电子数据取证

作者
[加] 林晓东(Xiaodong Lin)
丛书名
网络空间安全技术丛书
出版社
机械工业出版社
ISBN
9787111694557
简要
国际电子数据取证专家撰写,译者团队亦均为国内电子数据取证领域极富经验的专家。
简介
内容简介书籍计算机书籍 本书主要介绍计算机取证的相关概念和实践,目的是帮助读者通过完成各种实践练习,获得收集和保存数字证据的实践经验。本书共21章,每一章都集中于一个特定的取证主题,且由两个部分组成:背景知识和实践练习。本书以经验为导向,包含了20个以探究为基础的实践练习,以帮助读者更好地理解数字取证概念和学习数字取证调查技术。 本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师,特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。
目录
推荐序
译者序
前言
致谢
译者简介
第一部分 计算机系统和计算机取证基础
第1章 电子数据取证概述 2
1.1 概述 2
1.1.1 成长期 2
1.1.2 快速发展 3
1.1.3 挑战 4
1.1.4 数字取证的隐私风险 7
1.1.5 展望未来 7
1.2 电子数据取证的范畴及其重要性 8
1.3 电子证据 10
1.4 电子数据取证流程与技术 14
1.4.1 准备阶段 16
1.4.2 犯罪现场阶段 16
1.4.3 电子证据实验室阶段 18
1.5 电子数据取证的类型 20
1.6 有用的资源 23
1.7 练习题 27
参考文献 28
第2章 计算机系统概论 30
2.1 计算机组成 30
2.2 数据表示 33
2.3 内存对齐和字节顺序 35
2.4 实战练习 38
2.4.1 设置实验环境 38
2.4.2 练习题 38
附录 如何使用gdb调试工具调试C程序 41
参考文献 42
第3章 搭建取证工作站 43
3.1 TSK和Autopsy Forensics Browser 43
3.1.1 TSK 43
3.1.2 Autopsy Forensic Browser 45
3.1.3 Kali Linux中的TSK和Autopsy 47
3.2 虚拟化 47
3.2.1 为什么要虚拟化 48
3.2.2 有哪些虚拟机可供选择 49
3.2.3 为什么选择VMware虚拟化平台 50
3.3 使用 Kali Linux 建立取证工作站 50
3.4 首次使用TSK进行电子数据检验 62
3.5 实战练习 66
3.5.1 设置实验环境 66
3.5.2 练习题 66
附录A 在 Linux 中安装软件 72
附录B dcfldd备忘单 73
参考文献 74
第二部分 文件系统取证分析
第4章 卷的检验分析 76
4.1 硬盘结构和磁盘分区 76
4.1.1 硬盘结构 77
4.1.2 磁盘分区 79
4.1.3 DOS分区 80
4.1.4 分区中的扇区寻址 85
4.2 卷分析 86
4.2.1 磁盘布局分析 86
4.2.2 分区连续性检查 86
4.2.3 获取分区 87
4.2.4 已删除分区的恢复 87
4.3 实战练习 89
4.3.1 设置实验环境 89
4.3.2 练习题 89
4.4 提示 90
参考文献 92
第5章 FAT文件系统检验分析 93
5.1 文件系统概述 94
5.2 FAT文件系统 99
5.2.1 分区引导扇区 100
5.2.2 文件分配表 103
5.2.3 FAT文件系统寻址 104
5.2.4 根和项 105
5.2.5 长文件名 108
5.3 实战练习 112
5.3.1 设置实验环境 112
5.3.2 练习题 112
5.4 提示 113
附录A FAT12 / 16分区引导扇区的数据结构 115
附录B FAT32分区引导扇区的数据结构 116
附录C LFN项校验和算法 116
参考文献 117
第6章 FAT文件系统数据恢复 118
6.1 数据恢复原理 118
6.2 FAT文件系统中的文件创建和删除 121
6.2.1 文件创建 121
6.2.2 文件删除 123
6.3 FAT文件系统中删除文件的恢复 123
6.4 实战练习 125
6.4.1 设置实验环境 125
6.4.2 练习题 125
6.5 提示 127
参考文献 130
第7章 NTFS文件系统检验分析 131
7.1 NTFS文件系统 131
7.2 MFT 133
7.3 NTFS索引 140
7.3.1 B树 140
