本書第一版在2014年由中國水利水電出版社出版后，填補(bǔ)了高職高專網(wǎng)絡(luò)安全及相關(guān)專業(yè)計算機(jī)取證教學(xué)的空白。蒙讀者垂青，被國內(nèi)諸多高職高專院校選作專業(yè)課程教材和企業(yè)相關(guān)培訓(xùn)的主要參考教材之一。在深感欣慰之余，我們深知隨著IT產(chǎn)業(yè)和網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，各項技術(shù)和教學(xué)方法均不斷在更新，第一版教材內(nèi)容也需要與時俱進(jìn)。為此，在出版社和廣大讀者的支持下，編者從2020年開始著手教材的再版修訂工作。在修訂過程中，編者積極結(jié)合8年來的實(shí)際教學(xué)經(jīng)驗(yàn)，并通過多種渠道積極收集和關(guān)注讀者以及使用第一版教材教師的反饋和建議。這些經(jīng)驗(yàn)總結(jié)和建議反饋主要集中在以下3點(diǎn)：

 教材內(nèi)容較多，如果全講，則所有課時會超出教學(xué)計劃的規(guī)定，特別是網(wǎng)絡(luò)取證中的很多內(nèi)容，實(shí)際上在網(wǎng)絡(luò)安全相關(guān)課程中均已有所講授，只要本書中的取證理論能夠被學(xué)生理解，完全可以直接應(yīng)用其他課程的相關(guān)內(nèi)容進(jìn)行網(wǎng)絡(luò)取證工作。

 部分章節(jié)深度不夠，如易失性證據(jù)獲取部分，實(shí)際實(shí)驗(yàn)過程需要進(jìn)行大量腳本編寫和完善，但第一版教材沒有深入體現(xiàn)；再如插入式隱藏和分析部分，雖然理論分析講述較為充分，但實(shí)際的實(shí)驗(yàn)操作卻較為弱化等。

 實(shí)驗(yàn)沒有操作視頻，僅依靠書中的講解和截圖，很難讓學(xué)生理解實(shí)際操作的步驟。

鑒于此，我們在堅持第一版特色突出的基本框架結(jié)構(gòu)的同時，充分借鑒了實(shí)際教學(xué)經(jīng)驗(yàn)，廣泛吸納了讀者的建議，對教材進(jìn)行了諸多方面的修訂。

 知識更新：根據(jù)目前信息產(chǎn)業(yè)流行的信息技術(shù)，如操作系統(tǒng)等的變化，對相應(yīng)的實(shí)驗(yàn)過程和命令進(jìn)行了更新。

 結(jié)構(gòu)更新：刪除了和網(wǎng)絡(luò)安全其他課程重復(fù)的網(wǎng)絡(luò)取證章節(jié)，并對各個章節(jié)的實(shí)驗(yàn)部分進(jìn)行了全面梳理和更新，描述中特別強(qiáng)調(diào)實(shí)際實(shí)驗(yàn)操作的具體運(yùn)用。

 資源更新：特別加入了全書所有實(shí)驗(yàn)的操作視頻，且為了保證教師教學(xué)和讀者日常知識獲取的便利，所有視頻全部按照細(xì)化知識點(diǎn)的微課形式加入。

 難度調(diào)整：對較為深奧的理論，特別注重深入淺出的闡述，盡量加入案例說明使內(nèi)容更加簡明易懂。

 錯誤糾正：已對第一版中發(fā)現(xiàn)的各類錯誤進(jìn)行了更正。

一、再版結(jié)構(gòu)

