3.5完整性報告307

11.3.6TCG證書機制308

11.3.7TCG密鑰管理機制310

11.4基於TPM/TCM的可信作業系統技術313

11.4.1主流作業系統中的問題313

11.4.2基於可信計算的安全作業系統體系結構314

11.4.3可信作業系統的核心技術316

11.5本章小結320

11.6習題321

第12章新型作業系統發展與展望322

12.1PC作業系統的發展與安全322

12.1.1Windows Vista與Windows 7322

12.1.2Sun Solaris331

12.2Web OS的發展與安全334

11.2.1Web OS概述334

11.2.2YouOS & eyeOS336

11.2.3Web OS安全337

12.3未來雲作業系統與安全337

12.3.1Google Chrome OS337

12.3.2Windows Azure339

12.4本章小結345

12.5習題345

參考文獻346