計(jì)算機(jī)取證與司法鑒定（第3版）

目錄





第1章計(jì)算機(jī)取證與司法鑒定概論

1.1概述

1.1.1計(jì)算機(jī)取證與司法鑒定

1.1.2計(jì)算機(jī)取證與司法鑒定的研究現(xiàn)狀

1.1.3相關(guān)研究成果與進(jìn)展

1.2計(jì)算機(jī)取證與司法鑒定的原則

1.2.1計(jì)算機(jī)取證與司法鑒定的原則發(fā)展概況

1.2.2計(jì)算機(jī)取證與司法鑒定的原則解析

1.2.3計(jì)算機(jī)取證與司法鑒定過(guò)程模型

1.3計(jì)算機(jī)取證與司法鑒定的實(shí)施

1.3.1操作程序規(guī)則

1.3.2計(jì)算機(jī)證據(jù)的顯示與質(zhì)證

1.4計(jì)算機(jī)取證與司法鑒定的發(fā)展趨勢(shì)

1.4.1主機(jī)證據(jù)保全、恢復(fù)和分析技術(shù)

1.4.2網(wǎng)絡(luò)數(shù)據(jù)捕獲與分析、網(wǎng)絡(luò)追蹤

1.4.3主動(dòng)取證技術(shù)

1.4.4計(jì)算機(jī)證據(jù)法學(xué)研究

1.5小結(jié)

本章參考文獻(xiàn)

第2章計(jì)算機(jī)取證與司法鑒定的相關(guān)法學(xué)問(wèn)題

2.1計(jì)算機(jī)取證與司法鑒定基礎(chǔ)

2.1.1計(jì)算機(jī)取證與司法鑒定的法律基礎(chǔ)

2.1.2計(jì)算機(jī)取證與司法鑒定的技術(shù)基礎(chǔ)

2.1.3計(jì)算機(jī)取證與司法鑒定的特點(diǎn)

2.1.4計(jì)算機(jī)取證與司法鑒定的相關(guān)事項(xiàng)

2.2司法鑒定

2.2.1司法鑒定簡(jiǎn)介

2.2.2司法鑒定人

2.2.3司法鑒定機(jī)構(gòu)和法律制度

2.2.4司法鑒定原則和方法

2.2.5鑒定意見(jiàn)

2.2.6司法鑒定的程序

2.2.7實(shí)驗(yàn)室認(rèn)可

2.3信息網(wǎng)絡(luò)安全的法律責(zé)任制度

2.3.1刑事責(zé)任

2.3.2行政責(zé)任

2.3.3民事責(zé)任

2.4小結(jié)

本章參考文獻(xiàn)

第3章計(jì)算機(jī)取證與司法鑒定基礎(chǔ)知識(shí)

3.1儀器設(shè)備配置標(biāo)準(zhǔn)

3.1.1背景

3.1.2配置原則

3.1.3配置標(biāo)準(zhǔn)及說(shuō)明

3.1.4結(jié)語(yǔ)

3.2數(shù)據(jù)加密

3.2.1密碼學(xué)

3.2.2傳統(tǒng)加密算法

3.2.3對(duì)稱加密體系

3.2.4公鑰密碼體系

3.2.5散列函數(shù)

3.3數(shù)據(jù)隱藏

3.3.1信息隱藏原理

3.3.2數(shù)據(jù)隱寫術(shù)

3.3.3數(shù)字水印

3.4密碼破解

3.4.1密碼破解原理

3.4.2一般密碼破解方法

3.4.3分布式網(wǎng)絡(luò)密碼破解

3.4.4密碼破解的應(yīng)用部分

3.5入侵與追蹤

3.5.1入侵與攻擊手段

3.5.2追蹤手段

3.6檢驗(yàn)、分析與推理

3.6.1計(jì)算機(jī)取證與司法鑒定的準(zhǔn)備

3.6.2計(jì)算機(jī)證據(jù)的保全

3.6.3計(jì)算機(jī)證據(jù)的分析

3.6.4計(jì)算機(jī)證據(jù)的推理

3.6.5證據(jù)跟蹤

3.6.6結(jié)果提交

3.7電子數(shù)據(jù)鑒定的復(fù)雜度

3.7.1電子數(shù)據(jù)鑒定項(xiàng)目

3.7.2電子數(shù)據(jù)鑒定復(fù)雜度的衡量方法

3.7.3項(xiàng)目復(fù)雜度分析

3.7.4總結(jié)與展望

3.8小結(jié)