本書再版后仍然延續(xù)第一版特色，沒有按部就班地介紹深奧枯燥的計算機(jī)取證理論，而是切合高等職業(yè)人才的培養(yǎng)特點(diǎn)，強(qiáng)調(diào)理論以夠用為度，以一個統(tǒng)一的綜合案例為主線，分為既相互獨(dú)立又有所聯(lián)系的五大項目任務(wù)，從計算機(jī)取證準(zhǔn)備和現(xiàn)場處理開始，依次論述Windows環(huán)境的單機(jī)取證、非Windows環(huán)境的單機(jī)取證、原始證據(jù)的深入分析和針對多媒體進(jìn)行取證等計算機(jī)取證的重要領(lǐng)域和過程，全面系統(tǒng)地介紹了計算機(jī)取證和司法鑒定的基本理論以及實(shí)際案例調(diào)查的操作規(guī)程和技術(shù)運(yùn)用，且每個項目均以實(shí)訓(xùn)和練習(xí)的形式配備大量來自工程實(shí)踐的應(yīng)用案例和操作微課視頻。本書立足于計算機(jī)取證調(diào)查技術(shù)的實(shí)際運(yùn)用，可操作性強(qiáng)。本書具體內(nèi)容和建議課時如下表所列。

項目序號 項目名稱 子任務(wù)數(shù)量 理論課時 實(shí)踐學(xué)時

1 計算機(jī)取證準(zhǔn)備和現(xiàn)場處理 3 7 4

2 Windows環(huán)境的單機(jī)取證 5 6 7

3 非Windows環(huán)境的單機(jī)取證 2 6 6

4 原始證據(jù)的深入分析 2 6 10

5 針對多媒體進(jìn)行取證 3 7 5

每個項目就是一個大的學(xué)習(xí)任務(wù)，以“學(xué)習(xí)目標(biāo)－項目說明－項目任務(wù)－基礎(chǔ)知識－項目分析－項目實(shí)施－應(yīng)用實(shí)訓(xùn)－拓展練習(xí)”為主線，每個項目內(nèi)容在涵蓋基本理論知識的基礎(chǔ)上，以項目案例調(diào)查為實(shí)踐落腳點(diǎn)，通過“項目說明”和“項目任務(wù)”讓學(xué)生首先了解要解決的實(shí)際問題，激發(fā)其學(xué)習(xí)興趣；然后通過“基礎(chǔ)知識”的學(xué)習(xí)奠定相應(yīng)的理論和技術(shù)基礎(chǔ)；進(jìn)而通過“項目分析”使學(xué)生明確具體項目的實(shí)施策略，并在“項目實(shí)施”中以項目任務(wù)為規(guī)劃分步完成項目，體現(xiàn)學(xué)以致用；最后通過“應(yīng)用實(shí)訓(xùn)”和“拓展練習(xí)”鞏固學(xué)生的學(xué)習(xí)成果，從而實(shí)現(xiàn)理實(shí)一體化的高效教學(xué)。整個內(nèi)容結(jié)構(gòu)環(huán)環(huán)相扣，理論與實(shí)踐相結(jié)合，體現(xiàn)了任務(wù)驅(qū)動和“教學(xué)做”一體化的思想。

二、特色

1．實(shí)用——貼近實(shí)際

同第一版相同，本書在此次修訂過程中仍然查閱了大量國際一流計算機(jī)取證公司的產(chǎn)品技術(shù)和規(guī)范，并得到多家計算機(jī)取證產(chǎn)品公司的技術(shù)支持。本書內(nèi)容選擇取決于企業(yè)實(shí)際工作需求，注重實(shí)用性，且選取更加適用于高職高專教育教學(xué)的工具進(jìn)行講解。

2．實(shí)效——理實(shí)一體

本書在修訂過程中，以“整體項目引導(dǎo)、分項任務(wù)驅(qū)動”為思路，全書以一個綜合案例貫穿始終，并根據(jù)案例需求分項任務(wù)導(dǎo)入每一個分項章節(jié)；延續(xù)第一版特色，從項目案例的 “項目說明”和“項目任務(wù)”入手，使讀者通過真實(shí)的案例了解所學(xué)內(nèi)容的實(shí)用價值，激發(fā)其學(xué)習(xí)興趣，然后展開“基礎(chǔ)知識”的學(xué)習(xí)，通過“項目分析”和“項目實(shí)施”完成項目，并通過“應(yīng)用實(shí)訓(xùn)”和“拓展練習(xí)”強(qiáng)化學(xué)生技能，體現(xiàn)了任務(wù)驅(qū)動和“教學(xué)做”一體化的思想，實(shí)效性高。

