相關商品
商品簡介
名人/編輯推薦
目次
商品簡介
本書主要介紹計算機取證的相關概念和實踐,目的是幫助讀者通過完成各種實踐練習,獲得收集和保存數字證據的實踐經驗。本書共21章,每一章都集中於一個特定的取證主題,且由兩個部分組成:背景知識和實踐練習。本書以經驗為導向,包含了20個以探究為基礎的實踐練習,以幫助讀者更好地理解數字取證概念和學習數字取證調查技術。
本書適用於正在學習數字取證相關課程或從事數字取證研究的本科生和研究生。它還適用於數字取證從業者、IT安全分析師、IT安全行業的安全工程師,特別是負責數字調查和事件處理的IT專業人士或在這些相關領域工作的研究人員。
本書適用於正在學習數字取證相關課程或從事數字取證研究的本科生和研究生。它還適用於數字取證從業者、IT安全分析師、IT安全行業的安全工程師,特別是負責數字調查和事件處理的IT專業人士或在這些相關領域工作的研究人員。
名人/編輯推薦
知識新穎、體系完整、技術理論與實操良好結合的電子數據取證全新重磅教材
目次
推薦序
譯者序
前言
致謝
譯者簡介
第一部分 計算機系統和計算機取證基礎
第1章 電子數據取證概述 2
1.1 概述 2
1.1.1 成長期 2
1.1.2 快速發展 3
1.1.3 挑戰 4
1.1.4 數字取證的隱私風險 7
1.1.5 展望未來 7
1.2 電子數據取證的範疇及其重要性 8
1.3 電子證據 10
1.4 電子數據取證流程與技術 14
1.4.1 準備階段 16
1.4.2 犯罪現場階段 16
1.4.3 電子證據實驗室階段 18
1.5 電子數據取證的類型 20
1.6 有用的資源 23
1.7 練習題 27
參考文獻 28
第2章 計算機系統概論 30
2.1 計算機組成 30
2.2 數據表示 33
2.3 內存對齊和字節順序 35
2.4 實戰練習 38
2.4.1 設置實驗環境 38
2.4.2 練習題 38
附錄 如何使用gdb調試工具調試C程序 41
參考文獻 42
第3章 搭建取證工作站 43
3.1 TSK和Autopsy Forensics Browser 43
3.1.1 TSK 43
3.1.2 Autopsy Forensic Browser 45
3.1.3 Kali Linux中的TSK和Autopsy 47
3.2 虛擬化 47
3.2.1 為什麼要虛擬化 48
3.2.2 有哪些虛擬機可供選擇 49
3.2.3 為什麼選擇VMware虛擬化平臺 50
3.3 使用 Kali Linux 建立取證工作站 50
3.4 首次使用TSK進行電子數據檢驗 62
3.5 實戰練習 66
3.5.1 設置實驗環境 66
3.5.2 練習題 66
附錄A 在 Linux 中安裝軟件 72
附錄B dcfldd備忘單 73
參考文獻 74
第二部分 文件系統取證分析
第4章 卷的檢驗分析 76
4.1 硬盤結構和磁盤分區 76
4.1.1 硬盤結構 77
4.1.2 磁盤分區 79
4.1.3 DOS分區 80
4.1.4 分區中的扇區尋址 85
4.2 卷分析 86
4.2.1 磁盤佈局分析 86
4.2.2 分區連續性檢查 86
4.2.3 獲取分區 87
4.2.4 已刪除分區的恢復 87
4.3 實戰練習 89
4.3.1 設置實驗環境 89
4.3.2 練習題 89
4.4 提示 90
參考文獻 92
第5章 FAT文件系統檢驗分析 93
5.1 文件系統概述 94
5.2 FAT文件系統 99
5.2.1 分區引導扇區 100
5.2.2 文件分配表 103
5.2.3 FAT文件系統尋址 104
5.2.4 根目錄和目錄項 105
5.2.5 長文件名 108
5.3 實戰練習 112
5.3.1 設置實驗環境 112
5.3.2 練習題 112
5.4 提示 113
附錄A FAT12 / 16分區引導扇區的數據結構 115
