隨著近20年信息技術(shù)和計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是近年來云計算技術(shù)的普遍運用，公眾的生活和工作已與計算機和信息網(wǎng)絡(luò)緊密聯(lián)系在一起。在這樣的環(huán)境下，計算機犯罪或利用計算機工具的犯罪活動急劇增加，與計算機或電子證據(jù)相關(guān)的民事糾紛也越來越多，這使得涉及計算機取證的案例調(diào)查和司法實踐的需求越來越迫切，社會迫切需要培養(yǎng)計算機取證和司法實踐的專業(yè)職業(yè)人才。

計算機取證通常是一個需要嚴(yán)謹(jǐn)且訓(xùn)練有素的團隊，歷時數(shù)十小時甚至上百小時并利用各種工具認(rèn)真發(fā)現(xiàn)、比對和歸類的過程，也是一個小心翼翼進行證據(jù)保全和準(zhǔn)備取證報告的過程，是一個既枯燥又有趣的充滿挑戰(zhàn)的過程。本書會深入介紹在計算機取證和司法鑒定的實施中，那些極其重要的不可忽略的部分。

一、結(jié)構(gòu)

本書沒有按部就班地介紹深奧枯燥的計算機取證理論，而是切合高等職業(yè)人才的培養(yǎng)特點，強調(diào)理論以夠用為度，以既相互獨立又有所聯(lián)系的計算機取證和司法鑒定的案例為主線，分六個大的項目，從計算機取證準(zhǔn)備和現(xiàn)場處理開始，依次論述Windows環(huán)境單機取證、非Windows環(huán)境的單機取證、原始證據(jù)的深入分析、網(wǎng)絡(luò)取證和針對多媒體的取證六個計算機取證的重要領(lǐng)域和過程，全面系統(tǒng)地介紹了計算機取證和司法鑒定的基本理論以及實際案例調(diào)查的操作規(guī)程和技術(shù)運用，且每個項目均以實訓(xùn)和習(xí)題的形式配備大量來自工程實踐的應(yīng)用案例。全書立足于計算機取證調(diào)查技術(shù)的實際運用，可操作性強。本書具體內(nèi)容和建議課時如下表所示。

章節(jié)序號 章節(jié)名稱 子任務(wù)數(shù)量 理論課時 實踐學(xué)時

1 計算機取證準(zhǔn)備和現(xiàn)場處理 3 6 3

2 Windows環(huán)境單機取證 5 6 6

3 非Windows環(huán)境的單機取證 2 5 6

4 原始證據(jù)的深入分析 2 6 9

5 在網(wǎng)絡(luò)中進行取證 2 6 6

6 針對多媒體進行取證 3 5 4

每個項目名稱本身就是一個大的學(xué)習(xí)任務(wù)，以“項目說明－項目任務(wù)－基礎(chǔ)知識－項目分析－項目實施－應(yīng)用實訓(xùn)－拓展練習(xí)”為主線，每個項目內(nèi)容在涵蓋基本理論知識的基礎(chǔ)上，以項目案例調(diào)查為實踐落腳點，通過“項目說明和項目任務(wù)”讓學(xué)生首先了解要解決的實際問題，激發(fā)學(xué)習(xí)興趣；然后通過“基礎(chǔ)知識”的學(xué)習(xí)，奠定相應(yīng)的理論和技術(shù)基礎(chǔ)；進而通過“項目分析”使學(xué)生明確具體項目的實施策略，并在“項目實施”中以項目任務(wù)為規(guī)劃分步完成項目，體現(xiàn)學(xué)以致用；最后通過“應(yīng)用實訓(xùn)”和“拓展練習(xí)”鞏固學(xué)生學(xué)習(xí)成果，從而實現(xiàn)理實一體化的高效教學(xué)。整個內(nèi)容結(jié)構(gòu)步步為營、環(huán)環(huán)相扣，理論實踐渾然天成，體現(xiàn)了任務(wù)驅(qū)動和“教學(xué)做”一體化的思想。

二、特色

1．實用——貼近企業(yè)

本書在編寫過程中，查閱了大量國際一流計算機取證公司的產(chǎn)品技術(shù)和規(guī)范，并得到多家計算機取證產(chǎn)品公司的技術(shù)支持，內(nèi)容取舍來源于企業(yè)需求，實用性高。

2．實效——理實一體

教材在編寫過程中，以“項目引導(dǎo)、任務(wù)驅(qū)動”為思路，從項目案例的“項目說明和項目任務(wù)”入手，使學(xué)生通過真實的案例了解所學(xué)內(nèi)容的實用價值，提高學(xué)生興趣，然后展開“基礎(chǔ)知識”的學(xué)習(xí)。通過“項目分析和項目實施”完成項目，并通過“應(yīng)用實訓(xùn)和拓展練習(xí)”強化學(xué)生技能，體現(xiàn)了任務(wù)驅(qū)動和“教學(xué)做”一體化的思想，實效性高。