本章參考文獻(xiàn)

第4章Windows系統(tǒng)的取證與分析

4.1Windows系統(tǒng)現(xiàn)場(chǎng)證據(jù)的獲取

4.1.1固定證據(jù)

4.1.2深入獲取證據(jù)

4.2Windows系統(tǒng)中電子證據(jù)的獲取

4.2.1日志

4.2.2文件和目錄

4.2.3注冊(cè)表

4.2.4進(jìn)程列表

4.2.5網(wǎng)絡(luò)軌跡

4.2.6系統(tǒng)服務(wù)

4.2.7用戶分析

4.3證據(jù)獲取/工具使用實(shí)例

4.3.1EnCase

4.3.2MD5校驗(yàn)值計(jì)算工具(MD5sums)

4.3.3進(jìn)程工具(pslist)

4.3.4注冊(cè)表工具(Autoruns)

4.3.5網(wǎng)絡(luò)查看工具(fport和netstat)

4.3.6服務(wù)工具(psservice)

4.4Windows Vista操作系統(tǒng)的取證與分析

4.4.1引言

4.4.2Windows Vista系統(tǒng)取證與分析

4.4.3總結(jié)

4.5小結(jié)

本章參考文獻(xiàn)

第5章UNIX/Linux系統(tǒng)的取證與分析

5.1UNIX/Linux操作系統(tǒng)概述

5.1.1UNIX/Linux操作系統(tǒng)發(fā)展簡(jiǎn)史

5.1.2UNIX/Linux系統(tǒng)組成

5.2UNIX/Linux系統(tǒng)中電子證據(jù)的獲取

5.2.1UNIX/Linux現(xiàn)場(chǎng)證據(jù)的獲取

5.2.2屏幕信息的獲取

5.2.3內(nèi)存及硬盤信息的獲取

5.2.4進(jìn)程信息

5.2.5網(wǎng)絡(luò)連接

5.3Linux系統(tǒng)中電子證據(jù)的分析

5.3.1數(shù)據(jù)預(yù)處理

5.3.2日志文件

5.3.3其他信息源

5.4UNIX/Linux取證與分析工具

5.4.1The Coroners Toolkit

5.4.2Sleuthkit

5.4.3Autopsy

5.4.4SMART for Linux

5.5小結(jié)

本章參考文獻(xiàn)

第6章網(wǎng)絡(luò)取證

6.1網(wǎng)絡(luò)取證的定義和特點(diǎn)

6.1.1網(wǎng)絡(luò)取證的定義

6.1.2網(wǎng)絡(luò)取證的特點(diǎn)

6.1.3專用網(wǎng)絡(luò)取證

6.2TCP/IP基礎(chǔ)

6.2.1OSI

6.2.2TCP/IP協(xié)議

6.2.3網(wǎng)絡(luò)取證中層的重要性

6.3網(wǎng)絡(luò)取證數(shù)據(jù)源

6.3.1防火墻和路由器

6.3.2數(shù)據(jù)包嗅探器和協(xié)議分析器

6.3.3入侵檢測(cè)系統(tǒng)

6.3.4遠(yuǎn)程訪問(wèn)

6.3.5SEM軟件

6.3.6網(wǎng)絡(luò)取證分析工具

6.3.7其他來(lái)源

6.4網(wǎng)絡(luò)通信數(shù)據(jù)的收集

6.4.1技術(shù)問(wèn)題

6.4.2法律方面

6.5網(wǎng)絡(luò)通信數(shù)據(jù)的檢查與分析

6.5.1辨認(rèn)相關(guān)的事件

6.5.2檢查數(shù)據(jù)源

6.5.3得出結(jié)論

6.5.4攻擊者的確認(rèn)

6.5.5對(duì)檢查和分析的建議

6.6網(wǎng)絡(luò)取證與分析實(shí)例

6.6.1發(fā)現(xiàn)攻擊

6.6.2初步分析

6.6.3現(xiàn)場(chǎng)重建

6.6.4取證分析

6.7QQ取證

6.7.1發(fā)展現(xiàn)狀

6.7.2技術(shù)路線

6.7.3取證工具

6.7.4技術(shù)基礎(chǔ)

6.7.5聊天記錄提取

6.7.6其他相關(guān)證據(jù)提取

6.7.7QQ取證與分析案例

6.7.8結(jié)束語(yǔ)

6.8小結(jié)

本章參考文獻(xiàn)