附錄B FAT32分區引導扇區的數據結構 116
附錄C LFN目錄項校驗和算法 116
參考文獻 117
第6章 FAT文件系統數據恢復 118
6.1 數據恢復原理 118
6.2 FAT文件系統中的文件創建和刪除 121
6.2.1 文件創建 121
6.2.2 文件刪除 123
6.3 FAT文件系統中刪除文件的恢復 123
6.4 實戰練習 125
6.4.1 設置實驗環境 125
6.4.2 練習題 125
6.5 提示 127
參考文獻 130
第7章 NTFS文件系統檢驗分析 131
7.1 NTFS文件系統 131
7.2 MFT 133
7.3 NTFS索引 140
7.3.1 B樹 140
7.3.2 NTFS 目錄索引 142
7.4 NTFS 高級特性 151
7.4.1 EFS 151
7.4.2 數據存儲效率 156
7.5 實戰練習 158
7.5.1 設置實驗環境 158
7.5.2 練習題 158
7.6 提示 159
7.6.1 在NTFS文件系統中查找MFT 159
7.6.2 確定一個給定MFT表項的簇地址 160
參考文獻 161
第8章 NTFS文件系統數據恢復 162
8.1 NTFS文件恢複 162
8.1.1 NTFS文件系統中的文件創建和刪除 163
8.1.2 NTFS文件系統中已刪除文件的恢復 168
8.2 實戰練習 169
8.2.1 設置實驗環境 169
8.2.2 練習題 170
參考文獻 171
第9章 文件雕複 172
9.1 文件雕複的原理 172
9.1.1 頭部/尾部雕複 173
9.1.2 BGC 176
9.2 文件雕復工具 180
9.2.1 Foremost 180
9.2.2 Scalpel 181
9.2.3 TestDisk和Photorec 182
9.3 實戰練習 189
9.3.1 設置實驗環境 189
9.3.2 練習題 189
參考文獻 190
第10章 文件指紋搜索取證 191
10.1 概述 191
10.2 文件指紋搜索過程 192
10.3 使用hfind進行文件指紋搜索 194
10.3.1 使用md5sum創建一個散列庫 194
10.3.2 為散列庫創建MD5索引文件 195
10.3.3 在散列庫中搜索特定的散列值 195
10.4 實戰練習 196
10.4.1 設置實驗環境 196
10
譯者序
前言
致謝
譯者簡介
第一部分 計算機系統和計算機取證基礎
第1章 電子數據取證概述 2
1.1 概述 2
1.1.1 成長期 2
1.1.2 快速發展 3
1.1.3 挑戰 4
1.1.4 數字取證的隱私風險 7
1.1.5 展望未來 7
1.2 電子數據取證的範疇及其重要性 8
1.3 電子證據 10
1.4 電子數據取證流程與技術 14
1.4.1 準備階段 16
1.4.2 犯罪現場階段 16
1.4.3 電子證據實驗室階段 18
1.5 電子數據取證的類型 20
1.6 有用的資源 23
1.7 練習題 27
參考文獻 28
第2章 計算機系統概論 30
2.1 計算機組成 30
2.2 數據表示 33
2.3 內存對齊和字節順序 35
2.4 實戰練習 38
2.4.1 設置實驗環境 38
2.4.2 練習題 38
附錄 如何使用gdb調試工具調試C程序 41
參考文獻 42
第3章 搭建取證工作站 43
3.1 TSK和Autopsy Forensics Browser 43
3.1.1 TSK 43
3.1.2 Autopsy Forensic Browser 45
3.1.3 Kali Linux中的TSK和Autopsy 47
3.2 虛擬化 47
3.2.1 為什麼要虛擬化 48
3.2.2 有哪些虛擬機可供選擇 49
3.2.3 為什麼選擇VMware虛擬化平臺 50
3.3 使用 Kali Linux 建立取證工作站 50
