計算機取證技術(shù)是一門涉及計算機科學、法學等多個領(lǐng)域的交叉學科。作為一個新的領(lǐng)域，計算機取證技術(shù)在我國研究與實踐的時間都不長，但打擊計算機犯罪等的現(xiàn)實需要，使得對此領(lǐng)域產(chǎn)生興趣的人越來越多。計算機取證技術(shù)在我國必將會有更加迅速的發(fā)展。

目前國內(nèi)正式出版的計算機取證方面的書籍較少。本書作者多年來一直致力于計算機取證方面的研究，從2004年開始編寫此書，歷時三載，經(jīng)過反復(fù)修改，終于完成了此書。作者編寫本書的主要目的是拋磚引玉，希望有更多的人了解、關(guān)注計算機取證技術(shù)，從而推動、促進我國計算機取證技術(shù)的發(fā)展。

全書共分9章。第1章計算機取證的基本概念，第2章計算機取證的常見工具，第3章Windows文件系統(tǒng)基礎(chǔ)，第4章Windows系統(tǒng)取證方法，第5章UNIX文件系統(tǒng)基礎(chǔ)，第6章UNIX系統(tǒng)取證方法，第7章Linux文件系統(tǒng)基礎(chǔ)，第8章Linux系統(tǒng)取證方法，第9章計算機反取證技術(shù)。

本書在編寫過程中參考了大量的中外文獻及有關(guān)網(wǎng)站的內(nèi)容，在此表示衷心的感謝。

本書的出版得到了北京萬水電子信息有限公司孫春亮老師的大力支持和幫助，在此表示衷心的感謝。

由于作者水平有限，書中難免存在疏漏與不妥之處，懇請廣大讀者和同行專家批評指正。作者的E-mail地址：ylf@mail.zjxu.edu.cn。

編者

2007年5月

前言
第1章 計算機取證的基本概念 1
1.1 計算機取證的基本概念 1
1.1.1 計算機取證的定義 1
1.1.2 計算機取證研究概況 2
1.2 電子證據(jù)的概念 5
1.2.1 什么是電子證據(jù) 5
1.2.2 電子證據(jù)的特點 5
1.2.3 電子證據(jù)的來源 7
1.3 計算機取證的原則和步驟 7
1.3.1 計算機取證的基本原則 7
1.3.2 計算機取證的一般步驟 8
1.3.3 具體的計算機取證實例 12
1.4 計算機取證模型 15
1.4.1 早期的計算機取證模型 15
1.4.2 綜合數(shù)字取證模型 17
1.4.3 增強的數(shù)字取證過程模型 17
1.4.4 基于需求的計算機取證過程模型 18
1.4.5 計算機取證的層次模型 18
1.4.6 對各種計算機取證模型的分析 20
1.5 計算機取證的發(fā)展趨勢 21
參考文獻 22
第2章 計算機取證的常見工具 23
2.1 計算機取證的相關(guān)工具 23
2.2 取證復(fù)制工具包 25
2.2.1 EnCase 25
2.2.2 SafeBack 28
2.2.3 UNIX實用程序dd 32
2.2.4 開放數(shù)據(jù)復(fù)制工具 33
2.3 取證分析工具包 34
2.4 計算機取證設(shè)備 35
2.4.1 國內(nèi)主要取證產(chǎn)品介紹 35
2.4.2 國內(nèi)外計算機取證設(shè)備對比與分析 41
2.5 Linux環(huán)境下的計算機取證工具介紹 49
2.5.1 Sleuthkit 49
2.5.2 Autopsy 52
2.5.3 SMART for Linux 58
參考文獻 61
第3章 Windows文件系統(tǒng)基礎(chǔ) 63
3.1 硬盤的結(jié)構(gòu) 63
3.1.1 硬盤的物理結(jié)構(gòu) 63
3.1.2 硬盤的邏輯結(jié)構(gòu) 63
3.2 硬盤數(shù)據(jù)組織 64
3.2.1 低級格式化 65
3.2.2 硬盤分區(qū) 66
3.2.3 硬盤數(shù)據(jù)存儲區(qū)域 68
3.3 文件系統(tǒng)和數(shù)據(jù)存儲位置 71
3.4 文件刪除的恢復(fù)與反恢復(fù) 73
3.4.1 Windows系統(tǒng)的文件刪除和恢復(fù) 74
3.4.2 對計算機取證的作用與影響 75
參考文獻 76
第4章 Windows系統(tǒng)取證方法 77
4.1 Windows系統(tǒng)初始響應(yīng)方法 77
4.1.1 創(chuàng)建初始響應(yīng)工具包 77
4.1.2 初始響應(yīng)方法 79
4.1.3 編寫初始響應(yīng)腳本 91
4.2 Windows系統(tǒng)取證實例 92
4.2.1 引子 92
4.2.2 系統(tǒng)概況和證據(jù)處理 92
4.2.3 建立取證工具 94
4.2.4 介質(zhì)備份及分析 95
4.2.5 MAC時間分析 96
4.2.6 注冊表 99
4.2.7 恢復(fù)被刪除文件 103
4.2.8 最后分析結(jié)論 107
參考文獻 109
第5章 UNIX文件系統(tǒng)基礎(chǔ) 110
5.1 UNIX文件系統(tǒng)的組織 110
5.2 UNIX文件系統(tǒng)的內(nèi)部結(jié)構(gòu) 112
5.3 UNIX文件系統(tǒng)的布局 116
5.4 UNIX系統(tǒng)的文件刪除與恢復(fù) 116
5.4.1 知道內(nèi)容的文件的恢復(fù)方法 118
5.4.2 RAW文件恢復(fù) 120
5.4.3 文件恢復(fù)工具Recover My Files 121
5.4.4 UNIX數(shù)據(jù)恢復(fù)工具Stellar Phoenix 124
參考文獻 125
第6章 UNIX系統(tǒng)取證方法 126
6.1 UNIX系統(tǒng)初始響應(yīng)方法 126
6.1.1 創(chuàng)建初始響應(yīng)工具包 126
6.1.2 保存初始響應(yīng)信息 126
6.1.3 收集數(shù)據(jù) 127
6.1.4 獲取現(xiàn)場系統(tǒng)日志 130
6.1.5 獲取重要的配置文件 131
6.2 UNIX系統(tǒng)取證方法 131
6.2.1 引子 131
6.2.2 收集被入侵機器的文件系統(tǒng)信息 132
6.2.3 通過網(wǎng)絡(luò)傳送磁盤映像 133
6.2.4 在分析機上安裝磁盤映像 134
6.2.5 對現(xiàn)有文件進行分析 135
6.2.6 文件刪除及相關(guān)問題 139
6.2.7 對被刪除文件進行分析 141
參考文獻 144
第7章 Linux文件系統(tǒng)基礎(chǔ) 145
7.1 EXT2文件系統(tǒng) 145
7.1.1 EXT2文件系統(tǒng)的物理結(jié)構(gòu) 145
7.1.2 塊組的構(gòu)造 146
7.1.3 索引節(jié)點（inode） 147
7.1.4 多重索引結(jié)構(gòu) 147
7.1.5 EXT2中的目錄項 149
7.1.6 位示圖 149
7.2 Linux系統(tǒng)的文件刪除與恢復(fù) 150
7.2.1 文件恢復(fù)的可能性及其原理 150
7.2.2 文件恢復(fù)的實現(xiàn)策略 151
參考文獻 153
第8章 Linux系統(tǒng)取證方法 154
8.1 Linux系統(tǒng)初始響應(yīng)方法 154
8.1.1 初始響應(yīng)的準備工作 154
8.1.2 初始響應(yīng)的具體步驟和方法 156
8.2 Linux磁盤介質(zhì)備份 157
8.2.1 準備工作 158
8.2.2 介質(zhì)備份 158
8.3 如何從Linux系統(tǒng)中恢復(fù)數(shù)字證據(jù) 159
參考文獻 169
第9章 計算機反取證技術(shù) 170
9.1 數(shù)據(jù)擦除 170
9.2 數(shù)據(jù)隱藏 172
9.2.1 實現(xiàn)數(shù)據(jù)隱藏的幾種常用方法 173
9.2.2 實現(xiàn)數(shù)據(jù)隱藏的具體實例 173
9.3 Linux環(huán)境下常見的計算機反取證工具介紹 175
9.4 Windows環(huán)境下常見的計算機反取證工具介紹 175
參考文獻 175

