电子数据取证林晓东 pdf下载

基本信息

• 商品名称：电子数据取证
• 作者：[加]林晓东(Xiaodong Lin)|译者:陈晶 郭永健 张俊 何琨 等
• 定价：199
• 出版社：机械工业
• 书号：9787111694557

其他参考信息（以实物为准）

• 出版时间：2021-11-01
• 印刷时间：2021-11-01
• 版次：1
• 印次：1
• 开本：16开
• 页数：

内容提要

本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者 好地理解数字取证概念和学习数字取证调查技术。<br>本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。

作者简介

林晓东（Xiaodong Lin），北京邮电大学信息工程专业博士，滑铁卢大学电子与计算机工程专业博士。他目前是加拿大圭尔夫大学计算机科学学院副教授，主要研究方向为无线通信与网络安全、计算机取证、软件安全、应用密码学。在过去的几年里，他的研究重点是保护车载自组网（VANET）。他因在车辆通信安全和隐私保护方面的贡献而被提升为IEEE会士。此外，他一直在研究数字取证，并在数字取证领域的研究会议DFRWS USA 2018上介绍了Android应用程序自动取证分析方面的工作。<br>他是多个 期刊的副主编，曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑，还担任IEEE/ACM会议的研讨会 或分会 。他曾任IEEE通信协会（ComSoc）通信与信息安全技术委员会（CISTC） 。他也是一名认证信息系统安全专家（CISSP）。