第7章木馬的取證

7.1木馬簡(jiǎn)介

7.1.1木馬的定義

7.1.2木馬的特性

7.1.3木馬的種類

7.1.4木馬的發(fā)展現(xiàn)狀

7.2木馬的基本結(jié)構(gòu)和原理

7.2.1木馬的原理

7.2.2木馬的植入

7.2.3木馬的自啟動(dòng)

7.2.4木馬的隱藏和Rootkit

7.2.5木馬的感染現(xiàn)象

7.2.6木馬的檢測(cè)

7.3木馬的取證與分析方法

7.3.1取證的基本知識(shí)

7.3.2識(shí)別木馬

7.3.3證據(jù)提取

7.3.4證據(jù)分析

7.4典型案例分析

7.4.1PCshare

7.4.2灰鴿子

7.4.3廣外男生

7.4.4驅(qū)動(dòng)級(jí)隱藏木馬

本章參考文獻(xiàn)

第8章手機(jī)取證

8.1手機(jī)取證概述

8.1.1手機(jī)取證的背景

8.1.2手機(jī)取證的概念

8.1.3手機(jī)取證的原則

8.1.4手機(jī)取證的流程

8.1.5手機(jī)取證的發(fā)展方向

8.2手機(jī)取證基礎(chǔ)知識(shí)

8.2.1移動(dòng)通信相關(guān)知識(shí)

8.2.2SIM卡相關(guān)知識(shí)

8.2.3手機(jī)相關(guān)知識(shí)

8.3手機(jī)取證與分析工具

8.3.1便攜式手機(jī)取證箱

8.3.2XRY系統(tǒng)

8.4專業(yè)電子設(shè)備取證與分析

8.4.1專業(yè)電子設(shè)備的電子證據(jù)

8.4.2專業(yè)電子設(shè)備取證的一般方法及流程

8.5偽基站電子數(shù)據(jù)司法鑒定

8.5.1背景及研究現(xiàn)狀

8.5.2偽基站組成及工作原理

8.5.3偽基站取證與司法鑒定

8.5.4展望

8.6小結(jié)

本章參考文獻(xiàn)

第9章計(jì)算機(jī)取證與司法鑒定案例

9.1“熊貓燒香”案件的司法鑒定

9.1.1案件背景

9.1.2熊貓燒香病毒介紹

9.1.3熊貓燒香病毒網(wǎng)絡(luò)破壞過(guò)程

9.1.4鑒定要求

9.1.5鑒定環(huán)境

9.1.6檢材克隆和MD5值校驗(yàn)

9.1.7鑒定過(guò)程

9.1.8鑒定結(jié)論

9.1.9將附件刻錄成光盤

9.1.10審判

9.1.11總結(jié)與展望

9.2某軟件侵權(quán)案件的司法鑒定

9.2.1問(wèn)題的提出

9.2.2計(jì)算機(jī)軟件系統(tǒng)結(jié)構(gòu)的對(duì)比

9.2.3模塊文件結(jié)構(gòu)、數(shù)目、類型、屬性對(duì)比

9.2.4數(shù)據(jù)庫(kù)對(duì)比

9.2.5運(yùn)行界面對(duì)比

9.2.6MD5校驗(yàn)對(duì)比

9.2.7結(jié)論與總結(jié)

9.3某少女被殺案的取證與分析

9.3.1案情介紹

9.3.2檢材確認(rèn)及初步分析

9.3.3線索突破

9.3.4總結(jié)與思考

9.4某破壞網(wǎng)絡(luò)安全管理系統(tǒng)案

9.4.1基本案情及委托要求

9.4.2鑒定過(guò)程

9.4.3檢測(cè)結(jié)果和鑒定意見(jiàn)

9.4.4小結(jié)

9.5某短信聯(lián)盟詐騙案

9.5.1基本案情

9.5.2鑒定過(guò)程

9.5.3檢測(cè)結(jié)果和鑒定意見(jiàn)

9.5.4小結(jié)

9.6云南新東方86億網(wǎng)絡(luò)賭博案

9.6.1基本案情及委托要求

9.6.2鑒定過(guò)程

9.6.3檢測(cè)結(jié)果和鑒定意見(jiàn)

9.6.4小結(jié)

9.7某網(wǎng)絡(luò)傳銷案

9.7.1基本案情及委托要求

9.7.2鑒定過(guò)程

9.7.3檢測(cè)結(jié)果和鑒定意見(jiàn)

9.7.4小結(jié)