1. 嵌入式系統(tǒng)設(shè)計師考前沖刺100題 [倪奕文 王建平 編著]
2. 單片機應(yīng)用技術(shù)項目教程（C語言版）（第三版） [主編　郭志勇]
3. 微機原理與接口技術(shù) [李珍香 編著]
4. 單片機原理及應(yīng)用技術(shù)（C語言版） [周國運 魯慶賓 趙天翔 編著]
5. 單片機實用技術(shù)項目教程 [主編 周威 熊輝]
6. 單片機原理及應(yīng)用項目化教程（C語言版） [主編 謝四連　王善偉　李石林]
7. 微型計算機原理與接口技術(shù)（第二版） [主編 王向慧]
8. 微型計算機組裝與維護（第二版） [主編 柳 青 陳孟祥]
9. 微型計算機原理與接口技術(shù)學習與實驗指導（第二版） [主編 楊立]
10. 微型計算機原理與接口技術(shù)（第二版） [主編 楊立]
11. 單片機應(yīng)用技術(shù)項目教程（C語言版）（第二版） [主編 郭志勇]
12. 微型計算機原理及應(yīng)用（第三版） [主編 何超]
13. 電子技術(shù)項目教程（Proteus版） [主編 郭志勇]
14. 微型計算機原理與匯編語言程序設(shè)計（第二版）——習題解答、實驗指導和實訓 [主 編 楊 立]
15. 單片機應(yīng)用教程 [胡云冰 聶振華]
16. 微機原理與接口技術(shù)（第二版） [主 編 李云強]
17. 微型計算機原理與匯編語言程序設(shè)計（第二版） [主編 楊立]
18. 單片機應(yīng)用系統(tǒng)設(shè)計安裝與調(diào)試 [主編 田浩鵬]
19. 微機原理與匯編語言程序設(shè)計（第二版） [主編 荊淑霞]
20. 單片機原理及應(yīng)用設(shè)計（第二版） [主編 胡輝 ]
21. 單片機原理及典型應(yīng)用接口技術(shù) [劉甫 陳健美 編著]
22. 單片機原理及應(yīng)用教程（C語言版） [主編 周國運]
23. 微型計算機組裝與維護實用教程 [主 編 王際川 周永福]
24. 微型計算機組成原理與設(shè)計方法研究 [劉峰 陳炯 邵澤云]
25. 微型計算機原理與接口技術(shù)實驗及習題指導 [主編 何超]
26. 微型計算機原理與接口技術(shù) [何超]
27. 單片微型計算機原理及接口技術(shù)實驗指導與實訓 [林軍 等編著]
28. 微機原理與接口技術(shù) [梁建武 主 編 ]
29. 微機原理與接口技術(shù) [李云強 主 編 ]
30. 微型計算機及其接口技術(shù) [胡敏 張永 主編]