三、面向?qū)ο?/p>

本書主要面向計算機專業(yè)和法學(xué)專業(yè)的高職高專院校學(xué)生（建議教學(xué)學(xué)時為68學(xué)時，課堂講授和取證實踐學(xué)時各占一半），也可作為相關(guān)專業(yè)本科學(xué)生、企業(yè)信息安全人員、行業(yè)信息安全管理人員的培訓(xùn)教材；對于IT行業(yè)人士、司法鑒定人士、司法和執(zhí)法工作者、律師以及法學(xué)理論研究者也具有良好的參考價值。

四、致謝

本書由重慶電子工程職業(yè)學(xué)院張湛、武春嶺任主編，瞿芳、鄧晶為副主編。張湛負(fù)責(zé)組織策劃，并編寫項目4和項目6，武春嶺負(fù)責(zé)結(jié)構(gòu)規(guī)劃、統(tǒng)稿，并編寫項目1，瞿芳負(fù)責(zé)編寫項目2和項目3，鄧晶負(fù)責(zé)編寫項目5。在本書編寫過程中，廖浩一、史海深和胡雨薇同學(xué)提供了大量的幫助，在此對他們表示感謝。

由于本書作者水平所限，書中錯漏之處，敬請讀者批評指正。作者郵箱：blacksnown@126.com。

編 者

2014年6月于重慶

項目1 計算機取證準(zhǔn)備和現(xiàn)場處理 1
學(xué)習(xí)目標(biāo) 1
項目說明 1
項目任務(wù) 1
基礎(chǔ)知識 2
1.1 計算機取證調(diào)查和鑒定的概念 2
1.1.1 計算機取證和司法鑒定 2
1.1.2 計算機取證調(diào)查和鑒定的業(yè)務(wù)范圍 3
1.1.3 計算機取證的發(fā)展?fàn)顩r 4
1.1.4 計算機取證調(diào)查與個人隱私和公司
秘密的保障 5
1.1.5 計算機取證和司法鑒定的原則 6
1.1.6 計算機取證的實施過程 10
1.2 計算機取證調(diào)查人員 15
1.2.1 計算機取證和鑒定人員的要求 15
1.2.2 企業(yè)內(nèi)部調(diào)查取證人員與司法
取證和鑒定人員的異同 18
1.2.3 計算機取證人員的職業(yè)道德 18
1.3 電子取證相關(guān)工作基本程序 19
1.3.1 電子取證的基本程序 19
1.3.2 計算機調(diào)查的程序 20
1.3.3 計算機現(xiàn)場勘驗的程序 21
1.4 企業(yè)內(nèi)部取證調(diào)查和司法取證調(diào)查 23
1.4.1 針對私營企業(yè)內(nèi)部取證現(xiàn)場的
取證調(diào)查 23
1.4.2 針對執(zhí)法犯罪現(xiàn)場的取證調(diào)查 26
項目分析 27
項目實施 28
1.5 任務(wù)一：計算機取證的程序和文檔準(zhǔn)備 28
1.5.1 計算機取證調(diào)查授權(quán)書的準(zhǔn)備 28
1.5.2 評估案件的性質(zhì) 30
1.5.3 確定計算機取證調(diào)查的邊界 31
1.5.4 準(zhǔn)備計算機取證的證據(jù)管理表單 33
1.6 任務(wù)二：計算機取證的硬軟件準(zhǔn)備 35
1.6.1 了解取證案件的需求 35
1.6.2 規(guī)劃取證調(diào)查 36
1.6.3 制作干凈的啟動盤 37
1.6.4 建立現(xiàn)場取證工具箱 47
1.6.5 準(zhǔn)備取證所需設(shè)備和工具 48
1.7 任務(wù)三：進入取證現(xiàn)場 51
1.7.1 處理一個主要的取證現(xiàn)場 51
1.7.2 保護現(xiàn)場的數(shù)字證據(jù) 52
1.7.3 分類數(shù)字證據(jù) 53
1.7.4 處理和管理數(shù)字證據(jù) 54
1.7.5 存儲數(shù)字證據(jù) 54
應(yīng)用實訓(xùn) 55
拓展練習(xí) 56
項目2 Windows環(huán)境單機取證 57
學(xué)習(xí)目標(biāo) 57
項目說明 57
項目任務(wù) 57
基礎(chǔ)知識 58
2.1 電子證據(jù)的概念和法律定位 58
2.1.1 電子證據(jù)的概念 58
2.1.2 電子證據(jù)、計算機證據(jù)和數(shù)字證據(jù)
的異同 58
2.1.3 電子證據(jù)的特點 60
2.1.4 電子證據(jù)的可采性問題 62
2.1.5 電子證據(jù)與我國傳統(tǒng)的七大證據(jù)的
關(guān)系 62
2.1.6 電子證據(jù)與直接證據(jù)和間接證據(jù)的
