電子數據取證

定　價：￥199.00

作　者：	[加] 林曉東（Xiaodong Lin）著，陳晶，郭永健，張俊，何琨等譯
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

ISBN：	9787111694557	出版時間：	2021-12-01	包裝：	平裝
開本：	16開	頁數：	480	字數：

內容簡介

　　本書主要介紹計算機取證的相關概念和實踐，目的是幫助讀者通過完成各種實踐練習，獲得收集和保存數字證據的實踐經驗。本書共21章，每一章都集中于一個特定的取證主題，且由兩個部分組成：背景知識和實踐練習。本書以經驗為導向，包含了20個以探究為基礎的實踐練習，以幫助讀者更好地理解數字取證概念和學習數字取證調查技術。本書適用于正在學習數字取證相關課程或從事數字取證研究的本科生和研究生。它還適用于數字取證從業(yè)者、IT安全分析師、IT安全行業(yè)的安全工程師，特別是負責數字調查和事件處理的IT專業(yè)人士或在這些相關領域工作的研究人員。

作者簡介

　　林曉東（Xiaodong Lin），北京郵電大學信息工程專業(yè)博士，滑鐵盧大學電子與計算機工程專業(yè)博士。他目前是加拿大圭爾夫大學計算機科學學院副教授，主要研究方向為無線通信與網絡安全、計算機取證、軟件安全、應用密碼學。在過去的幾年里，他的研究重點是保護車載自組網（VANET）。他因在車輛通信安全和隱私保護方面的貢獻而被提升為IEEE會士。此外，他一直在研究數字取證，并在數字取證領域的研究會議DFRWS USA 2018上介紹了Android應用程序自動取證分析方面的工作。他是多個國際期刊的副主編，曾擔任IEEE、愛思唯爾和施普林格期刊的許多特刊的客座編輯，還擔任IEEE/ACM會議的研討會主席或分會主席。他曾任IEEE通信協會（ComSoc）通信與信息安全技術委員會（CISTC）主席。他也是一名認證信息系統安全專家（CISSP）。

