本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者更好地理解数字取证概念和学习数字取证调查技术。
本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。

知识新颖、体系完整、技术理论与实操良好结合的电子数据取证全新重磅教材。
国际电子数据取证专家撰写，译者团队亦均为国内电子数据取证领域极富经验的专家。

互联网技术正以难以想象的速度发展。借助不断发展的互联网技术，我们跨入了全新的数字时代。数字技术不断改变着我们的生活状态并提高了我们的生活质量，因为它兼备速度和性能，使我们可以用相对较低的成本处理各种不同类型的事务。无论你是否意识到，实际上现在几乎所有人都在依赖互联网更有效地完成各自的日常事务：转账汇款、网上冲浪、即时通信、收发邮件、分享信息等。
但不幸的是，墨菲定律也随着互联网技术的发展变得更明显：“每一个解决方案都会带来一系列新的问题。”有组织的犯罪集团以及其他利用互联网技术非法获利的个人也发现了互联网技术中存在的机会。拒绝服务攻击、网站破坏、电信诈骗、洗钱、勒索等网络犯罪活动已经逐步浮出水面。我们不断地听到全球诸多金融、政府机构被黑客入侵以及个人信息泄露并被滥用的新闻。网络犯罪已成为我们所有人都必须面对的现实问题。据预测，网络犯罪将呈全球化蔓延的趋势，全球每年在对抗网络犯罪中的损失达数十亿美元。
为了有效地打击网络犯罪，执法人员不仅要根据犯罪行为找到嫌疑人，还必须能够向法庭提供令人信服的电子数据证据，以便将罪犯绳之以法。这些电子证据包括计算机日志文件、电子邮件、电子化的财务数据、电子表格等资料。如果这些电子证据已经被删除，则要尽可能采用技术手段恢复。研究表明，大多数电子证据都可以从各种常用电子设备中获得，例如，计算机、数码相机、行车记录仪，以及3G/4G/5G手机等。
在一个案件中，阿拉斯加前州长Sarah Palin的电子邮件账户被田纳西州的一名学生入侵。嫌疑人重置了Palin的电子邮件账户密码，并将修改后的密码发布在论坛上。FBI通过追踪犯罪嫌疑人的数字足迹，最终找到了他的居住地点。这些证据对于帮助联邦检察官进一步获得必要的数字证据并逮捕嫌疑人至关重要，即使嫌疑人曾经在其笔记本电脑上删除、修改、隐藏和覆盖了文件，也依然会遗留部分痕迹。
没有人可以单独和网络犯罪进行战斗，技术的发展速度也远远超过法律所能适应的范围。传统的法庭科学虽然具有不可估量的价值，但却无法应对新出现的网络犯罪浪潮。最终，一个令人激动的法庭科学新分支—电子数据取证技术出现了。
电子数据取证调查是一系列相互依赖和关联的过程，是采用技术来研究和重建导致电子数据处于当前状态的事件过程。电子数据包括（但不限于）计算机系统数据（例如，软件应用程序和数据库）、数据存储设备（例如，硬盘、CD、DVD和USB存储设备）中的数据、电子文档（例如，电子表格、文档、电子邮件和图像）。电子数据的容量可以与整个互联网一样大，也可以只有一个字节那样小。通过技术方法检验电子数据，调查人员可以向法院提供值得信赖、令人满意且受法律认可的证据，并提供与犯罪事件相关问题的答案。
与已存在多年的传统物证鉴定分析不同，电子数据取证作为一门新的学科，必须克服许多挑战才能在国际上被广泛接受。这些挑战包括：
（a） 因为电子数据很容易被删除或更改，因此收集电子证据的过程可能会改变证据本身，使其成为法院所不接受的非法证据。因此，办案人员必须保持证据的原始状态，并证明电子证据在采集前后没有发生任何更改。
（b） 取证目标的容量不断增长，电子数据取证技术的复杂性不断提高，实际案件中可能需要数百GB甚至TB级的容量来存储必要的证据。
（c） 技术的发展速度总是快过法律的完善速度，因此网络犯罪分子可以充分利用“法律体系的漏洞”，并利用新技术开展不道德活动。但是，从技术上讲，这些活动可能还是“合法的”，因为此时的法律还不够完善，尚没有对应的法条来应对新技术所带来的新问题。这可能成为公诉人和律师的绊脚石。