7.3.2 NTFS 索引 142
7.4 NTFS 高级特性 151
7.4.1 EFS 151
7.4.2 数据存储效率 156
7.5 实战练习 158
7.5.1 设置实验环境 158
7.5.2 练习题 158
7.6 提示 159
7.6.1 在NTFS文件系统中查找MFT 159
7.6.2 确定一个给定MFT表项的簇地址 160
参考文献 161
第8章 NTFS文件系统数据恢复 162
8.1 NTFS文件恢复 162
8.1.1 NTFS文件系统中的文件创建和删除 163
8.1.2 NTFS文件系统中已删除文件的恢复 168
8.2 实战练习 169
8.2.1 设置实验环境 169
8.2.2 练习题 170
参考文献 171
第9章 文件雕复 172
9.1 文件雕复的原理 172
9.1.1 头部/尾部雕复 173
9.1.2 BGC 176
9.2 文件雕复工具 180
9.2.1 Foremost 180
9.2.2 Scalpel 181
9.2.3 TestDisk和Photorec 182
9.3 实战练习 189
9.3.1 设置实验环境 189
9.3.2 练习题 189
参考文献 190
第10章 文件指纹搜索取证 191
10.1 概述 191
10.2 文件指纹搜索过程 192
10.3 使用hfind进行文件指纹搜索 194
10.3.1 使用md5sum创建一个散列库 194
10.3.2 为散列库创建MD5索引文件 195
10.3.3 在散列库中搜索特定的散列值 195
10.4 实战练习 196
10.4.1 设置实验环境 196
10.4.2 练习题 196
附录 创建用于生成散列数据库文件的shell脚本 197
参考文献 198
第11章 关键词取证 199
11.1 关键词搜索取证过程 200
11.2 grep和正则表达式 200
11.3 案例研究 201
11.4 实战练习 205
11.4.1 设置实验环境 205
11.4.2 练习题 205
附录 正则表达式元字符 206
参考文献 207
第12章 时间线分析 208
12.1 时间线分析原理 208
12.1.1 时间线 208
12.1.2 时间线上的事件 209
12.2 时间线分析的过程 210
12.2.1 时间线创建 210
12.2.2 时间线分析 211
12.2.3 使用TSK创建和分析MAC时间线 211
12.3 时间线分析取证工具 213
12.3.1 Log2timeline 214
12.3.2 EnCase 214
12.4 案例研究 214
12.5 实战练习 216
12.5.1 设置实验环境 216
12.5.2 练习题 217
参考文献 218
第13章 信息隐藏与检测 219
13.1 信息隐藏基础 219
13.1.1 隐藏的文件和 220
13.1.2 伪装和改名 221
13.1.3 卷松弛 222
13.1.4 松弛空间 222
13.1.5 异常状态的簇 223
13.1.6 损坏的MFT记录 223
13.1.7 备选数据流 223
13.2 OOXML文档中的信息隐藏和检测 225
13.2.1 OOXML文档基础 225
13.2.2 OOXML文档中的信息隐藏 227
13.2.3 OOXML文档中的隐藏数据检测 239
13.3 实战练习 241
13.3.1 设置实验环境 241
13.3.2 练习题 242
参考文献 243
第三部分 取证日志分析
第14章 日志分析 246
14.1 系统日志分析 246
14.1.1 syslog 247
14.1.2 Windows事件日志 250
14.1.3 日志分析的挑战 252
14.2 安全信息与事件管理系统 253
14.2.1 日志标准化与日志关联 255
14.2.2 日志数据分析 256
14.2.3 SIEM的具体特征 258
14.2.4 日志关联案例分析 259
14.3 实施SIEM 260
14.3.1 OSSIM的工作原理 260
14.3.2 AlienVault事件可视化 261
14.4 实战练习 265
14.4.1 设置实验环境 265
14.4.2 练习题 267
参考文献 268
第四部分 移动设备取证
第15章 Android取证 270
15.1 智能手机基础知识 271
15.2 移动设备取证调查 272
15.2.1 存储位置 273
15.2.2 数据获取方法 274
15.2.3 数据分析 281