3.4 首次使用TSK進行電子數據檢驗 62
3.5 實戰練習 66
3.5.1 設置實驗環境 66
3.5.2 練習題 66
附錄A 在 Linux 中安裝軟件 72
附錄B dcfldd備忘單 73
參考文獻 74
第二部分 文件系統取證分析
第4章 卷的檢驗分析 76
4.1 硬盤結構和磁盤分區 76
4.1.1 硬盤結構 77
4.1.2 磁盤分區 79
4.1.3 DOS分區 80
4.1.4 分區中的扇區尋址 85
4.2 卷分析 86
4.2.1 磁盤佈局分析 86
4.2.2 分區連續性檢查 86
4.2.3 獲取分區 87
4.2.4 已刪除分區的恢復 87
4.3 實戰練習 89
4.3.1 設置實驗環境 89
4.3.2 練習題 89
4.4 提示 90
參考文獻 92
第5章 FAT文件系統檢驗分析 93
5.1 文件系統概述 94
5.2 FAT文件系統 99
5.2.1 分區引導扇區 100
5.2.2 文件分配表 103
5.2.3 FAT文件系統尋址 104
5.2.4 根目錄和目錄項 105
5.2.5 長文件名 108
5.3 實戰練習 112
5.3.1 設置實驗環境 112
5.3.2 練習題 112
5.4 提示 113
附錄A FAT12 / 16分區引導扇區的數據結構 115
附錄B FAT32分區引導扇區的數據結構 116
附錄C LFN目錄項校驗和算法 116
參考文獻 117
第6章 FAT文件系統數據恢復 118
6.1 數據恢復原理 118
6.2 FAT文件系統中的文件創建和刪除 121
6.2.1 文件創建 121
6.2.2 文件刪除 123
6.3 FAT文件系統中刪除文件的恢復 123
6.4 實戰練習 125
6.4.1 設置實驗環境 125
6.4.2 練習題 125
6.5 提示 127
參考文獻 130
第7章 NTFS文件系統檢驗分析 131
7.1 NTFS文件系統 131
7.2 MFT 133
7.3 NTFS索引 140
7.3.1 B樹 140
7.3.2 NTFS 目錄索引 142
7.4 NTFS 高級特性 151
7.4.1 EFS 151
7.4.2 數據存儲效率 156
7.5 實戰練習 158
7.5.1 設置實驗環境 158
7.5.2 練習題 158
7.6 提示 159
7.6.1 在NTFS文件系統中查找MFT 159
7.6.2 確定一個給定MFT表項的簇地址 160
參考文獻 161
第8章 NTFS文件系統數據恢復 162
8.1 NTFS文件恢複 162
8.1.1 NTFS文件系統中的文件創建和刪除 163
8.1.2 NTFS文件系統中已刪除文件的恢復 168
8.2 實戰練習 169
8.2.1 設置實驗環境 169
8.2.2 練習題 170
參考文獻 171
第9章 文件雕複 172
9.1 文件雕複的原理 172
9.1.1 頭部/尾部雕複 173
9.1.2 BGC 176
9.2 文件雕復工具 180
9.2.1 Foremost 180
9.2.2 Scalpel 181
9.2.3 TestDisk和Photorec 182
9.3 實戰練習 189
9.3.1 設置實驗環境 189
9.3.2 練習題 189
參考文獻 190
第10章 文件指紋搜索取證 191
10.1 概述 191
10.2 文件指紋搜索過程 192
10.3 使用hfind進行文件指紋搜索 194
10.3.1 使用md5sum創建一個散列庫 194
10.3.2 為散列庫創建MD5索引文件 195
10.3.3 在散列庫中搜索特定的散列值 195
10.4 實戰練習 196
10.4.1 設置實驗環境 196
10
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。