圖書目錄

推薦序
譯者序
前言
致謝
譯者簡介
第一部分　計算機系統和計算機取證基礎
第1章　電子數據取證概述 2
1.1　概述 2
1.1.1　成長期 2
1.1.2　快速發(fā)展 3
1.1.3　挑戰(zhàn) 4
1.1.4　數字取證的隱私風險 7
1.1.5　展望未來 7
1.2　電子數據取證的范疇及其重要性 8
1.3　電子證據 10
1.4　電子數據取證流程與技術 14
1.4.1　準備階段 16
1.4.2　犯罪現場階段 16
1.4.3　電子證據實驗室階段 18
1.5　電子數據取證的類型 20
1.6　有用的資源 23
1.7　練習題 27
參考文獻 28
第2章　計算機系統概論 30
2.1　計算機組成 30
2.2　數據表示 33
2.3　內存對齊和字節(jié)順序 35
2.4　實戰(zhàn)練習 38
2.4.1　設置實驗環(huán)境 38
2.4.2　練習題 38
附錄　如何使用gdb調試工具調試C程序 41
參考文獻 42
第3章　搭建取證工作站 43
3.1　TSK和Autopsy Forensics Browser 43
3.1.1　TSK 43
3.1.2　Autopsy Forensic Browser 45
3.1.3　Kali Linux中的TSK和Autopsy 47
3.2　虛擬化 47
3.2.1　為什么要虛擬化 48
3.2.2　有哪些虛擬機可供選擇 49
3.2.3　為什么選擇VMware虛擬化平臺 50
3.3　使用 Kali Linux 建立取證工作站 50
3.4　首次使用TSK進行電子數據檢驗 62
3.5　實戰(zhàn)練習 66
3.5.1　設置實驗環(huán)境 66
3.5.2　練習題 66
附錄A　在 Linux 中安裝軟件 72
附錄B　dcfldd備忘單 73
參考文獻 74
第二部分　文件系統取證分析
第4章　卷的檢驗分析 76
4.1　硬盤結構和磁盤分區(qū) 76
4.1.1　硬盤結構 77
4.1.2　磁盤分區(qū) 79
4.1.3　DOS分區(qū) 80
4.1.4　分區(qū)中的扇區(qū)尋址 85
4.2　卷分析 86
4.2.1　磁盤布局分析 86
4.2.2　分區(qū)連續(xù)性檢查 86
4.2.3　獲取分區(qū) 87
4.2.4　已刪除分區(qū)的恢復 87
4.3　實戰(zhàn)練習 89
4.3.1　設置實驗環(huán)境 89
4.3.2　練習題 89
4.4　提示 90
參考文獻 92
第5章　FAT文件系統檢驗分析 93
5.1　文件系統概述 94
5.2　FAT文件系統 99
5.2.1　分區(qū)引導扇區(qū) 100
5.2.2　文件分配表 103
5.2.3　FAT文件系統尋址 104
5.2.4　根目錄和目錄項 105
5.2.5　長文件名 108
5.3　實戰(zhàn)練習 112
5.3.1　設置實驗環(huán)境 112
5.3.2　練習題 112
5.4　提示 113
附錄A　FAT12 / 16分區(qū)引導扇區(qū)的數據結構 115
附錄B　FAT32分區(qū)引導扇區(qū)的數據結構 116
附錄C　LFN目錄項校驗和算法 116
參考文獻 117
第6章　FAT文件系統數據恢復 118
6.1　數據恢復原理 118
6.2　FAT文件系統中的文件創(chuàng)建和刪除 121
6.2.1　文件創(chuàng)建 121
6.2.2　文件刪除 123
6.3　FAT文件系統中刪除文件的恢復 123
6.4　實戰(zhàn)練習 125
6.4.1　設置實驗環(huán)境 125
6.4.2　練習題 125
6.5　提示 127
參考文獻 130
第7章　NTFS文件系統檢驗分析 131
7.1　NTFS文件系統 131
7.2　MFT 133
7.3　NTFS索引 140
7.3.1　B樹 140
7.3.2　NTFS 目錄索引 142
7.4　NTFS 高級特性 151
7.4.1　EFS 151
7.4.2　數據存儲效率 156
7.5　實戰(zhàn)練習 158
7.5.1　設置實驗環(huán)境 158
7.5.2　練習題 158
7.6　提示 159
7.6.1　在NTFS文件系統中查找MFT 159
7.6.2　確定一個給定MFT表項的簇地址 160
參考文獻 161
第8章　NTFS文件系統數據恢復 162
8.1　NTFS文件恢復 162
8.1.1　NTFS文件系統中的文件創(chuàng)建和刪除 163
8.1.2　NTFS文件系統中已刪除文件的恢復 168
8.2　實戰(zhàn)練習 169
8.2.1　設置實驗環(huán)境 169
8.2.2　練習題 170
參考文獻 171
第9章　文件雕復 172
9.1　文件雕復的原理 172
9.1.1　頭部/尾部雕復 173
9.1.2　BGC 176
9.2　文件雕復工具 180
9.2.1　Foremost 180
9.2.2　Scalpel 181
9.2.3　TestDisk和Photorec 182
9.3　實戰(zhàn)練習 189
9.3.1　設置實驗環(huán)境 189
9.3.2　練習題 189
參考文獻 190
第10章　文件指紋搜索取證 191
10.1　概述 191
10.2　文件指紋搜索過程 192
10.3　使用hfind進行文件指紋搜索 194
10.3.1　使用md5sum創(chuàng)建一個散列庫 194
10.3.2　為散列庫創(chuàng)建MD5索引文件 195
10.3.3　在散列庫中搜索特定的散列值 195
10.4　實戰(zhàn)練習 196
10.4.1　設置實驗環(huán)境 196
10