關(guān)系 65
2.2 Windows/DOS取證基礎(chǔ) 66
2.2.1 主引導(dǎo)記錄MBR 66
2.2.2 FAT文件結(jié)構(gòu) 68
2.2.3 NTFS文件結(jié)構(gòu) 71
項目分析 77
項目實施 78
2.3 任務(wù)一：在Windows環(huán)境下進行原始
證據(jù)取證復(fù)制 78
2.3.1 現(xiàn)場取證復(fù)制前的考慮 78
2.3.2 易失性證據(jù)的獲取 79
2.3.3 利用FTK Imager進行取證復(fù)制 82
2.3.4 利用X-Ways Forensics進行取證復(fù)制 88
2.4 任務(wù)二：Windows注冊表調(diào)查 92
2.4.1 注冊表基礎(chǔ) 92
2.4.2 計算機取證調(diào)查中關(guān)注的常規(guī)鍵 94
2.4.3 取證調(diào)查時注冊表中關(guān)注的文件夾
位置 96
2.4.4 取證調(diào)查時注冊表中關(guān)注的自啟
動項 98
2.4.5 注冊表取證調(diào)查的方法 99
2.5 任務(wù)三：Windows文件目錄調(diào)查 102
2.5.1 自啟動目錄和文件 102
2.5.2 Windows系統(tǒng)中的重要目錄 103
2.5.3 Windows系統(tǒng)中的重要系統(tǒng)文件 106
2.6 任務(wù)四：Windows日志調(diào)查 108
2.6.1 事件日志的調(diào)查 108
2.6.2 網(wǎng)絡(luò)日志的調(diào)查 112
2.7 任務(wù)五：Windows的進程和網(wǎng)絡(luò)痕跡
調(diào)查 115
2.7.1 系統(tǒng)常用進程分析 115
2.7.2 系統(tǒng)網(wǎng)絡(luò)痕跡調(diào)查 118
應(yīng)用實訓(xùn) 119
拓展練習(xí) 120
項目3 非Windows環(huán)境的單機取證 121
學(xué)習(xí)目標(biāo) 121
項目說明 121
項目任務(wù) 121
基礎(chǔ)知識 122
3.1 Macintosh的引導(dǎo)過程和文件系統(tǒng) 122
3.1.1 Macintosh文件結(jié)構(gòu) 122
3.1.2 Macintosh中的卷結(jié)構(gòu) 123
3.1.3 引導(dǎo)Macintosh系統(tǒng) 124
3.2 UNIX/Linux的引導(dǎo)過程和文件系統(tǒng) 125
3.2.1 UNIX/Linux磁盤結(jié)構(gòu) 125
3.2.2 i節(jié)點簡介 128
3.2.3 Linux的目錄結(jié)構(gòu)和重要文件 130
3.2.4 UNIX/Linux的引導(dǎo)過程 133
項目分析 134
項目實施 135
3.3 任務(wù)一：在UNIX/Linux環(huán)境下獲取
原始證據(jù) 135
3.3.1 UNIX/Linux系統(tǒng)中現(xiàn)場證據(jù)的
獲取 135
3.3.2 UNIX/Linux環(huán)境中內(nèi)存與硬盤
信息的獲取 137
3.3.3 UNIX/Linux環(huán)境中進程信息的
獲取 142
3.3.4 UNIX/Linux的網(wǎng)絡(luò)連接信息獲取 145
3.4 任務(wù)二：UNIX/Linux環(huán)境的數(shù)據(jù)初步
分析 148
3.4.1 UNIX/Linux環(huán)境的取證數(shù)據(jù)預(yù)處理 148
3.4.2 UNIX/Linux環(huán)境的日志調(diào)查 150
3.4.3 UNIX/Linux環(huán)境中其他重要信息
的調(diào)查 155
應(yīng)用實訓(xùn) 158
拓展練習(xí) 159
項目4 原始證據(jù)的深入分析 160
學(xué)習(xí)目標(biāo) 160
項目說明 160
項目任務(wù) 160
基礎(chǔ)知識 161
4.1 電子證據(jù)司法鑒定的程序 161
4.1.1 電子證據(jù)司法鑒定的含義 161
4.1.2 電子證據(jù)司法鑒定的程序 161
4.2 電子證據(jù)保全的程序 162
4.2.1 電子證據(jù)保全的含義 162
