电子数据取证 下载 pdf 百度网盘 epub 免费 2025 电子版 mobi 在线

本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者更好地理解数字取证概念和学习数字取证调查技术。 本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。

推荐序

译者序

前言

致谢

译者简介

第一部分　计算机系统和计算机取证基础

第1章　电子数据取证概述 2

1.1　概述 2

1.1.1　成长期 2

1.1.2　快速发展 3

1.1.3　挑战 4

1.1.4　数字取证的隐私风险 7

1.1.5　展望未来 7

1.2　电子数据取证的范畴及其重要性 8

1.3　电子证据 10

1.4　电子数据取证流程与技术 14

1.4.1　准备阶段 16

1.4.2　犯罪现场阶段 16

1.4.3　电子证据实验室阶段 18

1.5　电子数据取证的类型 20

1.6　有用的资源 23

1.7　练习题 27

参考文献 28

第2章　计算机系统概论 30

2.1　计算机组成 30

2.2　数据表示 33

2.3　内存对齐和字节顺序 35

2.4　实战练习 38

2.4.1　设置实验环境 38

2.4.2　练习题 38

附录　如何使用gdb调试工具调试C程序 41

参考文献 42

第3章　搭建取证工作站 43

3.1　TSK和Autopsy Forensics Browser 43

3.1.1　TSK 43

3.1.2　Autopsy Forensic Browser 45

3.1.3　Kali Linux中的TSK和Autopsy 47

3.2　虚拟化 47

3.2.1　为什么要虚拟化 48

3.2.2　有哪些虚拟机可供选择 49

3.2.3　为什么选择VMware虚拟化平台 50

3.3　使用 Kali Linux 建立取证工作站 50

3.4　首次使用TSK进行电子数据检验 62

3.5　实战练习 66

3.5.1　设置实验环境 66

3.5.2　练习题 66

附录A　在 Linux 中安装软件 72

附录B　dcfldd备忘单 73

参考文献 74

第二部分　文件系统取证分析

第4章　卷的检验分析 76

4.1　硬盘结构和磁盘分区 76

4.1.1　硬盘结构 77

4.1.2　磁盘分区 79

4.1.3　DOS分区 80

4.1.4　分区中的扇区寻址 85

4.2　卷分析 86

4.2.1　磁盘布局分析 86

4.2.2　分区连续性检查 86

4.2.3　获取分区 87

4.2.4　已删除分区的恢复 87

4.3　实战练习 89

4.3.1　设置实验环境 89

4.3.2　练习题 89

4.4　提示 90

参考文献 92

第5章　FAT文件系统检验分析 93

5.1　文件系统概述 94

5.2　FAT文件系统 99

5.2.1　分区引导扇区 100

5.2.2　文件分配表 103

5.2.3　FAT文件系统寻址 104

5.2.4　根目录和目录项 105

5.2.5　长文件名 108

5.3　实战练习 112

5.3.1　设置实验环境 112

5.3.2　练习题 112

5.4　提示 113

附录A　FAT12 / 16分区引导扇区的数据结构 115

附录B　FAT32分区引导扇区的数据结构 116

附录C　LFN目录项校验和算法 116

参考文献 117

第6章　FAT文件系统数据恢复 118

6.1　数据恢复原理 118

6.2　FAT文件系统中的文件创建和删除 121

6.2.1　文件创建 121

6.2.2　文件删除 123

6.3　FAT文件系统中删除文件的恢复 123

6.4　实战练习 125

6.4.1　设置实验环境 125

6.4.2　练习题 125

6.5　提示 127

参考文献 130

第7章　NTFS文件系统检验分析 131

7.1　NTFS文件系统 131

7.2　MFT 133

7.3　NTFS索引 140

7.3.1　B树 140

7.3.2　NTFS 目录索引 142

7.4　NTFS 高级特性 151

7.4.1　EFS 151

7.4.2　数据存储效率 156

7.5　实战练习 158

7.5.1　设置实验环境 158

7.5.2　练习题 158

7.6　提示 159

7.6.1　在NTFS文件系统中查找MFT 159

7.6.2　确定一个给定MFT表项的簇地址 160

参考文献 161

第8章　NTFS文件系统数据恢复 162

8.1　NTFS文件恢复 162

8.1.1　NTFS文件系统中的文件创建和删除 163

8.1.2　NTFS文件系统中已删除文件的恢复 168

8.2　实战练习 169

8.2.1　设置实验环境 169

8.2.2　练习题 170

参考文献 171

第9章　文件雕复 172

9.1　文件雕复的原理 172

9.1.1　头部/尾部雕复 173

9.1.2　BGC 176

9.2　文件雕复工具 180

9.2.1　Foremost 180

9.2.2　Scalpel 181

9.2.3　TestDisk和Photorec 182

9.3　实战练习 189

9.3.1　设置实验环境 189

9.3.2　练习题 189

参考文献 190

第10章　文件指纹搜索取证 191

10.1　概述 191

10.2　文件指纹搜索过程 192

10.3　使用hfind进行文件指纹搜索 194

10.3.1　使用md5sum创建一个散列库 194

10.3.2　为散列库创建MD5索引文件 195

10.3.3　在散列库中搜索特定的散列值 195

10.4　实战练习 196

10.4.1　设置实验环境 196

10

林晓东（Xiaodong Lin），北京邮电大学信息工程专业博士，滑铁卢大学电子与计算机工程专业博士。他目前是加拿大圭尔夫大学计算机科学学院副教授，主要研究方向为无线通信与网络安全、计算机取证、软件安全、应用密码学。在过去的几年里，他的研究重点是保护车载自组网（VANET）。他因在车辆通信安全和隐私保护方面的贡献而被提升为IEEE会士。此外，他一直在研究数字取证，并在数字取证领域的研究会议DFRWS USA 2018上介绍了Android应用程序自动取证分析方面的工作。

他是多个国际期刊的副主编，曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑，还担任IEEE/ACM会议的研讨会主席或分会主席。他曾任IEEE通信协会（ComSoc）通信与信息安全技术委员会（CISTC）主席。他也是一名认证信息系统安全专家（CISSP）。

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：电子数据取证在线阅读

在线听书地址：电子数据取证在线收听

在线购买地址：电子数据取证在线购买

暂无原文赏析，正在全力查找中！

书籍介绍

本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者更好地理解数字取证概念和学习数字取证调查技术。 本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。