作为一门新兴学科，电子数据取证技术并不为人所熟知。但随着越来越多的企业和个人需要寻求有关网络犯罪事件的真相，人们对电子数据取证的兴趣也在不断提高。网络犯罪可以在世界的任何地方实施。越来越多的民事或刑事案件涉及电子数据，而训练有素的专业取证调查人员却远远不够。对于高校来说，为了让学生做好充分的准备并能够以适用的工具来打击网络犯罪，开设电子数据取证课程已经迫在眉睫。
《荀子·儒效篇》中说：“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之。学至于行之而止矣。”我坚信，在网络安全教育中，要培养出优秀的学生，理论知识和动手实践都是必不可少的。在电子数据取证课程中，我的这种教学方法吸引了很多学生，也为他们提供了很多帮助。学生们知道了为什么需要学习这门学科，也了解了涉及这门学科的各方面知识。最重要的是，老师要教学生如何将课堂上学到的知识和技能运用到现实生活中去。我尝试通过案例分析和实验练习将理论与实际联系起来，以帮助学生更好地学习取证知识。这样一来，他们得到的是实践经验和理论结合的全方位学习体验，而不仅仅是如何应用公式得到结果。例如，在网络环境中使用地址解析协议（ARP）欺骗的中间人（Man-In-The-Middle, MITM）攻击是一种经典但复杂的网络攻击。精美的课件可能会对学生的学习有所帮助，但不一定能够在课堂上获得学生的关注和互动。为了提高课堂效果并鼓励同学之间进行合作，在对ARP欺骗和中间人攻击进行理论解释之后，可以在课堂上现场演示ARP欺骗和中间人攻击。通过显示攻击的不同阶段的ARP表，向学生展示ARP通过捕获的网络流量在攻击前后的工作原理，以及参与的计算机在攻击过程中的各种行为。这样，学生可以自己实践在课堂上刚刚学到的知识。在过去的十年中，我曾在加拿大的几所大学中教授过电子数据取证、网络攻防技术、软件安全等方面的课程。我在教学过程中开发了许多动手实践练习，以加深学生对课堂上引入的信息安全和电子数据取证的概念的理解，提高学生对网络安全和取证技术的兴趣。本书源于我在加拿大安大略理工大学（UOIT）开设的电子数据取证课程，目的是帮助学生更好地理解电子数据取证，并通过完成各种实验练习来获得采集、固定和分析电子证据方面的实操能力。本书中涉及一些实验练习，可以帮助学生更好地理解电子数据取证的概念和取证调查技术，理解这个解决网络犯罪问题的快速发展的新学科。
实验环境
尽管本书中的所有实验练习都可以在物理计算机上进行，但我们采用了虚拟化教学，并使用可以公开下载的免费的Kali Linux虚拟机构建取证工作站，供学生实验本书中的所有练习。虚拟化是使用一台计算机硬件，在一个操作系统中运行其他操作系统的技术。这是一种可以在一台计算机上同时运行多个操作系统的方法，它使得每个操作系统都能够独立运行并进行完全不同的工作。
在虚拟化中有两个主要组件：第一个是主机，即运行虚拟化程序的物理机；第二个是客户机，即虚拟机。
使用虚拟化或预配置的Kali Linux虚拟机有两个优点：
第一，我们可以节省反复配置设备和软件的时间。如果一个问题无法解决，我们总是可以回滚到某一次快照并重新开始，直到问题解决为止。换句话说，我们可以拥有一个根据特定需求而保存、删除、备份的系统环境。通过使用虚拟化，我们可以始终拥有一个干净、可运行的虚拟机镜像的副本，这对于取证教学非常有用。
第二，所有学生都有相同的练习环境，可以很好地进行控制。我们可以很容易地对学生的练习环境进行故障排除和诊断。
本书章节组织
本书分为六部分，共21章。第1章讨论电子数据取证的基本概念。其余章都由两部分组成，即背景知识和实验练习。每个理论或背景知识部分均包含一些习题，旨在测试学生对学习内容的理解。这些练习主要用来帮助学生掌握如何应用背景知识中介绍的基本概念。
下面的流程图展示了本书的章节组织。

