计算机取证技术
2008-6
科学出版社
殷联甫
155
计算机取证技术是一门涉及计算机科学、法学等多个领域的交叉学科。作为一个新领域,计算机取证技术在我国研究与实践的时间都不长,但打击计算机犯罪等现实需要,使得对此领域产生兴趣的人越来越多。计算机取证技术在我国必将会有更加迅速的发展。目前国内正式出版的计算机取证方面的书籍较少。本书作者多年来一直致力于计算机取证方面的研究,从2004年开始编写此书,历时四载,经过反复修改,终于完成了此书。作者编写本书的主要目的是抛砖引玉,希望有更多的人了解、关注计算机取证技术,从而推动、促进我国计算机取证技术的发展。全书共分8章。第1章介绍计算机取证的基本概念,主要有电子证据的概念、计算机取证的原则和步骤、计算机取证模型及计算机取证的发展趋势等内容;第2章介绍计算机取证的常见工具,主要包括计算机取证的相关工具、取证复制工具包、取证分析工具包、国内外计算机取证设备对比与分析及Linux环境下的计算机取证工具介绍等内容;第3章介绍硬盘结构及文件系统基础,主要包括硬盘结构、硬盘数据组织及文件的删除号恢复等内容;第4章介绍Windows系统取证方法,主要包括windows系统初始响应方法及windows系统取证实例等内容;第5章介绍Unix系统取证方法,主要包括Unix系统初始响应方法及Unix系统取证分析等内容;第6章介绍Linux系统取证方法,主要包括Linux系统初始响应方法、Linux磁盘介质备份及Linux系统取证方法等内容;第7章介绍计算机反取证技术,主要包括数据擦除、数据隐藏、Linux环境下常见的计算机反取证工具介绍及Windows环境下常见的计算机反取证工具介绍等内容;第8章介绍可引导取证-工具Helix及其使用。本书在编写过程中参考、引用了国内外相关文献及有关网站的内容,在此表示衷心的感谢。由于作者水平有限,书中难免存在疏漏与不妥之处,恳请广大读者和同行专家批评指正。
本书系统地讲述了计算机取证的基本概念、原理及方法,主要涉及计算机取证的基本原则和步骤、计算机取证的常见工具、硬盘结构及文件系统基础、Windows系统取证方法、Unix系统取证方法、Linux系统取证方法、计算机反取证技术及可引导取证工具Helix及其使用等内容。 本书共分8章,通过阅读,可使读者在较短的时间内对计算机取证技术有比较系统、全面的了解,为进一步学习和研究打下良好的基础。 本书可作为高等院校计算机、信息安全等相关专业的教材或教学参考书,也可供公安网络监察、网络安全管理等领域的相关人员参考。
前言第1章 计算机取证的基本概念 1.1 计算机取证的基本概念 1.1.1 计算机取证的定义 1.1.2 计算机取证研究概况 1.2 电子证据的概念 1.2.1 电子证据的定义 1.2.2 电子证据的特点 1.2.3 电子证据的来源 1.3 计算机取证的原则和步骤 1.3.1 计算机取证的基本原则 1.3.2 计算机取证的一般步骤 1.3.3 一个具体的计算机取证实例 1.4 计算机取证模型 1.4.1 基本过程模型 1.4.2 事件响应过程模型 1.4.3 法律执行过程模型 1.4.4 过程抽象模型 1.5 计算机取证的发展趋势 参考文献第2章 计算机取证的常见工具 2.1 计算机取证的相关工具 2.1.1 一般工具软件 2.1.2 取证专用工具软件 2.2 取证复制工具包 2.2.1 Encase 2.2.2 SafeBack 2.2.3 Unix实用程序dd 2.2.4 开放数据复制工具 2.3 取证分析工具包 2.3.1 FTK 2.3.2 TCT工具包 2.4 国内外计算机取证设备对比与分析 2.4.1 国内主要取证产品介绍 2.4.2 国内外计算机取证设备对比与分析 2.5 Linux环境下的计算机取证工具介绍 2.5.1 Sleuthkit 2.5.2 Autopsy 2.5.3 SMART for Linux 参考文献第3章 硬盘结构及文件系统基础 3.1 硬盘的结构 3.1.1 硬盘的物理结构 3.1.2 硬盘的逻辑结构 3.2 硬盘数据组织 3.3 文件的删除与恢复 3.3.1 Windows系统的文件删除与恢复 