目录

序<br/>译者序<br/>前言<br/>致谢<br/>译者简介<br/> 部分　计算机系统和计算机取证基础<br/>第1章　电子数据取证概述 2<br/>1.1　概述 2<br/>1.1.1　成长期 2<br/>1.1.2　快速发展 3<br/>1.1.3　挑战 4<br/>1.1.4　数字取证的隐私风险 7<br/>1.1.5　展望未来 7<br/>1.2　电子数据取证的范畴及其重要性 8<br/>1.3　电子证据 10<br/>1.4　电子数据取证流程与技术 14<br/>1.4.1　准备阶段 16<br/>1.4.2　犯罪现场阶段 16<br/>1.4.3　电子证据实验室阶段 18<br/>1.5　电子数据取证的类型 20<br/>1.6　有用的资源 23<br/>1.7　练习题 27<br/>参考文献 28<br/>第2章　计算机系统概论 30<br/>2.1　计算机组成 30<br/>2.2　数据表示 33<br/>2.3　内存对齐和字节顺序 35<br/>2.4　实战练习 38<br/>2.4.1　设置实验环境 38<br/>2.4.2　练习题 38<br/>附录　如何使用gdb调试工具调试C程序 41<br/>参考文献 42<br/>第3章　搭建取证工作站 43<br/>3.1　TSK和Autopsy Forensics Browser 43<br/>3.1.1　TSK 43<br/>3.1.2　Autopsy Forensic Browser 45<br/>3.1.3　Kali Linux中的TSK和Autopsy 47<br/>3.2　虚拟化 47<br/>3.2.1　为什么要虚拟化 48<br/>3.2.2　有哪些虚拟机可供选择 49<br/>3.2.3　为什么选择VMware虚拟化平台 50<br/>3.3　使用 Kali Linux 建立取证工作站 50<br/>3.4　 使用TSK进行电子数据检验 62<br/>3.5　实战练习 66<br/>3.5.1　设置实验环境 66<br/>3.5.2　练习题 66<br/>附录A　在 Linux 中安装软件 72<br/>附录B　dcfldd备忘单 73<br/>参考文献 74<br/>第二部分　文件系统取证分析<br/>第4章　卷的检验分析 76<br/>4.1　硬盘结构和磁盘分区 76<br/>4.1.1　硬盘结构 77<br/>4.1.2　磁盘分区 79<br/>4.1.3　DOS分区 80<br/>4.1.4　分区中的扇区寻址 85<br/>4.2　卷分析 86<br/>4.2.1　磁盘布局分析 86<br/>4.2.2　分区连续性检查 86<br/>4.2.3　获取分区 87<br/>4.2.4　已删除分区的恢复 87<br/>4.3　实战练习 89<br/>4.3.1　设置实验环境 89<br/>4.3.2　练习题 89<br/>4.4　提示 90<br/>参考文献 92<br/>第5章　FAT文件系统检验分析 93<br/>5.1　文件系统概述 94<br/>5.2　FAT文件系统 99<br/>5.2.1　分区引导扇区 100<br/>5.2.2　文件分配表 103<br/>5.2.3　FAT文件系统寻址 104<br/>5.2.4　根目录和目录项 105<br/>5.2.5　长文件名 108<br/>5.3　实战练习 112<br/>5.3.1　设置实验环境 112<br/>5.3.2　练习题 112<br/>5.4　提示 113<br/>附录A　FAT12 / 16分区引导扇区的数据结构 115<br/>附录B　FAT32分区引导扇区的数据结构 116<br/>附录C　LFN目录项校验和算法 116<br/>参考文献 117<br/>第6章　FAT文件系统数据恢复 118<br/>6.1　数据恢复原理 118<br/>6.2　FAT文件系统中的文件创建和删除 121<br/>6.2.1　文件创建 121<br/>6.2.2　文件删除 123<br/>6.3　FAT文件系统中删除文件的恢复 123<br/>6.4　实战练习 125<br/>6.4.1　设置实验环境 125<br/>6.4.2　练习题 125<br/>6.5　提示 127<br/>参考文献 130<br/>第7章　NTFS文件系统检验分析 131<br/>7.1　NTFS文件系统 131<br/>7.2　MFT 133<br/>7.3　NTFS索引 140<br/>7.3.1　B树 140<br/>7.3.2　NTFS 目录索引 142<br/>7.4　NTFS 特性 151<br/>7.4.1　EFS 151<br/>7.4.2　数据存储效率 156<br/>7.5　实战练习 158<br/>7.5.1　设置实验环境 158<br/>7.5.2　练习题 158<br/>7.6　提示 159<br/>7.6.1　在NTFS文件系统中查找MFT 159<br/>7.6.2　确定一个给定MFT表项的簇地址 160<br/>参考文献 161<br/>第8章　NTFS文件系统数据恢复 162<br/>8.1　NTFS文件恢复 162<br/>8.1.1　NTFS文件系统中的文件创建和删除 163<br/>8.1.2　NTFS文件系统中已删除文件的恢复 168<br/>8.2　实战练习 169<br/>8.2.1　设置实验环境 169<br/>8.2.2　练习题 170<br/>参考文献 171<br/>第9章　文件雕复 172<br/>9.1　文件雕复的原理 172<br/>9.1.1　头部/尾部雕复 173<br/>9.1.2　BGC 176<br/>9.2　文件雕复工具 180<br/>9.2.1　Foremost 180<br/>9.2.2　Scalpel 181<br/>9.2.3　TestDisk和Photorec 182<br/>9.3　实战练习 189<br/>9.3.1　设置实验环境 189<br/>9.3.2　练习题 189<br/>参考文献 190<br/> 0章　文件指纹搜索取证 191<br/>10.1　概述 191<br/>10.2　文件指纹搜索过程 192<br/>10.3　使用hfind进行文件指纹搜索 194<br/>10.3.1　使用md5sum创建一个散列库 194<br/>10.3.2　为散列库创建MD5索引文件 195<br/>10.3.3　在散列库中搜索特定的散列值 195<br/>10.4　实战练习 196<br/>10.4.1　设置实验环境 196<br/>10.4.2　练习题 196<br/>附录　创建用于生成散列数据库文件的shell脚本 197<br/>参考文献 198<br/> 1章　关键词取证 199<br/>11.1　关键词搜索取证过程 200<br/>11.2　grep和正则表达式 200<br/>11.3　案例研究 201<br/>11.4　实战练习 205<br/>11.4.1　设置实验环境 205<br/>11.4.2　练习题 205<br/>附录　正则表达式元字符 206<br/>参考文献 207<br/> 2章　时间线分析 208<br/>12.1　时间线分析原理 208<br/>12.1.1　时间线 208<br/>12.1.2　时间线上的事件 209<br/>12.2　时间线分析的过程 210<br/>12.2.1　时间线创建 210<br/>12.2.2　时间线分析 211<br/>12.2.3　使用TSK创建和分析MAC时间线 211<br/>12.3　时间线分析取证工具 213<br/>12.3.1　Log2timeline 214<br/>12.3.2　EnCase 214<br/>12.4　案例研究 214<br/>12.5　实战练习 