4.2.2 電子證據(jù)保全的程序 163
4.3 調(diào)查取證報告 164
4.3.1 調(diào)查取證報告的重要性 164
4.3.2 取證報告的書寫準(zhǔn)則 165
項目分析 168
項目實施 169
4.4 任務(wù)一：利用EnCase Forensic進行
分析 169
4.4.1 創(chuàng)建新案件并添加證據(jù)磁盤 169
4.4.2 EnCase界面簡介 172
4.4.3 利用EnCase調(diào)查案件的前期步驟 184
4.4.4 文件操作 188
4.4.5 關(guān)鍵詞搜索 190
4.4.6 使用書簽 194
4.4.7 生成報告 196
4.5 任務(wù)二：利用X-Ways Forensics進行
分析 199
4.5.1 環(huán)境設(shè)置 199
4.5.2 創(chuàng)建新案件 200
4.5.3 添加取證分析的原始證據(jù) 202
4.5.4 基本界面和操作 202
4.5.5 進行磁盤快照 206
4.5.6 使用過濾器 208
4.5.7 搜索數(shù)據(jù)信息 210
4.5.8 提取文件 212
4.5.9 生成報告 214
應(yīng)用實訓(xùn) 216
拓展練習(xí) 217
項目5 在網(wǎng)絡(luò)中進行取證 218
學(xué)習(xí)目標(biāo) 218
項目說明 218
項目任務(wù) 219
基礎(chǔ)知識 219
5.1 網(wǎng)絡(luò)取證基礎(chǔ) 219
5.1.1 網(wǎng)絡(luò)取證的定義 219
5.1.2 網(wǎng)絡(luò)取證的特點 220
5.1.3 網(wǎng)絡(luò)電子證據(jù)的特點 221
5.1.4 網(wǎng)絡(luò)取證的難點和發(fā)展趨勢 222
5.1.5 網(wǎng)絡(luò)監(jiān)控的程序 224
5.2 網(wǎng)絡(luò)調(diào)查的信息源和常用分析工具 224
5.2.1 網(wǎng)絡(luò)調(diào)查的信息源 224
5.2.2 網(wǎng)絡(luò)取證分析工具 226
項目分析 232
項目實施 232
5.3 任務(wù)一：云存儲取證案例分析 232
5.3.1 云計算基礎(chǔ) 232
5.3.2 調(diào)查云存儲痕跡 233
5.4 任務(wù)二：網(wǎng)絡(luò)取證案例分析 238
5.4.1 搭建蜜罐（Honeypot） 238
5.4.2 運用蜜罐技術(shù)進行網(wǎng)絡(luò)取證調(diào)查 244
應(yīng)用實訓(xùn) 249
拓展練習(xí) 250
項目6 針對多媒體進行取證 251
學(xué)習(xí)目標(biāo) 251
項目說明 251
項目任務(wù) 252
基礎(chǔ)知識 252
6.1 數(shù)字多媒體基礎(chǔ) 252
6.1.1 灰度圖像 253
6.1.2 彩色圖像 253
6.1.3 調(diào)色板圖像 254
6.2 數(shù)字圖像內(nèi)容認(rèn)證技術(shù)基礎(chǔ) 255
6.2.1 數(shù)字圖像內(nèi)容篡改的現(xiàn)狀 255
6.2.2 數(shù)字圖像的篡改方法 258
項目分析 261
項目實施 261
6.3 任務(wù)一：對簡單數(shù)據(jù)隱藏進行分析 261
6.3.1 針對最簡單的數(shù)據(jù)隱藏方式進行
分析 262
6.3.2 插入式數(shù)據(jù)隱藏 263
6.4 任務(wù)二：利用隱寫分析技術(shù)分析可疑
圖像 264
6.4.1 數(shù)字隱寫和隱寫分析技術(shù) 264
6.4.2 數(shù)字圖像隱寫技術(shù)基礎(chǔ) 264
6.4.3 利用簡單的數(shù)字圖像隱寫術(shù)隱藏
數(shù)據(jù) 267
6.4.4 針對簡單數(shù)字圖像隱寫術(shù)的分析
取證 271
6.5 任務(wù)三：數(shù)字圖像內(nèi)容真實性認(rèn)證 273
6.5.1 數(shù)字圖像內(nèi)容認(rèn)證技術(shù)概略 273
6.5.2 數(shù)字圖像內(nèi)容認(rèn)證案例分析 276
應(yīng)用實訓(xùn) 279
拓展練習(xí) 279
參考文獻 281

1. 計算機取證與司法鑒定（第二版） [張湛 瞿芳]