三、面向?qū)ο?/p>

本書再版主要面向高職高專院校以及本科院校網(wǎng)絡(luò)安全專業(yè)、計算機(jī)相關(guān)專業(yè)和法學(xué)專業(yè)的學(xué)生（建議教學(xué)學(xué)時為64學(xué)時，課堂講授和取證實(shí)踐學(xué)時各占一半），也可作為行業(yè)企業(yè)網(wǎng)絡(luò)安全管理和技術(shù)人員的培訓(xùn)教材。

本書的再版修訂工作由重慶電子工程職業(yè)學(xué)院張湛、瞿芳任主編。張湛負(fù)責(zé)全書的組織策劃，并編寫項目3和項目5；瞿芳負(fù)責(zé)結(jié)構(gòu)規(guī)劃、統(tǒng)稿，并編寫項目1、項目2和項目4。

由于本書編者水平所限，書中難免存在不妥之處，懇請讀者批評指正。編者郵箱：blacksnown@126.com。

編 者

2022年5月

項目1 計算機(jī)取證準(zhǔn)備和現(xiàn)場處理 1
學(xué)習(xí)目標(biāo) 1
項目說明 1
項目任務(wù) 1
基礎(chǔ)知識 2
1.1 計算機(jī)取證和司法鑒定 2
1.1.1 計算機(jī)取證和司法鑒定的概念 2
1.1.2 計算機(jī)取證和司法鑒定的業(yè)務(wù)范圍 3
1.1.3 計算機(jī)取證的發(fā)展?fàn)顩r 4
1.1.4 計算機(jī)取證調(diào)查與個人隱私和公司秘密的保障 5
1.1.5 計算機(jī)取證和司法鑒定的原則 6
1.1.6 計算機(jī)取證的實(shí)施過程 10
1.2 計算機(jī)取證調(diào)查人員 14
1.2.1 計算機(jī)取證和司法鑒定人員的要求 14
1.2.2 企業(yè)內(nèi)部調(diào)查取證人員與司法取證和鑒定人員的異同 18
1.2.3 計算機(jī)取證人員的職業(yè)道德 18
1.3 企業(yè)內(nèi)部取證調(diào)查和司法取證調(diào)查 19
1.3.1 針對私營企業(yè)內(nèi)部取證現(xiàn)場的取證調(diào)查 19
1.3.2 針對執(zhí)法犯罪現(xiàn)場的取證調(diào)查 22
項目分析 23
項目實(shí)施 24
1.4 任務(wù)一：計算機(jī)取證的程序和文檔準(zhǔn)備 24
1.4.1 計算機(jī)取證調(diào)查授權(quán)書的準(zhǔn)備 24
1.4.2 評估案件的性質(zhì) 26
1.4.3 確定計算機(jī)取證調(diào)查的邊界 27
1.4.4 準(zhǔn)備計算機(jī)取證的證據(jù)管理表單 29
1.5 任務(wù)二：計算機(jī)取證的硬、軟件準(zhǔn)備 31
1.5.1 了解取證案件的需求 31
1.5.2 規(guī)劃取證調(diào)查 32
1.5.3 制作干凈的啟動盤 33
1.5.4 建立現(xiàn)場取證工具箱 43
1.5.5 準(zhǔn)備取證所需設(shè)備和工具 44
1.6 任務(wù)三：進(jìn)入取證現(xiàn)場 47
1.6.1 處理一個主要的取證現(xiàn)場 47
1.6.2 保護(hù)現(xiàn)場的數(shù)字證據(jù) 48
1.6.3 分類數(shù)字證據(jù) 49
1.6.4 處理和管理數(shù)字證據(jù) 50
1.6.5 存儲數(shù)字證據(jù) 51
應(yīng)用實(shí)訓(xùn) 51
拓展練習(xí) 52
項目2 Windows環(huán)境的單機(jī)取證 53
學(xué)習(xí)目標(biāo) 53
項目說明 53
項目任務(wù) 53
基礎(chǔ)知識 54
2.1 電子證據(jù)的概念和法律定位 54
2.1.1 電子證據(jù)的概念 54
2.1.2 電子證據(jù)、計算機(jī)證據(jù)和數(shù)字證據(jù)的異同 54