本书各部分的摘要如下。
第一部分（第1～3章）着重介绍在学习电子数据取证技术和完成本书中的取证练习之前所需的基本计算机技能。第1章介绍电子数据取证的基础知识，以及为什么电子数据取证技术很重要。第2章回顾计算机系统中的一些基本概念，这些概念对于了解电子数据取证技术的工作原理至关重要。如果你已经非常熟悉计算机的体系结构，可以直接跳到下一章。第3章介绍如何利用开源的电子数据取证工具构建自己的取证分析工作站。
第二部分（第4～13章）讨论文件系统取证分析。该部分涉及最常见的电子证据来源，如各种计算机存储设备。硬盘就是一种存储设备，可以划分为多个分区。每个分区在保存数据之前可以格式化为不同的文件系统，例如，FAT和NTFS。该部分内容可以与Brian Carrier编写的File System Forensics Analysis结合使用。对于那些需要深入研究文件系统分析技术的读者来说，File System Forensics Analysis是一本极好的参考书。总之，该部分内容可以配合额外的动手练习，以帮助学生更好地掌握文件系统取证的技能和知识。第4章讨论磁盘分区的概念并学习卷的分析技术。第5章描述对FAT文件系统的检验分析方法，并介绍文件系统的概念。第6章讨论如何基于文件系统元数据恢复FAT文件系统中已删除的数据。第7章介绍NTFS文件系统的取证分析技术。第8章讨论如何基于文件系统元数据恢复NTFS文件系统中已删除的数据。第9章介绍文件雕复技术，即在缺少文件系统元数据时，如何恢复已删除的文件。第10章介绍关键字搜索取证技术。第11章讨论文件签名搜索取证技术。第12章讨论时间线分析。第13章讨论数据隐藏和检测技术。
第三部分（第14章）介绍日志取证分析。第14章涉及计算机系统中日志文件的取证分析，这是电子证据的另一个重要来源。
第四部分（第15～17章）介绍移动终端取证。第15章讨论基于Android操作系统的设备的取证分析。第16章介绍全球定位系统（GPS）的取证分析。第17章介绍SIM卡数据的取证分析。
第五部分（第18和19章）与恶意代码分析有关。第18章介绍恶意代码分析。第19章介绍对勒索软件的取证分析。
第六部分（第20和21章）侧重多媒体取证。第20章介绍数字图像伪造和检测技术的基础知识。第21章讨论图像隐写术和隐写分析的原理。
参考材料
实验指导手册、章节练习和答案、实验案例镜像文件可联系cdf@cflab.net咨询获取方法。

林晓东
于加拿大安大略省滑铁卢

计算机\安全

受高科技的冲击，利用信息技术进行的犯罪数量急剧增长，为了适应打击新型犯罪的需要，提升司法人员的电子数据取证能力势在必行。“板凳要坐十年冷，文章不写一句空”。本书紧密结合电子数据取证工作实际，既考虑了电子数据取证的知识体系，又尊重了学习和取证实践的规律，按照理论和技术并重的编写思路，将理论与实践完美结合，带给读者全面的电子数据取证理论和实用的技术方法。相信本书一定能够成为广大司法工作人员电子数据取证的工作指南，以及公安、政法院校电子数据取证教学最适用的教材或学习用书。
—— 胡向阳 中南财经政法大学

互联网发展至今，人们不断认识到电子数据取证技术对于打击网络犯罪的重要性。本书的作者高度概括了这门课程的精髓和教学技巧，各位译者又及时、准确地将译本呈献给了广大读者，他们本身都是在电子数据取证领域摸爬滚打多年、富有实战经验的专家，我相信读者将从本书中获益良多！　　
　　　　　　　　　　—— 许榕生 原中科院高能所网络安全实验室研究员

近几年来，我们把目光和精力更多地放在司法实践中，并因此而疲于奔命，郭永健老师及其团队再一次用实际行动提醒我们：抬头看路，依然很重要。
—— 赵宪伟 最高人民检察院检察技术信息研究中心

