計算機取證技術是一門涉及計算機科學、法學等多個領域的交叉學科。作為一個新的領域，計算機取證技術在我國研究與實踐的時間都不長，但打擊計算機犯罪等的現實需要，使得對此領域產生興趣的人越來越多。計算機取證技術在我國必將會有更加迅速的發展。

目前國內正式出版的計算機取證方面的書籍較少。本書作者多年來一直致力于計算機取證方面的研究，從2004年開始編寫此書，歷時三載，經過反復修改，終于完成了此書。作者編寫本書的主要目的是拋磚引玉，希望有更多的人了解、關注計算機取證技術，從而推動、促進我國計算機取證技術的發展。

全書共分9章。第1章計算機取證的基本概念，第2章計算機取證的常見工具，第3章Windows文件系統基礎，第4章Windows系統取證方法，第5章UNIX文件系統基礎，第6章UNIX系統取證方法，第7章Linux文件系統基礎，第8章Linux系統取證方法，第9章計算機反取證技術。

本書在編寫過程中參考了大量的中外文獻及有關網站的內容，在此表示衷心的感謝。

本書的出版得到了北京萬水電子信息有限公司孫春亮老師的大力支持和幫助，在此表示衷心的感謝。

由于作者水平有限，書中難免存在疏漏與不妥之處，懇請廣大讀者和同行專家批評指正。作者的E-mail地址：ylf@mail.zjxu.edu.cn。

編者

2007年5月

前言
第1章 計算機取證的基本概念 1
1.1 計算機取證的基本概念 1
1.1.1 計算機取證的定義 1
1.1.2 計算機取證研究概況 2
1.2 電子證據的概念 5
1.2.1 什么是電子證據 5
1.2.2 電子證據的特點 5
1.2.3 電子證據的來源 7
1.3 計算機取證的原則和步驟 7
1.3.1 計算機取證的基本原則 7
1.3.2 計算機取證的一般步驟 8
1.3.3 具體的計算機取證實例 12
1.4 計算機取證模型 15
1.4.1 早期的計算機取證模型 15
1.4.2 綜合數字取證模型 17
1.4.3 增強的數字取證過程模型 17
1.4.4 基于需求的計算機取證過程模型 18
1.4.5 計算機取證的層次模型 18
1.4.6 對各種計算機取證模型的分析 20
1.5 計算機取證的發展趨勢 21
參考文獻 22
第2章 計算機取證的常見工具 23
2.1 計算機取證的相關工具 23
2.2 取證復制工具包 25
2.2.1 EnCase 25
2.2.2 SafeBack 28
2.2.3 UNIX實用程序dd 32
2.2.4 開放數據復制工具 33
2.3 取證分析工具包 34
2.4 計算機取證設備 35
2.4.1 國內主要取證產品介紹 35
2.4.2 國內外計算機取證設備對比與分析 41
2.5 Linux環境下的計算機取證工具介紹 49
2.5.1 Sleuthkit 49
2.5.2 Autopsy 52
2.5.3 SMART for Linux 58
參考文獻 61
第3章 Windows文件系統基礎 63
3.1 硬盤的結構 63
3.1.1 硬盤的物理結構 63
3.1.2 硬盤的邏輯結構 63
3.2 硬盤數據組織 64
3.2.1 低級格式化 65
3.2.2 硬盤分區 66
3.2.3 硬盤數據存儲區域 68
3.3 文件系統和數據存儲位置 71
3.4 文件刪除的恢復與反恢復 73
3.4.1 Windows系統的文件刪除和恢復 74
3.4.2 對計算機取證的作用與影響 75
參考文獻 76
第4章 Windows系統取證方法 77
4.1 Windows系統初始響應方法 77
4.1.1 創建初始響應工具包 77
4.1.2 初始響應方法 79
4.1.3 編寫初始響應腳本 91
4.2 Windows系統取證實例 92
4.2.1 引子 92
4.2.2 系統概況和證據處理 92
4.2.3 建立取證工具 94
4.2.4 介質備份及分析 95
4.2.5 MAC時間分析 96
4.2.6 注冊表 99
4.2.7 恢復被刪除文件 103
4.2.8 最后分析結論 107
參考文獻 109
第5章 UNIX文件系統基礎 110
5.1 UNIX文件系統的組織 110
5.2 UNIX文件系統的內部結構 112
5.3 UNIX文件系統的布局 116
5.4 UNIX系統的文件刪除與恢復 116
5.4.1 知道內容的文件的恢復方法 118
5.4.2 RAW文件恢復 120
5.4.3 文件恢復工具Recover My Files 121
5.4.4 UNIX數據恢復工具Stellar Phoenix 124
參考文獻 125
第6章 UNIX系統取證方法 126
6.1 UNIX系統初始響應方法 126
6.1.1 創建初始響應工具包 126
6.1.2 保存初始響應信息 126
6.1.3 收集數據 127
6.1.4 獲取現場系統日志 130
6.1.5 獲取重要的配置文件 131
6.2 UNIX系統取證方法 131
6.2.1 引子 131
6.2.2 收集被入侵機器的文件系統信息 132
6.2.3 通過網絡傳送磁盤映像 133
6.2.4 在分析機上安裝磁盤映像 134
6.2.5 對現有文件進行分析 135
6.2.6 文件刪除及相關問題 139
6.2.7 對被刪除文件進行分析 141
參考文獻 144
第7章 Linux文件系統基礎 145
7.1 EXT2文件系統 145
7.1.1 EXT2文件系統的物理結構 145
7.1.2 塊組的構造 146
7.1.3 索引節點（inode） 147
7.1.4 多重索引結構 147
7.1.5 EXT2中的目錄項 149
7.1.6 位示圖 149
7.2 Linux系統的文件刪除與恢復 150
7.2.1 文件恢復的可能性及其原理 150
7.2.2 文件恢復的實現策略 151
參考文獻 153
第8章 Linux系統取證方法 154
8.1 Linux系統初始響應方法 154
8.1.1 初始響應的準備工作 154
8.1.2 初始響應的具體步驟和方法 156
8.2 Linux磁盤介質備份 157
8.2.1 準備工作 158
8.2.2 介質備份 158
8.3 如何從Linux系統中恢復數字證據 159
參考文獻 169
第9章 計算機反取證技術 170
9.1 數據擦除 170
9.2 數據隱藏 172
9.2.1 實現數據隱藏的幾種常用方法 173
9.2.2 實現數據隱藏的具體實例 173
9.3 Linux環境下常見的計算機反取證工具介紹 175
9.4 Windows環境下常見的計算機反取證工具介紹 175
參考文獻 175

