隨著近20年信息技術和計算機網絡技術的發展，特別是近年來云計算技術的普遍運用，公眾的生活和工作已與計算機和信息網絡緊密聯系在一起。在這樣的環境下，計算機犯罪或利用計算機工具的犯罪活動急劇增加，與計算機或電子證據相關的民事糾紛也越來越多，這使得涉及計算機取證的案例調查和司法實踐的需求越來越迫切，社會迫切需要培養計算機取證和司法實踐的專業職業人才。

計算機取證通常是一個需要嚴謹且訓練有素的團隊，歷時數十小時甚至上百小時并利用各種工具認真發現、比對和歸類的過程，也是一個小心翼翼進行證據保全和準備取證報告的過程，是一個既枯燥又有趣的充滿挑戰的過程。本書會深入介紹在計算機取證和司法鑒定的實施中，那些極其重要的不可忽略的部分。

一、結構

本書沒有按部就班地介紹深奧枯燥的計算機取證理論，而是切合高等職業人才的培養特點，強調理論以夠用為度，以既相互獨立又有所聯系的計算機取證和司法鑒定的案例為主線，分六個大的項目，從計算機取證準備和現場處理開始，依次論述Windows環境單機取證、非Windows環境的單機取證、原始證據的深入分析、網絡取證和針對多媒體的取證六個計算機取證的重要領域和過程，全面系統地介紹了計算機取證和司法鑒定的基本理論以及實際案例調查的操作規程和技術運用，且每個項目均以實訓和習題的形式配備大量來自工程實踐的應用案例。全書立足于計算機取證調查技術的實際運用，可操作性強。本書具體內容和建議課時如下表所示。

章節序號 章節名稱 子任務數量 理論課時 實踐學時

1 計算機取證準備和現場處理 3 6 3

2 Windows環境單機取證 5 6 6

3 非Windows環境的單機取證 2 5 6

4 原始證據的深入分析 2 6 9

5 在網絡中進行取證 2 6 6

6 針對多媒體進行取證 3 5 4

每個項目名稱本身就是一個大的學習任務，以“項目說明－項目任務－基礎知識－項目分析－項目實施－應用實訓－拓展練習”為主線，每個項目內容在涵蓋基本理論知識的基礎上，以項目案例調查為實踐落腳點，通過“項目說明和項目任務”讓學生首先了解要解決的實際問題，激發學習興趣；然后通過“基礎知識”的學習，奠定相應的理論和技術基礎；進而通過“項目分析”使學生明確具體項目的實施策略，并在“項目實施”中以項目任務為規劃分步完成項目，體現學以致用；最后通過“應用實訓”和“拓展練習”鞏固學生學習成果，從而實現理實一體化的高效教學。整個內容結構步步為營、環環相扣，理論實踐渾然天成，體現了任務驅動和“教學做”一體化的思想。

二、特色

1．實用——貼近企業

本書在編寫過程中，查閱了大量國際一流計算機取證公司的產品技術和規范，并得到多家計算機取證產品公司的技術支持，內容取舍來源于企業需求，實用性高。

2．實效——理實一體

教材在編寫過程中，以“項目引導、任務驅動”為思路，從項目案例的“項目說明和項目任務”入手，使學生通過真實的案例了解所學內容的實用價值，提高學生興趣，然后展開“基礎知識”的學習。通過“項目分析和項目實施”完成項目，并通過“應用實訓和拓展練習”強化學生技能，體現了任務驅動和“教學做”一體化的思想，實效性高。

三、面向對象

本書主要面向計算機專業和法學專業的高職高專院校學生（建議教學學時為68學時，課堂講授和取證實踐學時各占一半），也可作為相關專業本科學生、企業信息安全人員、行業信息安全管理人員的培訓教材；對于IT行業人士、司法鑒定人士、司法和執法工作者、律師以及法學理論研究者也具有良好的參考價值。

四、致謝

本書由重慶電子工程職業學院張湛、武春嶺任主編，瞿芳、鄧晶為副主編。張湛負責組織策劃，并編寫項目4和項目6，武春嶺負責結構規劃、統稿，并編寫項目1，瞿芳負責編寫項目2和項目3，鄧晶負責編寫項目5。在本書編寫過程中，廖浩一、史海深和胡雨薇同學提供了大量的幫助，在此對他們表示感謝。