电子证据是解码数字时代犯罪的钥匙。打开本书，可以掌握实战型取证精髓，提升信息化办案技能。
—— 刘品新 中国人民大学法学院教授、博士生导师

本书是近年来知识新颖、体系完整、技术理论与实操结合较好的电子数据取证专著，语言通俗易懂，五星推荐。
—— 田庆宜 重庆市公安局电子物证司法鉴定中心主任

[加] 林晓东（Xiaodong Lin） 著：林晓东（Xiaodong Lin），北京邮电大学信息工程专业博士，滑铁卢大学电子与计算机工程专业博士。他目前是加拿大圭尔夫大学计算机科学学院副教授，主要研究方向为无线通信与网络安全、计算机取证、软件安全、应用密码学。在过去的几年里，他的研究重点是保护车载自组网（VANET）。他因在车辆通信安全和隐私保护方面的贡献而被提升为IEEE会士。此外，他一直在研究数字取证，并在数字取证领域的研究会议DFRWS USA 2018上介绍了Android应用程序自动取证分析方面的工作。
他是多个国际期刊的副主编，曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑，还担任IEEE/ACM会议的研讨会主席或分会主席。他曾任IEEE通信协会（ComSoc）通信与信息安全技术委员会（CISTC）主席。他也是一名认证信息系统安全专家（CISSP）。

随着信息技术的飞速发展，网络空间已经成为与人类密切相关的空间之一，网络空间的拓展使得虚拟空间逐渐成型，为人类活动提供了新的实践形式。由于其便捷性，人们在衣食住行、办公、社交、财务管理等方面也越来越依赖于网络。但新空间的出现也带来了很多新问题，比如网络犯罪。国无法不立，民无法不治。这需要有针对性地建立新秩序，而网络空间秩序的建立更需要信息技术的支撑。
当前，各类信息系统和应用在为人们带来便利的同时，也记录了人们在网络空间中传递的信息。一旦发生纠纷或犯罪，相关电子数据就会成为重要的证据，电子数据取证学作为计算机科学和法学的交叉学科应运而生。电子数据取证技术是打击信息技术犯罪的一项重要手段，该技术将计算机系统视为犯罪现场，运用先进的技术工具，按照专业的流程和规范固定电子数据，提取并剖析与计算机犯罪相关的证据，进而提起诉讼。2013年起，我国新刑事讼诉法中将“电子数据”正式列为证据种类之一。电子证据具有与一般犯罪证据不同的特点。计算机证据具有脆弱性、不可靠性、默认形式的多样性等，所以获取可靠的电子证据是网络犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。电子数据取证技术的研究变得越来越重要，美国至少有70%的司法部门拥有自己的电子数据取证实验室，我国公检法司等各部门也纷纷成立了专属的电子数据取证实验室。
相对于其他信息技术，电子数据取证技术的发展也面临着一些困难和挑战：1）受众聚焦于公检法司等相关部门，其本质在于发现和恢复隐私信息，所以需要有授权才可以合法开展；
2）技术门槛较高，需要对计算机和信息系统底层有较为深刻、清晰的认识和理解，所以专业的电子数据取证研发人才数量远远无法满足实际需求。
为了培养更多高水平的电子数据取证人才，武汉大学国家网络安全学院开设了“电子数据取证”课程。通过调研，我们发现国内电子数据取证相关的书籍较少，合适高校的教材更少。当看到加拿大安大略理工大学（UOIT）林晓东教授的这本书时，我们发现这正是我们所需要的。本书深入浅出地讲解了电子数据取证的基本原理，结合电子数据取证实践性强的特点，通过实际的案例分析和实践练习将理论与实际联系起来，帮助学生更好地学习和掌握取证知识。相信通过学习本书，大家收获的不仅仅是电子数据取证的理论知识，也会在实践能力上有显著的提升。
本书的翻译是众人合力完成的，在此首先感谢原书的作者林晓东教授在翻译过程中给予的大力支持，感谢合译者—武汉天宇宁达科技有限公司郭永健、湖北警官学院张俊、武汉大学何琨、四川警察学院宋杰，以及陈默、王佳慧、廖鑫、杨淑芳、穆小旭、杨凯敏、夏晓光、夏晓明、皮浩、孙阳、Nice、郑春燕、陈裕铭、王跃雄、胡玄宇、朱勇宇、杨宏伟。没有他们的辛勤付出，就不会有此译著。希望本书可以为对电子数据取证感兴趣的高校学生或者技术研发人员提供知识和经验，同时，希望我国的电子数据取证技术能够快速发展，为我国网络空间的秩序建立保驾护航。