2.1.3 電子證據(jù)的特點(diǎn) 55
2.1.4 電子證據(jù)的可采性問題 57
2.1.5 電子證據(jù)與我國傳統(tǒng)的七大證據(jù)的關(guān)系 58
2.1.6 電子證據(jù)與直接證據(jù)和間接證據(jù)的關(guān)系 61
2.2 Windows/DOS取證基礎(chǔ) 62
2.2.1 主引導(dǎo)記錄MBR 62
2.2.2 FAT文件結(jié)構(gòu) 64
2.2.3 NTFS文件結(jié)構(gòu) 67
項目分析 73
項目實(shí)施 73
2.3 任務(wù)一：在Windows環(huán)境下進(jìn)行原始證據(jù)取證復(fù)制 73
2.3.1 現(xiàn)場取證復(fù)制前的考慮 73
2.3.2 易失性證據(jù)快速取證 75
2.3.3 利用FTK Imager進(jìn)行取證復(fù)制 80
2.3.4 利用X-Ways Forensics進(jìn)行取證復(fù)制 87
2.4 任務(wù)二：Windows注冊表調(diào)查 92
2.4.1 注冊表基礎(chǔ) 92
2.4.2 計算機(jī)取證調(diào)查中關(guān)注的常規(guī)鍵 94
2.4.3 取證調(diào)查時注冊表中關(guān)注的文件夾位置 96
2.4.4 取證調(diào)查時注冊表中關(guān)注的自啟動項 97
2.4.5 注冊表取證調(diào)查的方法 98
2.5 任務(wù)三：Windows文件目錄調(diào)查 101
2.5.1 自啟動目錄和文件 101
2.5.2 Windows系統(tǒng)中的重要目錄 103
2.5.3 Windows系統(tǒng)中的重要系統(tǒng)文件 105
2.6 任務(wù)四：Windows日志調(diào)查 107
2.6.1 事件日志的調(diào)查 107
2.6.2 網(wǎng)絡(luò)日志的調(diào)查 112
2.7 任務(wù)五：Windows的進(jìn)程和網(wǎng)絡(luò)痕跡調(diào)查 114
2.7.1 系統(tǒng)常用進(jìn)程分析 114
2.7.2 系統(tǒng)網(wǎng)絡(luò)痕跡調(diào)查 117
應(yīng)用實(shí)訓(xùn) 118
拓展練習(xí) 119
項目3 非Windows環(huán)境的單機(jī)取證 120
學(xué)習(xí)目標(biāo) 120
項目說明 120
項目任務(wù) 120
基礎(chǔ)知識 121
3.1 Macintosh的引導(dǎo)過程和文件系統(tǒng) 121
3.1.1 Macintosh文件結(jié)構(gòu) 121
3.1.2 Macintosh中的卷結(jié)構(gòu) 122
3.1.3 引導(dǎo)Macintosh系統(tǒng) 123
3.2 UNIX/Linux的引導(dǎo)過程和文件系統(tǒng) 124
3.2.1 UNIX/Linux磁盤結(jié)構(gòu) 124
3.2.2 i節(jié)點(diǎn)簡介 127
3.2.3 Linux的目錄結(jié)構(gòu)和重要文件 129
3.2.4 UNIX/Linux的引導(dǎo)過程 132
項目分析 133
項目實(shí)施 134
3.3 任務(wù)一：在UNIX/Linux環(huán)境下獲取原始證據(jù) 134
3.3.1 UNIX/Linux系統(tǒng)中現(xiàn)場證據(jù)的獲取 134
3.3.2 UNIX/Linux環(huán)境中內(nèi)存與硬盤信息的獲取 136
3.3.3 UNIX/Linux環(huán)境中進(jìn)程信息的獲取 140
3.3.4 UNIX/Linux的網(wǎng)絡(luò)連接信息獲取 143
3.4 任務(wù)二：UNIX/Linux環(huán)境的數(shù)據(jù)初步分析 146