由于本書作者水平所限，書中錯漏之處，敬請讀者批評指正。作者郵箱：blacksnown@126.com。

編 者

2014年6月于重慶

項目1 計算機取證準備和現場處理 1
學習目標 1
項目說明 1
項目任務 1
基礎知識 2
1.1 計算機取證調查和鑒定的概念 2
1.1.1 計算機取證和司法鑒定 2
1.1.2 計算機取證調查和鑒定的業務范圍 3
1.1.3 計算機取證的發展狀況 4
1.1.4 計算機取證調查與個人隱私和公司
秘密的保障 5
1.1.5 計算機取證和司法鑒定的原則 6
1.1.6 計算機取證的實施過程 10
1.2 計算機取證調查人員 15
1.2.1 計算機取證和鑒定人員的要求 15
1.2.2 企業內部調查取證人員與司法
取證和鑒定人員的異同 18
1.2.3 計算機取證人員的職業道德 18
1.3 電子取證相關工作基本程序 19
1.3.1 電子取證的基本程序 19
1.3.2 計算機調查的程序 20
1.3.3 計算機現場勘驗的程序 21
1.4 企業內部取證調查和司法取證調查 23
1.4.1 針對私營企業內部取證現場的
取證調查 23
1.4.2 針對執法犯罪現場的取證調查 26
項目分析 27
項目實施 28
1.5 任務一：計算機取證的程序和文檔準備 28
1.5.1 計算機取證調查授權書的準備 28
1.5.2 評估案件的性質 30
1.5.3 確定計算機取證調查的邊界 31
1.5.4 準備計算機取證的證據管理表單 33
1.6 任務二：計算機取證的硬軟件準備 35
1.6.1 了解取證案件的需求 35
1.6.2 規劃取證調查 36
1.6.3 制作干凈的啟動盤 37
1.6.4 建立現場取證工具箱 47
1.6.5 準備取證所需設備和工具 48
1.7 任務三：進入取證現場 51
1.7.1 處理一個主要的取證現場 51
1.7.2 保護現場的數字證據 52
1.7.3 分類數字證據 53
1.7.4 處理和管理數字證據 54
1.7.5 存儲數字證據 54
應用實訓 55
拓展練習 56
項目2 Windows環境單機取證 57
學習目標 57
項目說明 57
項目任務 57
基礎知識 58
2.1 電子證據的概念和法律定位 58
2.1.1 電子證據的概念 58
2.1.2 電子證據、計算機證據和數字證據
的異同 58
2.1.3 電子證據的特點 60
2.1.4 電子證據的可采性問題 62
2.1.5 電子證據與我國傳統的七大證據的
關系 62
2.1.6 電子證據與直接證據和間接證據的
關系 65
2.2 Windows/DOS取證基礎 66
2.2.1 主引導記錄MBR 66
2.2.2 FAT文件結構 68
2.2.3 NTFS文件結構 71
項目分析 77
項目實施 78
2.3 任務一：在Windows環境下進行原始
證據取證復制 78
2.3.1 現場取證復制前的考慮 78
2.3.2 易失性證據的獲取 79
2.3.3 利用FTK Imager進行取證復制 82
2.3.4 利用X-Ways Forensics進行取證復制 88
2.4 任務二：Windows注冊表調查 92
2.4.1 注冊表基礎 92
2.4.2 計算機取證調查中關注的常規鍵 94
2.4.3 取證調查時注冊表中關注的文件夾
位置 96
2.4.4 取證調查時注冊表中關注的自啟
動項 98
2.4.5 注冊表取證調查的方法 99
2.5 任務三：Windows文件目錄調查 102
2.5.1 自啟動目錄和文件 102
2.5.2 Windows系統中的重要目錄 103
2.5.3 Windows系統中的重要系統文件 106
2.6 任務四：Windows日志調查 108
2.6.1 事件日志的調查 108
2.6.2 網絡日志的調查 112
2.7 任務五：Windows的進程和網絡痕跡
調查 115
2.7.1 系統常用進程分析 115
2.7.2 系統網絡痕跡調查 118
應用實訓 119
拓展練習 120
項目3 非Windows環境的單機取證 121
學習目標 121
項目說明 121
項目任務 121
基礎知識 122
3.1 Macintosh的引導過程和文件系統 122
3.1.1 Macintosh文件結構 122
3.1.2 Macintosh中的卷結構 123
3.1.3 引導Macintosh系統 124
3.2 UNIX/Linux的引導過程和文件系統 125
3.2.1 UNIX/Linux磁盤結構 125
