计算机取证与司法鉴定

第1章 计算机取证与司法鉴定概论

1.1 计算机取证与司法鉴定

1.1.1 计算机取证

1.1.2 计算机司法鉴定

1.1.3 计算机取证与司法鉴定的研究现状

1.1.4 国内外在该学科领域已经取得的成果和进展

1.1.5 计算机取证与司法鉴定的证据效力和法律地位

1.1.6 计算机取证与司法鉴定的特点

1.1.7 计算机取证与司法鉴定的业务类型

1.2 计算机取证与司法鉴定原则

1.2.1 国内外的计算机取证与司法鉴定原则评介

1.2.2 计算机取证与司法鉴定原则

1.2.3 国外的计算机取证过程模型

1.3 计算机取证与司法鉴定的实施

1.3.1 实施步骤

1.3.2 计算机证据的显示与质证

1.4 计算机取证与司法鉴定的发展趋势及分析

1.4.1 主机证据保全、恢复和分析技术

1.4.2 网络数据捕获与分析、网络追踪

1.4.3 主动取证技术

1.4.4 计算机证据法学研究

1.5 小结

习题

参考文献

第2章 计算机取证与分析鉴定相关的法学问题

2.1 电子证据概述

2.1.1 电子证据的界定

2.1.2 电子证据的特点

2.1.3 电子证据的法律定位

2.1.4 电子证据的可采标准

2.2 司法鉴定

2.2.1 司法鉴定概述

2.2.2 司法鉴定人

2.2.3 司法鉴定机构和司法鉴定法律制度

2.2.4 司法鉴定原则和方法

2.2.5 鉴定意见

2.2.6 司法鉴定的程序

2.2.7 实验室认可

2.3 直接证据与间接证据

2.3.1 直接证据和间接证据的概念

2.3.2 直接证据与间接证据的特点

2.3.3 直接证据与间接证据的运用

2.3.4 电子证据与直接证据和间接证据

2.4 信息网络安全的法律责任制度

2.4.1 刑事责任

2.4.2 行政责任

2.4.3 民事责任

2.5 小结

习题

参考文献

第3章 数据恢复基础

3.1 数据恢复

3.2 数字证据调查过程

3.3 硬盘结构

3.3.1 硬盘外部结构

3.3.2 硬盘内部结构

3.3.3 硬盘逻辑结构

3.4 硬盘数据组织

3.4.1 低级格式化

3.4.2 分区

3.4.3 硬盘的高级格式化

3.4.4 硬盘数据存储区域

3.5 NTFS文件系统

3.5.1 NTFS的DBR

3.5.2 NTFS的元文件

3.5.3 NTFS的元文件与DBR参数的关系

参考文献

第4章 从硬盘中恢复和提取数据

4.1 MBR修复

4.2 分区恢复实例

4.3 DBR及FAT恢复实例

4.4 DATA恢复实例

参考文献

第5章 计算机取证与司法鉴定的基础

5.1 数据加密

5.1.1 密码学

5.1.2 传统加密算法

5.1.3 对称加密体系

5.1.4 公钥密码体系

5.1.5 散列函数

5.2 数据隐藏

5.2.1 信息隐藏原理

5.2.2 数据隐写术

5.2.3 数字水印

5.3 入侵与追踪

5.3.1 入侵与攻击手段

5.3.2 追踪手段

5.4 计算机取证与分析鉴定准备

5.4.1 针对具体案例制定相应的响应计划

5.4.2 设备准备

5.4.3 保护现场和现场勘查

5.5 计算机取证与分析鉴定设备

5.5.1 计算机取证与分析鉴定硬盘拷贝机

5.5.2 计算机取证与分析鉴定便携专用机

5.5.3 计算机取证与分析鉴定设备接口套件

5.6 密码破解

5.6.1 密码破解原理

5.6.2 一般密码破解方法

5.6.3 分布式网络密码破解

5.6.4 密码破解的应用部分

5.7 计算机证据的检验、分析与推理

5.7.1 计算机证据的鉴定

5.7.2 计算机证据的分析

5.7.3 计算机证据的推理

5.7.4 证据跟踪

5.7.5 结果提交

5.7.6 计算机取证与分析鉴定工具

5.8 小结

习题

参考文献

第6章 Windows系统的计算机取证和司法鉴定

6.1 Windows系统现场证据获取

6.1.1 固定证据

6.1.2 深入获取

6.2 Windows系统中电子证据获取

6.2.1 日志

6.2.2 文件和目录

6.2.3 注册表

6.2.4 进程列表

6.2.5 网络轨迹

6.2.6 系统服务

6.2.7 用户分析

6.3 证据获取/工具使用实例

6.3.1 EnCase

6.3.2 MD5校验值计算工具MD5sum

6.3.3 进程工具pslist

6.3.4 注册表工具Autoruns

6.3.5 网络查看工具fport和netstat

6.3.6 服务工具psservice

6.4 小结

习题

参考文献

第7章 UNIX/Linux系统的计算机取证与司法鉴定

7.1 UNIX/Linux操作系统概述

7.1.1 UNIX/Linux操作系统发展简史

7.1.2 UNIX/Linux系统组成

7.2 UNIX/Linux系统中电子证据的获取

7.2.1 UNIX/Linux现场证据获取