3.4.1 UNIX/Linux環(huán)境的取證數(shù)據(jù)預(yù)處理 146
3.4.2 UNIX/Linux環(huán)境的日志調(diào)查 148
3.4.3 UNIX/Linux環(huán)境中其他重要信息的調(diào)查 153
應(yīng)用實(shí)訓(xùn) 156
拓展練習(xí) 157
項目4 原始證據(jù)的深入分析 158
學(xué)習(xí)目標(biāo) 158
項目說明 158
項目任務(wù) 158
基礎(chǔ)知識 159
4.1 電子證據(jù)司法鑒定的程序 159
4.1.1 電子證據(jù)司法鑒定的含義 159
4.1.2 電子證據(jù)司法鑒定的程序概述 159
4.2 電子證據(jù)保全 161
4.3 調(diào)查取證報告 162
4.3.1 調(diào)查取證報告的重要性 162
4.3.2 調(diào)查取證報告的書寫準(zhǔn)則 163
項目分析 166
項目實(shí)施 166
4.4 任務(wù)一：利用EnCase Forensic進(jìn)行深入分析 166
4.4.1 創(chuàng)建新案件并添加證據(jù)磁盤 166
4.4.2 EnCase界面簡介 170
4.4.3 利用EnCase調(diào)查案件的前期步驟 182
4.4.4 文件操作 186
4.4.5 關(guān)鍵詞搜索 188
4.4.6 使用書簽 191
4.4.7 生成報告 194
4.5 任務(wù)二：利用X-Ways Forensics進(jìn)行深入分析 196
4.5.1 環(huán)境設(shè)置 196
4.5.2 創(chuàng)建新案件 197
4.5.3 添加取證分析的原始證據(jù) 199
4.5.4 基本界面和操作 200
4.5.5 進(jìn)行磁盤快照 203
4.5.6 使用過濾器 205
4.5.7 搜索數(shù)據(jù)信息 208
4.5.8 提取文件 209
4.5.9 生成報告 212
應(yīng)用實(shí)訓(xùn) 213
拓展練習(xí) 215
項目5 針對多媒體進(jìn)行取證 216
學(xué)習(xí)目標(biāo) 216
項目說明 216
項目任務(wù) 217
基礎(chǔ)知識 217
5.1 數(shù)字多媒體基礎(chǔ) 217
5.1.1 灰度圖像 217
5.1.2 彩色圖像 217
5.1.3 調(diào)色板圖像 219
5.2 數(shù)字圖像內(nèi)容認(rèn)證技術(shù)基礎(chǔ) 220
5.2.1 數(shù)字圖像內(nèi)容篡改的現(xiàn)狀 220
5.2.2 數(shù)字圖像的篡改方法 220
項目分析 222
項目實(shí)施 222
5.3 任務(wù)一：對簡單數(shù)據(jù)隱藏進(jìn)行分析 222
5.3.1 針對最簡單的數(shù)據(jù)隱藏方式進(jìn)行分析 223
5.3.2 插入式數(shù)據(jù)隱藏 224
5.4 任務(wù)二：利用隱寫分析技術(shù)分析可疑圖像 227
5.4.1 數(shù)字隱寫和隱寫分析技術(shù) 228
5.4.2 數(shù)字圖像隱寫術(shù)基礎(chǔ) 228
5.4.3 利用簡單的數(shù)字圖像隱寫術(shù)隱藏數(shù)據(jù) 231
5.4.4 針對簡單數(shù)字圖像隱寫術(shù)的分析取證 235
5.5 任務(wù)三：數(shù)字圖像內(nèi)容真實(shí)性認(rèn)證 236
5.5.1 數(shù)字圖像內(nèi)容認(rèn)證技術(shù)概略 236
5.5.2 數(shù)字圖像內(nèi)容認(rèn)證案例分析 239
應(yīng)用實(shí)訓(xùn) 241
拓展練習(xí) 242
參考文獻(xiàn) 243