15.2.4 案例研究 283
15.3 实战练习 292
15.3.1 设置实验环境 293
15.3.2 练习题 298
参考文献 299
第16章 GPS取证 301
16.1 GPS系统 301
16.2 可作为证据的GPS数据 303
16.3 案例研究 304
16.3.1 实验准备 304
16.3.2 基本方法和步骤 304
16.3.3 GPS交换格式 306
16.3.4 GPX文件 308
16.3.5 航点和航迹点的提取 309
16.3.6 如何在地图上显示航迹 310
16.4 实战练习 312
16.4.1 设置实验环境 312
16.4.2 练习题 313
参考文献 318
第17章 SIM卡取证 319
17.1 用户身份识别模块 319
17.2 SIM 架构 321
17.3 安全性 322
17.4 证据提取 323
17.4.1 联系人 323
17.4.2 拨号记录 324
17.4.3 短信 324
17.5 案例研究 324
17.5.1 实验设置 324
17.5.2 数据采集 324
17.5.3 数据分析 327
17.6 实战练习 335
17.6.1 设置实验环境 335
17.6.2 练习题 336
参考文献 337
第五部分 恶意软件分析
第18章 恶意软件分析简介 340
18.1 恶意软件、病毒和蠕虫 340
18.1.1 恶意软件如何在计算机上传播 341
18.1.2 恶意软件分析的重要性 341
18.2 恶意软件分析的基本技能和工具 342
18.3 恶意软件分析工具和技术 343
18.3.1 Dependency Walker 343
18.3.2 PEview 346
18.3.3 W32dasm 349
18.3.4 OllyDbg 350
18.3.5 Wireshark 350
18.3.6 ConvertShellCode 352
18.4 案例分析 354
18.4.1 目标 354
18.4.2 环境设定 355
18.4.3 总结 363
18.5 实战练习 364
参考文献 364
第19章 勒索软件分析 365
19.1 勒索软件的工作模式 366
19.2 臭名昭著的勒索软件 368
19.2.1 CryptoLocker 368
19.2.2 其他勒索软件 369
19.3 被恶意软件利用的加密和隐私保护技术 370
19.3.1 RSA加密系统 371
19.3.2 AES加密系统 371
19.3.3 作为黑客工具的密码技术 372
19.3.4 洋葱网络和隐匿技术 373
19.3.5 用于匿名支付的数字货币和比特币 373
19.4 案例分析:SimpleLocker勒索软件分析 374
19.4.1 Android框架概述 375
19.4.2 SimpleLocker的分析技术 376
19.4.3 在线扫描服务 377
19.4.4 元数据分析 378
19.4.5 静态分析 380
19.4.6 SimpleLocker加密方法分析 389
19.4.7 动态程序分析 394
19.4.8 SimpleLocker的清除方法 397
19.5 实战练习 398
19.5.1 安装Android Studio 399
19.5.2 创建一个Android应用程序项目 399
参考文献 405
第六部分 多媒体取证
第20章 图像伪造检测 408
20.1 数字图像处理基础 408
20.1.1 数字图像基础 409
20.1.2 图像类型 410
20.1.3 基本操作和变换 412
20.2 图像伪造检测 416
20.2.1 图像篡改技术 418
20.2.2 主动式图像伪造检测 419
20.2.3 被动-盲图像伪造检测 421
20.3 实战练习 439
20.3.1 设置实验环境 439
20.3.2 练习题 440
参考文献 443
第21章 隐写术和隐写分析 445
21.1 隐写术和隐写分析基础 446
21.1.1 隐写术基础 446
21.1.2 隐写分析基础 448
21.2 隐写技术和隐写工具 449
21.2.1 隐写技术 449
21.2.2 隐写工具 454
21.3 隐写分析技术和隐写分析工具 455
21.3.1 隐写分析技术 456
21.3.2 隐写分析工具 457
21.4 实战练习 458
21.4.1 设置实验环境 458
21.4.2 练习题 458
参考文献 459


推荐

车牌查询
桂ICP备20004708号-3