陈　晶
2021年9月于武汉大学珞珈山

随着大数据、互联网、人工智能时代的到来，以数字化、网络化、智能化为主要特征的创新浪潮一浪高过一浪，现代科技正在推动社会变革和进步，同时也深刻影响着司法办案的模式、证据类型和证据规则。受高科技的冲击，利用信息技术进行的犯罪数量急剧增长，为了适应打击新型犯罪的需要，提升司法人员的电子数据取证能力势在必行。
“板凳要坐十年冷，文章不写一句空”。本书首先讨论了电子数据取证的基本概念、基本理论、工作原理和基本技能；其次，系统全面地介绍了不同文件系统的取证分析方法；最后，具体介绍了日志、移动终端、Android操作系统设备、GPS、SIM卡、恶意代码、勒索软件等的取证分析方法。作者融合了电子数据取证理论和实践的最新成果，全面介绍了目前国内外主流的电子数据取证技术。
总的来说，本书紧密结合电子数据取证工作实际，既考虑了电子数据取证的知识体系，又尊重了学习和取证实践的规律，按照理论和技术并重的编写思路，将理论与实践完美结合，带给读者全面的电子数据取证理论和实用的技术方法。相信本书一定能够成为广大司法工作人员电子数据取证的工作指南，以及公安、政法院校电子数据取证教学最适用的教材或学习用书。

