Windows取证

译者序

作者简介

出品团队

致谢

第1章Windows取证

1.1企业计算机取证分析师

1.2Windows取证

1.3人、程序和工具

1.4计算机取证：当前和未来

1.5补充参考资源

第2章处理数字犯罪现场

2.1确认现场

2.2执行远程调查

2.3保护现场

2.4记录现场

2.5处理物理证据现场

2.6处理数字证据现场

2.7保管链

2.8最佳证据

2.9与执法机关共事

2.10补充参考资源

第3章Windows取证基础

3.1历史和版本

3.1.1MS.DOS

3.1.2Windows1.x、2.x和3.x

3.1.3WindowsNT雨IIWindows2000

3.1.4Windows95／98／Me

3.1.5WindowsXP／2003

3.2非易失性存储器

3.2.1软盘

3.2.2磁带

3.2.3CD和DVD-

3.2.4USB闪存驱动器

3.2.5硬盘

3.3补充参考资源

第4章分区和文件系统

4.1主引导记录

4.2Windows文件系统

4.2.1FAT

4.2.2VFAT

4.2.3NITS

4.3补充参考资源

第5章目录结构和特殊文件

5.1WindowsNI／2000／XP

5.1.1目录

5.1.2文件

5.2Windows9x

5.2.1目录

5.2.2文件

5.3补充参考资源

第6章注册表

6.1历史

6.2注册表基础知识

6.3注册表分析

6.3.1常规注册表键

6.3.2文件夹位置

6.3.3自启动项目

6.3.4智能表单

6.4高级注册表分析

6.5补充参考资源

第7章取证分析

第8章系统联机分析

8.1隐秘分析

8.1.1系统状态分析

8.1.2监控

8.2公开分析

8.2.1基于GUI的公开分析

8.2.2本地命令行分析

8.2.3远程命令行分析

8.2.4基本信息收集

8.2.5系统状态信息

8.2.6运行程序的信息

8.2.7主存分析

8.3补充参考资源

第9章取证复制

9.1硬盘复制

9.1.1原地复制

9.1.2直连复制

9.2日志文件复制

9.3补充参考资源

第10章文件系统分析

10.1搜索

10.1.1索引搜索

10.1.2按位搜索

10.1.3搜索方法

10.2散列分析

10.2.1正散列分析

10.2.2反散列分析

10.3文件恢复

10.4特殊文件

10.4.1打印队列文件

10.4.2Windows快捷方式

10.4.3分页文件

10.5补充参考资源

第11章日志文件分析

11.1事件日志

11.1.1应用程序日志

11.1.2系统日志

11.1.3安全日志

11.2因特网日志

11.2.1HTTP日志

11.2.2FTP日志

11.2.3SMTP日志

11.3补充参考资源

第12章因特网使用分析

12.1网络活动

12.1.1IE浏览器

12.1.2Firefox

12.1.3工具栏历史

12.1.4网络、代理和DNS历史记录

12.2对等网络

12.2.1Gnutella客户端

12.2.2Limewire

12.2.3Fasfrrack客户端

12.2.4Overact、eMule、eDonkey2000客户端

12.3即时消息

12.3.1AOI。InstantMessenger

12.3.2MicrosoftMessenger

12.4补充参考资源

第13章电子邮件调查

13.10utlOOk／0utlOOkExoress

13.1.1OutlookExpress

13.1.2Outlook

13.2LotusNotes

13.2.1获取

13.2.2访问控制与日志记录

13.2.3分析

13.2.4地址簿

13.3补充参考资源

附录1保管链表格的样例

附录2主引导记录的结构

附录3分区类型

附录4FAT32引导扇区的结构

附录5NTFS引导扇区结构

附录6NTFS元文件

附录7常见的安全标识符

　　本书主要论述使用极为广泛的Windows系统平台的计算机取证问题，从理论、实践、技术等多角度进行详细的阐述，给出了在目标机和分析工具方面均立足于windows平台的指南，旨在为UNIX／Linux专家提供Windows操作系统中适合取证分析的工作细节，为那些希望进入计算机取证世界的Windows专家们提供坚实的基础，让更多的取证爱好者得以借由本书进入Windows取证这个充满魅力和挑战的领域。本书适合不同层次读者使用：企业网络安全管理人员、网络(监察)警察、本科生、研究生、科研教学人员及广大计算机使用及爱好者。具体而言，本书不但适合信息安全领域的企业实践人员使用，也适合该领域科研人员使用，同时也适合于在企业、高校内进行计算机取证人才培训，包括作为企业安全管理员和取证分析师培训教材，高校信息安全专业的本科生、研究生专业课教材，或计算机、信息技术等相相关专业的本科生和研究生(尤其是工程硕士)等选修课教材。　　本书主要论述Windows系统平台的计算机取证问题，从理论、实践、技术等多角度进行详细阐述，给出了在目标机和分析工具方面均立足于Windows平台的操作指南，旨在为UNIX／Linux专家提供Windows操作系统中适合取证分析的工作步骤，为那些希望进入计算机取证世界的Windows专家们提供坚实的基础，让更多的取证爱好者得以借助本书进入Windows取证这个充满魅力和挑战性的领域。作者简介：　　ChadSteel调查了300多起计算机安全事件，具有丰富的经验。在美国宾夕法尼亚州的工程师培养计划中，他作为兼职教师设立并承担了研究生课程“计算机取证”，并且为美国联邦和地方执法机关、商业客户和研究生提供取证分析方面的指导。他曾任一家全球百强企业的IT调查负责人，以及一个全球财富百强企业顾问组的首席安全官和负责系统集成与安全服务的业务主管。Chad拥有计算机工程专业的本科和硕士学位，目前正在攻读美国弗吉尼亚理工大学的博士学位，其联系方式为：csteel@yahoo.tom。