1. 大學(xué)應(yīng)用數(shù)學(xué) [主編 郭立娟]
2. “四步曲”開放型實(shí)踐教學(xué)活動研究與探索 [岑崗 林雪芬 著]
3. 數(shù)據(jù)庫技術(shù)與應(yīng)用（SQL Server 2019） [主編 嚴(yán)暉 劉衛(wèi)國]
4. 黃河流域生態(tài)保護(hù)和高質(zhì)量發(fā)展與新時期水利工程建設(shè) [李天華 賀麗媛 著]
5. 圖形圖像處理Photoshop 2020實(shí)戰(zhàn)教程 [主 編 賀海英]
6. 深入性能測試——LoadRunner性能測試、流程、監(jiān)控、調(diào)優(yōu)全程實(shí)戰(zhàn) [黃文高 編著]
7. 網(wǎng)絡(luò)工程師備考一本通 [夏杰 編著]
8. 軟件設(shè)計師考前沖刺100題 [施游 王曉笛 鄒月平 編著]
9. 機(jī)器人流程自動化（RPA）實(shí)戰(zhàn)——基于UiPath [主編　金鑫]
10. 軟件定義網(wǎng)絡(luò)技術(shù)與實(shí)踐 [主編　但唐仁]
11. 初中英語詞匯同步循環(huán)速記手抄本（全5冊） [宋德偉 編著]
12. 工業(yè)機(jī)器人拆裝與調(diào)試 [主編 胡月霞 向艷芳 朱奇]
13. 風(fēng)電光伏安全生產(chǎn)檢查標(biāo)準(zhǔn) [華能新能源股份有限公司]
14. 功能材料制備與表征實(shí)驗(yàn)指導(dǎo)書 [龔偉平 趙軍峰 梅海娟 等編著]
15. 網(wǎng)絡(luò)管理員考前沖刺100題 [朱小平 李錦衛(wèi) 羅祥澤 編著]
16. 系統(tǒng)集成項目管理工程師備考一本通 [倪奕文 張關(guān)超 王建平 編著]
17. 信號與系統(tǒng)（第二版） [主編 張宇]
18. 商務(wù)英語翻譯教程（口譯）（第三版） [齊濤云]
19. 信息技術(shù)基礎(chǔ) [主編 唐倩 邵銳]
20. 混合式課堂教學(xué)改革與實(shí)踐—微動教學(xué)法 [石鐵峰 石家羽 著]
21. 人工智能基礎(chǔ) [周永福 韓玉琪 王巧巧]
22. Python 語言程序設(shè)計實(shí)踐指導(dǎo) [主編　張雙獅]
23. Photoshop 圖形圖像項目化教程 [主編 胡斌斌 黎婭 蘇大椿]
24. 信息技術(shù)基礎(chǔ)（Windows 7+Office 2016） [主編 王洪平 楊華]
25. 深入機(jī)器學(xué)習(xí) [鄧子云 著]
26. 軟件設(shè)計師備考一本通 [倪奕文 編著]
27. 信息系統(tǒng)項目管理師備考一本通 [倪奕文 編著]
28. 大學(xué)計算機(jī)基礎(chǔ)實(shí)驗(yàn)（WPS版） [主編　謝江宜　蔡勇]
29. 公安信息化應(yīng)用基礎(chǔ)教程 [主編 徐衍微 萬雪勇]
30. 計算機(jī)基礎(chǔ)應(yīng)用教程（第二版） [主編 李佼輝 欒奕娜]