7.2.2 屏幕信息的获取

7.2.3 内存及硬盘信息的获取

7.2.4 进程信息

7.2.5 网络连接

7.3 Linux系统中的计算机证据的分析

7.3.1 数据预处理

7.3.2 日志文件

7.3.3 其他信息源

7.4 UNIX/Linux平台的电子证据处理工具

7.4.1 The Coroners Toolkit

7.4.2 Sleuth Kit

7.4.3 Autopsy

7.4.4 SMART for Linux

7.5 小结

习题

参考文献

第8章 网络取证

8.1 网络取证的定义和特点

8.1.1 网络取证的定义

8.1.2 网络取证的特点

8.2 TCP/IP基础

8.2.1 OSI开放系统互连参考模型

8.2.2 应用层

8.2.3 传输层

8.2.4 IP层

8.2.5 硬件层

8.2.6 网络取证中层的重要性

8.3 网络取证数据源

8.3.1 防火墙和路由器

8.3.2 数据包嗅探器和协议分析器

8.3.3 入侵检测系统

8.3.4 远程访问

8.3.5 安全事件管理软件

8.3.6 网络取证分析工具

8.3.7 其他来源

8.4 收集网络通信数据

8.4.1 技术问题

8.4.2 法律方面

8.5 检查和分析网络通信数据

8.5.1 辨认相关的事件

8.5.2 检查数据源

8.5.3 得出结论

8.5.4 攻击者的确认

8.5.5 建议

8.6 网络取证实例

8.6.1 发现攻击

8.6.2 初步分析

8.6.3 现场重建

8.6.4 取证分析

8.7 小结

习题

参考文献

第9章 木马取证与分析鉴定

9.1 木马简介

9.1.1 木马的定义

9.1.2 木马的特性

9.1.3 木马的种类

9.1.4 木马的发展现状

9.2 木马的基本结构和原理

9.2.1 木马的原理

9.2.2 木马的植入

9.2.3 木马的自启动

9.2.4 木马的隐藏和Rootkit

9.2.5 木马的感染现象

9.2.6 木马的检测

9.3 木马取证

9.3.1 取证的基本知识

9.3.2 识别木马

9.3.3 证据提取

9.3.4 证据分析

9.4 典型案例分析

9.4.1 PC-share

9.4.2 灰鸽子

9.4.3 广外男生

9.4.4 驱动级隐藏木马

9.5 小结

习题

参考文献

第10章 手机取证

10.1 手机取证概述

10.1.1 手机取证的背景

10.1.2 手机取证的概念

10.1.3 手机取证的原则

10.1.4 手机取证的流程

10.1.5 手机取证的发展方向

10.2 手机取证的基础知识

10.2.1 移动通信相关知识

10.2.2 SIM卡的相关知识

10.2.3 手机相关知识

10.3 手机取证工具

10.3.1 便携式手机取证箱CellDEK

10.3.2 XRY系统

10.4 小结

习题

参考文献

第11章 计算机取证与司法鉴定案例

11.1 计算机取证与司法鉴定模型和流程

11.1.1 计算机取证与司法鉴定模型

11.1.2 计算机取证与司法鉴定流程

11.2 “熊猫烧香”案件的司法鉴定

11.3 计算机软件侵权的司法鉴定研究

11.4 少女被杀案计算机线索获取研究

11.5 全国首例网站联盟诈骗案件的鉴定与启示

附录A 鉴定意见书的格式

附录B Phase 2+SIM（16K EEPROM）卡基本文件规格（支持STK功能）

本书介绍了计算机取证与司法鉴定的国内外研究概况和发展趋势，分析了计算机取证与司法鉴定的证据效力和法律地位，指出了计算机取证与司法鉴定的特点和业务类型，阐述了计算机取证与司法鉴定的原则和过程模型，论述了计算机取证与司法鉴定的实施过程，介绍了常用的几种计算机取证与司法鉴定设备和分析工具，讨论了Windows和UNIX/Linux系统的计算机取证和司法鉴定，探讨了网络取证与司法鉴定、木马取证与司法鉴定和手机取证与司法鉴定。最后，本书介绍了笔者亲自主持的几个典型案例。本书通俗易懂，注重可操作性和实用性，通过对典型实例进行分析，使读者能够举一反三。本书适用于计算机学院和法学院的本科生和研究生，也可以作为培训教材；对于法学理论研究者、司法和执法工作者、律师、司法鉴定人和IT行业人士，也具有良好的参考价值。本书得到以下项目的资助：国家社会科学基金项目（07BFX062）、湖北省自然科学基金项目（[2007]083）、湖北省教育科学“十一五”规划课题（鄂教办[2006]28号）、公安部应用创新计划项目（公科研[2005]246号）、公安部公安理论及软科学研究计划项目（公科研[2005]245号），公安部公安理论及软科学研究计划项目（2008年）。

本书通俗易懂，注重可操作性和实用性，通过对典型实例进行分析，使读者能够举一反三。《计算机取证与司法鉴定》适用于计算机学院和法学院的本科生和研究生，也可以作为培训教材；对于法学理论研究者、司法和执法工作者、律师、司法鉴定人和IT行业人士，也具有良好的参考价值。