3.2.2 i節點簡介 128
3.2.3 Linux的目錄結構和重要文件 130
3.2.4 UNIX/Linux的引導過程 133
項目分析 134
項目實施 135
3.3 任務一：在UNIX/Linux環境下獲取
原始證據 135
3.3.1 UNIX/Linux系統中現場證據的
獲取 135
3.3.2 UNIX/Linux環境中內存與硬盤
信息的獲取 137
3.3.3 UNIX/Linux環境中進程信息的
獲取 142
3.3.4 UNIX/Linux的網絡連接信息獲取 145
3.4 任務二：UNIX/Linux環境的數據初步
分析 148
3.4.1 UNIX/Linux環境的取證數據預處理 148
3.4.2 UNIX/Linux環境的日志調查 150
3.4.3 UNIX/Linux環境中其他重要信息
的調查 155
應用實訓 158
拓展練習 159
項目4 原始證據的深入分析 160
學習目標 160
項目說明 160
項目任務 160
基礎知識 161
4.1 電子證據司法鑒定的程序 161
4.1.1 電子證據司法鑒定的含義 161
4.1.2 電子證據司法鑒定的程序 161
4.2 電子證據保全的程序 162
4.2.1 電子證據保全的含義 162
4.2.2 電子證據保全的程序 163
4.3 調查取證報告 164
4.3.1 調查取證報告的重要性 164
4.3.2 取證報告的書寫準則 165
項目分析 168
項目實施 169
4.4 任務一：利用EnCase Forensic進行
分析 169
4.4.1 創建新案件并添加證據磁盤 169
4.4.2 EnCase界面簡介 172
4.4.3 利用EnCase調查案件的前期步驟 184
4.4.4 文件操作 188
4.4.5 關鍵詞搜索 190
4.4.6 使用書簽 194
4.4.7 生成報告 196
4.5 任務二：利用X-Ways Forensics進行
分析 199
4.5.1 環境設置 199
4.5.2 創建新案件 200
4.5.3 添加取證分析的原始證據 202
4.5.4 基本界面和操作 202
4.5.5 進行磁盤快照 206
4.5.6 使用過濾器 208
4.5.7 搜索數據信息 210
4.5.8 提取文件 212
4.5.9 生成報告 214
應用實訓 216
拓展練習 217
項目5 在網絡中進行取證 218
學習目標 218
項目說明 218
項目任務 219
基礎知識 219
5.1 網絡取證基礎 219
5.1.1 網絡取證的定義 219
5.1.2 網絡取證的特點 220
5.1.3 網絡電子證據的特點 221
5.1.4 網絡取證的難點和發展趨勢 222
5.1.5 網絡監控的程序 224
5.2 網絡調查的信息源和常用分析工具 224
5.2.1 網絡調查的信息源 224
5.2.2 網絡取證分析工具 226
項目分析 232
項目實施 232
5.3 任務一：云存儲取證案例分析 232
5.3.1 云計算基礎 232
5.3.2 調查云存儲痕跡 233
5.4 任務二：網絡取證案例分析 238
5.4.1 搭建蜜罐（Honeypot） 238
5.4.2 運用蜜罐技術進行網絡取證調查 244
應用實訓 249
拓展練習 250
項目6 針對多媒體進行取證 251
學習目標 251
項目說明 251
項目任務 252
基礎知識 252
6.1 數字多媒體基礎 252
6.1.1 灰度圖像 253
6.1.2 彩色圖像 253
6.1.3 調色板圖像 254
6.2 數字圖像內容認證技術基礎 255
6.2.1 數字圖像內容篡改的現狀 255
6.2.2 數字圖像的篡改方法 258
項目分析 261
項目實施 261
6.3 任務一：對簡單數據隱藏進行分析 261
6.3.1 針對最簡單的數據隱藏方式進行
分析 262
6.3.2 插入式數據隱藏 263
6.4 任務二：利用隱寫分析技術分析可疑
圖像 264
6.4.1 數字隱寫和隱寫分析技術 264
6.4.2 數字圖像隱寫技術基礎 264
6.4.3 利用簡單的數字圖像隱寫術隱藏
數據 267
6.4.4 針對簡單數字圖像隱寫術的分析
取證 271
6.5 任務三：數字圖像內容真實性認證 273
6.5.1 數字圖像內容認證技術概略 273
6.5.2 數字圖像內容認證案例分析 276
應用實訓 279
拓展練習 279
參考文獻 281

1. 計算機取證與司法鑒定（第二版） [張湛 瞿芳]