216<br/>12.5.1　设置实验环境 216<br/>12.5.2　练习题 217<br/>参考文献 218<br/> 3章　信息隐藏与检测 219<br/>13.1　信息隐藏基础 219<br/>13.1.1　隐藏的文件和目录 220<br/>13.1.2　伪装和改名 221<br/>13.1.3　卷松弛 222<br/>13.1.4　松弛空间 222<br/>13.1.5　异常状态的簇 223<br/>13.1.6　损坏的MFT记录 223<br/>13.1.7　备选数据流 223<br/>13.2　OOXML文档中的信息隐藏和检测 225<br/>13.2.1　OOXML文档基础 225<br/>13.2.2　OOXML文档中的信息隐藏 227<br/>13.2.3　OOXML文档中的隐藏数据检测 239<br/>13.3　实战练习 241<br/>13.3.1　设置实验环境 241<br/>13.3.2　练习题 242<br/>参考文献 243<br/>第三部分　取证日志分析<br/> 4章　日志分析 246<br/>14.1　系统日志分析 246<br/>14.1.1　syslog 247<br/>14.1.2　Windows事件日志 250<br/>14.1.3　日志分析的挑战 252<br/>14.2　安全信息与事件管理系统 253<br/>14.2.1　日志标准化与日志关联 255<br/>14.2.2　日志数据分析 256<br/>14.2.3　SIEM的具体特征 258<br/>14.2.4　日志关联案例分析 259<br/>14.3　实施SIEM 260<br/>14.3.1　OSSIM的工作原理 260<br/>14.3.2　AlienVault事件可视化 261<br/>14.4　实战练习 265<br/>14.4.1　设置实验环境 265<br/>14.4.2　练习题 267<br/>参考文献 268<br/>第四部分　移动设备取证<br/> 5章　Android取证 270<br/>15.1　智能手机基础知识 271<br/>15.2　移动设备取证调查 272<br/>15.2.1　存储位置 273<br/>15.2.2　数据获取方法 274<br/>15.2.3　数据分析 281<br/>15.2.4　案例研究 283<br/>15.3　实战练习 292<br/>15.3.1　设置实验环境 293<br/>15.3.2　练习题 298<br/>参考文献 299<br/> 6章　GPS取证 301<br/>16.1　GPS系统 301<br/>16.2　可作为证据的GPS数据 303<br/>16.3　案例研究 304<br/>16.3.1　实验准备 304<br/>16.3.2　基本方法和步骤 304<br/>16.3.3　GPS交换格式 306<br/>16.3.4　GPX文件 308<br/>16.3.5　航点和航迹点的提取 309<br/>16.3.6　如何在地图上显示航迹 310<br/>16.4　实战练习 312<br/>16.4.1　设置实验环境 312<br/>16.4.2　练习题 313<br/>参考文献 318<br/> 7章　SIM卡取证 319<br/>17.1　用户身份识别模块 319<br/>17.2　SIM 架构 321<br/>17.3　安全性 322<br/>17.4　证据提取 323<br/>17.4.1　联系人 323<br/>17.4.2　拨号记录 324<br/>17.4.3　短信 324<br/>17.5　案例研究 324<br/>17.5.1　实验设置 324<br/>17.5.2　数据采集 324<br/>17.5.3　数据分析 327<br/>17.6　实战练习 335<br/>17.6.1　设置实验环境 335<br/>17.6.2　练习题 336<br/>参考文献 337<br/>第五部分　恶意软件分析<br/> 8章　恶意软件分析简介 340<br/>18.1　恶意软件、病毒和蠕虫 340<br/>18.1.1　恶意软件如何在计算机上传播 341<br/>18.1.2　恶意软件分析的重要性 341<br/>18.2　恶意软件分析的基本技能和工具 342<br/>18.3　恶意软件分析工具和技术 343<br/>18.3.1　Dependency Walker 343<br/>18.3.2　PEview 346<br/>18.3.3　W32dasm 349<br/>18.3.4　OllyDbg 350<br/>18.3.5　Wireshark 350<br/>18.3.6　ConvertShellCode 352<br/>18.4　案例分析 354<br/>18.4.1　目标 354<br/>18.4.2　环境设定 355<br/>18.4.3　总结 363<br/>18.5　实战练习 364<br/>参考文献 364<br/> 9章　勒索软件分析 365<br/>19.1　勒索软件的工作模式 366<br/>19.2　臭名昭著的勒索软件 368<br/>19.2.1　CryptoLocker 368<br/>19.2.2　其他勒索软件 369<br/>19.3　被恶意软件利用的加密和隐私保护技术 370<br/>19.3.1　RSA加密系统 371<br/>19.3.2　AES加密系统 371<br/>19.3.3　作为黑客工具的密码技术 372<br/>19.3.4　洋葱网络和隐匿技术 373<br/>19.3.5　用于匿名支付的数字货币和比特币 373<br/>19.4　案例分析：SimpleLocker勒索软件分析 374<br/>19.4.1　Android框架概述 375<br/>19.4.2　SimpleLocker的分析技术 376<br/>19.4.3　在线扫描服务 377<br/>19.4.4　元数据分析 378<br/>19.4.5　静态分析 380<br/>19.4.6　SimpleLocker加密方法分析 389<br/>19.4.7　动态程序分析 394<br/>19.4.8　SimpleLocker的清除方法 397<br/>19.5　实战练习 398<br/>19.5.1　安装Android Studio 399<br/>19.5.2　创建一个Android应用程序项目 399<br/>参考文献 405<br/>第六部分　多媒体取证<br/>第20章　图像伪造检测 408<br/>20.1　数字图像处理基础 408<br/>20.1.1　数字图像基础 409<br/>20.1.2　图像类型 410<br/>20.1.3　基本操作和变换 412<br/>20.2　图像伪造检测 416<br/>20.2.1　图像篡改技术 418<br/>20.2.2　主动式图像伪造检测 419<br/>20.2.3　被动-盲图像伪造检测 421<br/>20.3　实战练习 439<br/>20.3.1　设置实验环境 439<br/>20.3.2　练习题 440<br/>参考文献 443<br/>第21章　隐写术和隐写分析 445<br/>21.1　隐写术和隐写分析基础 446<br/>21.1.1　隐写术基础 446<br/>21.1.2　隐写分析基础 448<br/>21.2　隐写技术和隐写工具 449<br/>21.2.1　隐写技术 449<br/>21.2.2　隐写工具 454<br/>21.3　隐写分析技术和隐写分析工具 455<br/>21.3.1　隐写分析技术 456<br/>21.3.2　隐写分析工具 457<br/>21.4　实战练习 458<br/>21.4.1　设置实验环境 458<br/>21.4.2　练习题 458<br/>参考文献 459