胡向阳　中南财经政法大学

推荐序
译者序
前言
致谢
译者简介
第一部分　计算机系统和计算机取证基础
第1章　电子数据取证概述 2
1.1　概述 2
1.1.1　成长期 2
1.1.2　快速发展 3
1.1.3　挑战 4
1.1.4　数字取证的隐私风险 7
1.1.5　展望未来 7
1.2　电子数据取证的范畴及其重要性 8
1.3　电子证据 10
1.4　电子数据取证流程与技术 14
1.4.1　准备阶段 16
1.4.2　犯罪现场阶段 16
1.4.3　电子证据实验室阶段 18
1.5　电子数据取证的类型 20
1.6　有用的资源 23
1.7　练习题 27
参考文献 28
第2章　计算机系统概论 30
2.1　计算机组成 30
2.2　数据表示 33
2.3　内存对齐和字节顺序 35
2.4　实战练习 38
2.4.1　设置实验环境 38
2.4.2　练习题 38
附录　如何使用gdb调试工具调试C程序 41
参考文献 42
第3章　搭建取证工作站 43
3.1　TSK和Autopsy Forensics Browser 43
3.1.1　TSK 43
3.1.2　Autopsy Forensic Browser 45
3.1.3　Kali Linux中的TSK和Autopsy 47
3.2　虚拟化 47
3.2.1　为什么要虚拟化 48
3.2.2　有哪些虚拟机可供选择 49
3.2.3　为什么选择VMware虚拟化平台 50
3.3　使用 Kali Linux 建立取证工作站 50
3.4　首次使用TSK进行电子数据检验 62
3.5　实战练习 66
3.5.1　设置实验环境 66
3.5.2　练习题 66
附录A　在 Linux 中安装软件 72
附录B　dcfldd备忘单 73
参考文献 74
第二部分　文件系统取证分析
第4章　卷的检验分析 76
4.1　硬盘结构和磁盘分区 76
4.1.1　硬盘结构 77
4.1.2　磁盘分区 79
4.1.3　DOS分区 80
4.1.4　分区中的扇区寻址 85
4.2　卷分析 86
4.2.1　磁盘布局分析 86
4.2.2　分区连续性检查 86
4.2.3　获取分区 87
4.2.4　已删除分区的恢复 87
4.3　实战练习 89
4.3.1　设置实验环境 89
4.3.2　练习题 89
4.4　提示 90
参考文献 92
第5章　FAT文件系统检验分析 93
5.1　文件系统概述 94
5.2　FAT文件系统 99
5.2.1　分区引导扇区 100
5.2.2　文件分配表 103
5.2.3　FAT文件系统寻址 104
5.2.4　根目录和目录项 105
5.2.5　长文件名 108
5.3　实战练习 112
5.3.1　设置实验环境 112
5.3.2　练习题 112
5.4　提示 113
附录A　FAT12 / 16分区引导扇区的数据结构 115
附录B　FAT32分区引导扇区的数据结构 116
附录C　LFN目录项校验和算法 116
参考文献 117
第6章　FAT文件系统数据恢复 118
6.1　数据恢复原理 118
6.2　FAT文件系统中的文件创建和删除 121
6.2.1　文件创建 121
6.2.2　文件删除 123
6.3　FAT文件系统中删除文件的恢复 123
6.4　实战练习 125
6.4.1　设置实验环境 125
6.4.2　练习题 125
6.5　提示 127
参考文献 130
第7章　NTFS文件系统检验分析 131
7.1　NTFS文件系统 131
7.2　MFT 133
7.3　NTFS索引 140
7.3.1　B树 140
7.3.2　NTFS 目录索引 142
7.4　NTFS 高级特性 151
7.4.1　EFS 151
7.4.2　数据存储效率 156
7.5　实战练习 158
7.5.1　设置实验环境 158
7.5.2　练习题 158
7.6　提示 159
7.6.1　在NTFS文件系统中查找MFT 159
7.6.2　确定一个给定MFT表项的簇地址 160
参考文献 161
第8章　NTFS文件系统数据恢复 162
8.1　NTFS文件恢复 162
8.1.1　NTFS文件系统中的文件创建和删除 163
8.1.2　NTFS文件系统中已删除文件的恢复 168
8.2　实战练习 169
8.2.1　设置实验环境 169
8.2.2　练习题 170
参考文献 171
第9章　文件雕复 172
9.1　文件雕复的原理 172
9.1.1　头部/尾部雕复 173
9.1.2　BGC 176
9.2　文件雕复工具 180
9.2.1　Foremost 180
9.2.2　Scalpel 181
9.2.3　TestDisk和Photorec 182
9.3　实战练习 189
9.3.1　设置实验环境 189
9.3.2　练习题 189
参考文献 190
第10章　文件指纹搜索取证 191
10.1　概述 191
10.2　文件指纹搜索过程 192
10.3　使用hfind进行文件指纹搜索 194
10.3.1　使用md5sum创建一个散列库 194
10.3.2　为散列库创建MD5索引文件 195
10.3.3　在散列库中搜索特定的散列值 195
10.4　实战练习 196
10.4.1　设置实验环境 196
10.4.2　练习题 196
附录　创建用于生成散列数据库文件的shell脚本 197
参考文献 198
第11章　关键词取证 199
11.1　关键词搜索取证过程 200
11.2　grep和正则表达式 200
11.3　案例研究 201
11.4　实战练习 205
11.4.1　设置实验环境 205
11.4.2　练习题 205
附录　正则表达式元字符 206
参考文献 207
第12章　时间线分析 208
12.1　时间线分析原理 208
12.1.1　时间线 208
12.1.2　时间线上的事件 209
12.2　时间线分析的过程 210
12.2.1　时间线创建 210
12.2.2　时间线分析 211
12.2.3　使用TSK创建和分析MAC时间线 211
12.3　时间线分析取证工具 213
12.3.1　Log2timeline 214
12.3.2　EnCase 214
12.4　案例研究 214
12.5　实战练习 216
12.5.1　设置实验环境 216