3.3.2 Unix/Linux系统的文件删除与恢复 参考文献第4章 Windows系统取证方法 4.1 Windows系统初始响应方法 4.1.1 创建初始响应工具包 4.1.2 初始响应方法 4.1.3 编写初始响应脚本 4.2 Windows系统取证实例 4.2.1 取证背景 4.2.2 系统概况和证据处理 4.2.3 建立取证工具 4.2.4 介质备份及分析 4.2.5 MAC时间分析 4.2.6 注册表 4.2.7 恢复被删除文件 4.2.8 最后分析结论 参考文献第5章 Unix系统取证方法 5.1 Unix系统初始响应方法 5.1.1 创建初始响应工具包 5.1.2 保存初始响应信息 5.1.3 收集数据 5.2 Unix系统取证方法 5.2.1 数据获取 5.2.2 取证分析 参考文献第6章 Linux系统取证方法 6.1 Linux系统初始响应方法 6.1.1 初始响应的准备工作 6.1.2 初始响应的具体步骤和方法 6.2 Linux磁盘介质备份 6.2.1 准备工作 6.2.2 介质备份 6.3 Linux系统取证方法 参考文献第7章 计算机反取证技术 7.1 数据擦除 7.2 数据隐藏 7.2.1 实现数据隐藏的几种常用方法 7.2.2 实现数据隐藏的具体实例 7.3 Linux环境下常见的计算机反取证工具介绍 7.4 Windows环境下常见的计算机反取证工具介绍 参考文献第8章 可引导取证工具Helix及其使用 8.1 引言 8.2 Windows工作模式 8.2.1 预览系统信息 8.2.2 使用dd工具获取正在运行的Windows系统映像 8.2.3 Windows系统应急响应工具 8.2.4 在线浏览重要文档 8.2.5 浏览CD-ROM和主机OS的内容 8.2.6 从正在运行的系统中查找图片文件 8.3 Linux工作模式
插图:第1章 计算机取证的基本概念随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中,与计算机相关的法庭案例也不断出现。一种新的存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。人们每天面对大量的计算机犯罪案例,如商业机密信息的窃取与破坏、计算机欺诈、对政府或金融网站的破坏等,这些案例的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中获取信息。电子证据本身和取证过程存在许多有别于传统物证和取证的特点,它们对司法和计算机科学领域都提出了新的挑战。2001年6月8日至22日,在法国图鲁兹城召开的为期5天的第十三届全球FIRST(Forum of Incident Response and Security Teams)年会上,入侵后的系统恢复和分析取证成为此次大会的主要议题。由此可见,作为计算机领域和法学领域的一门交叉学科——计算机取证(Computer Forensics)正逐渐成为计算机安全领域一个新的研究热点。在计算机犯罪手段与网络安全防御技术不断升级的形势下,单靠网络安全技术打击计算机犯罪不可能非常有效,因此需要发挥社会和法律的强大威力来对付网络犯罪,计算机取证正是在这种形势下产生和发展的,它标志着网络安全防御理论的成熟。1.1 计算机取证的基本概念1.1.1 计算机取证的定义什么是计算机取证?计算机取证资深专家Robbins给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提取上。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS则归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
《网络与计算机安全丛书·计算机取证技术》可作为高等院校计算机、信息安全等相关专业的教材或教学参考书,也可供公安网络监察、网络安全管理等领域的相关人员参考。
一般 都是理论
很旧的,很脏。
内容太陈旧,所讲技术还是WIN95时代的,没有多大参考价值,