1. 嵌入式系統設計師考前沖刺100題 [倪奕文 王建平 編著]
2. 單片機應用技術項目教程（C語言版）（第三版） [主編　郭志勇]
3. 微機原理與接口技術 [李珍香 編著]
4. 單片機原理及應用技術（C語言版） [周國運 魯慶賓 趙天翔 編著]
5. 單片機實用技術項目教程 [主編 周威 熊輝]
6. 單片機原理及應用項目化教程（C語言版） [主編 謝四連　王善偉　李石林]
7. 微型計算機原理與接口技術（第二版） [主編 王向慧]
8. 微型計算機組裝與維護（第二版） [主編 柳 青 陳孟祥]
9. 微型計算機原理與接口技術學習與實驗指導（第二版） [主編 楊立]
10. 微型計算機原理與接口技術（第二版） [主編 楊立]
11. 單片機應用技術項目教程（C語言版）（第二版） [主編 郭志勇]
12. 微型計算機原理及應用（第三版） [主編 何超]
13. 電子技術項目教程（Proteus版） [主編 郭志勇]
14. 微型計算機原理與匯編語言程序設計（第二版）——習題解答、實驗指導和實訓 [主 編 楊 立]
15. 單片機應用教程 [胡云冰 聶振華]
16. 微機原理與接口技術（第二版） [主 編 李云強]
17. 微型計算機原理與匯編語言程序設計（第二版） [主編 楊立]
18. 單片機應用系統設計安裝與調試 [主編 田浩鵬]
19. 微機原理與匯編語言程序設計（第二版） [主編 荊淑霞]
20. 單片機原理及應用設計（第二版） [主編 胡輝 ]
21. 單片機原理及典型應用接口技術 [劉甫 陳健美 編著]
22. 單片機原理及應用教程（C語言版） [主編 周國運]
23. 微型計算機組裝與維護實用教程 [主 編 王際川 周永福]
24. 微型計算機組成原理與設計方法研究 [劉峰 陳炯 邵澤云]
25. 微型計算機原理與接口技術實驗及習題指導 [主編 何超]
26. 微型計算機原理與接口技術 [何超]
27. 單片微型計算機原理及接口技術實驗指導與實訓 [林軍 等編著]
28. 微機原理與接口技術 [梁建武 主 編 ]
29. 微機原理與接口技術 [李云強 主 編 ]
30. 微型計算機及其接口技術 [胡敏 張永 主編]