12.5.2　练习题 217
参考文献 218
第13章　信息隐藏与检测 219
13.1　信息隐藏基础 219
13.1.1　隐藏的文件和目录 220
13.1.2　伪装和改名 221
13.1.3　卷松弛 222
13.1.4　松弛空间 222
13.1.5　异常状态的簇 223
13.1.6　损坏的MFT记录 223
13.1.7　备选数据流 223
13.2　OOXML文档中的信息隐藏和检测 225
13.2.1　OOXML文档基础 225
13.2.2　OOXML文档中的信息隐藏 227
13.2.3　OOXML文档中的隐藏数据检测 239
13.3　实战练习 241
13.3.1　设置实验环境 241
13.3.2　练习题 242
参考文献 243
第三部分　取证日志分析
第14章　日志分析 246
14.1　系统日志分析 246
14.1.1　syslog 247
14.1.2　Windows事件日志 250
14.1.3　日志分析的挑战 252
14.2　安全信息与事件管理系统 253
14.2.1　日志标准化与日志关联 255
14.2.2　日志数据分析 256
14.2.3　SIEM的具体特征 258
14.2.4　日志关联案例分析 259
14.3　实施SIEM 260
14.3.1　OSSIM的工作原理 260
14.3.2　AlienVault事件可视化 261
14.4　实战练习 265
14.4.1　设置实验环境 265
14.4.2　练习题 267
参考文献 268
第四部分　移动设备取证
第15章　Android取证 270
15.1　智能手机基础知识 271
15.2　移动设备取证调查 272
15.2.1　存储位置 273
15.2.2　数据获取方法 274
15.2.3　数据分析 281
15.2.4　案例研究 283
15.3　实战练习 292
15.3.1　设置实验环境 293
15.3.2　练习题 298
参考文献 299
第16章　GPS取证 301
16.1　GPS系统 301
16.2　可作为证据的GPS数据 303
16.3　案例研究 304
16.3.1　实验准备 304
16.3.2　基本方法和步骤 304
16.3.3　GPS交换格式 306
16.3.4　GPX文件 308
16.3.5　航点和航迹点的提取 309
16.3.6　如何在地图上显示航迹 310
16.4　实战练习 312
16.4.1　设置实验环境 312
16.4.2　练习题 313
参考文献 318
第17章　SIM卡取证 319
17.1　用户身份识别模块 319
17.2　SIM 架构 321
17.3　安全性 322
17.4　证据提取 323
17.4.1　联系人 323
17.4.2　拨号记录 324
17.4.3　短信 324
17.5　案例研究 324
17.5.1　实验设置 324
17.5.2　数据采集 324
17.5.3　数据分析 327
17.6　实战练习 335
17.6.1　设置实验环境 335
17.6.2　练习题 336
参考文献 337
第五部分　恶意软件分析
第18章　恶意软件分析简介 340
18.1　恶意软件、病毒和蠕虫 340
18.1.1　恶意软件如何在计算机上传播 341
18.1.2　恶意软件分析的重要性 341
18.2　恶意软件分析的基本技能和工具 342
18.3　恶意软件分析工具和技术 343
18.3.1　Dependency Walker 343
18.3.2　PEview 346
18.3.3　W32dasm 349
18.3.4　OllyDbg 350
18.3.5　Wireshark 350
18.3.6　ConvertShellCode 352
18.4　案例分析 354
18.4.1　目标 354
18.4.2　环境设定 355
18.4.3　总结 363
18.5　实战练习 364
参考文献 364
第19章　勒索软件分析 365
19.1　勒索软件的工作模式 366
19.2　臭名昭著的勒索软件 368
19.2.1　CryptoLocker 368
19.2.2　其他勒索软件 369
19.3　被恶意软件利用的加密和隐私保护技术 370
19.3.1　RSA加密系统 371
19.3.2　AES加密系统 371
19.3.3　作为黑客工具的密码技术 372
19.3.4　洋葱网络和隐匿技术 373
19.3.5　用于匿名支付的数字货币和比特币 373
19.4　案例分析：SimpleLocker勒索软件分析 374
19.4.1　Android框架概述 375
19.4.2　SimpleLocker的分析技术 376
19.4.3　在线扫描服务 377
19.4.4　元数据分析 378
19.4.5　静态分析 380
19.4.6　SimpleLocker加密方法分析 389
19.4.7　动态程序分析 394
19.4.8　SimpleLocker的清除方法 397
19.5　实战练习 398
19.5.1　安装Android Studio 399
19.5.2　创建一个Android应用程序项目 399
参考文献 405
第六部分　多媒体取证
第20章　图像伪造检测 408
20.1　数字图像处理基础 408
20.1.1　数字图像基础 409
20.1.2　图像类型 410
20.1.3　基本操作和变换 412
20.2　图像伪造检测 416
20.2.1　图像篡改技术 418
20.2.2　主动式图像伪造检测 419
20.2.3　被动-盲图像伪造检测 421
20.3　实战练习 439
20.3.1　设置实验环境 439
20.3.2　练习题 440
参考文献 443
第21章　隐写术和隐写分析 445
21.1　隐写术和隐写分析基础 446
21.1.1　隐写术基础 446
21.1.2　隐写分析基础 448
21.2　隐写技术和隐写工具 449
21.2.1　隐写技术 449
21.2.2　隐写工具 454
21.3　隐写分析技术和隐写分析工具 455
21.3.1　隐写分析技术 456
21.3.2　隐写分析工具 457
21.4　实战练习 458
21.4.1　设置实验环境 458
21.4.2　练习题 458
参考文献 459