本书主要论述Windows系统平台的计算机取证问题,从理论、实践、技术等多角度进行详细阐述,给出了在目标机和分析工具方面均立足于Windows平台的操作指南,旨在为UNIX/Linux专家提供Windows操作系统中适合取证分析的工作步骤,为那些希望进入计算机取证世界的Windows专家们提供坚实的基础,让更多的取证爱好者得以借助本书进入Windows取证这个充满魅力和挑战性的领域。
本书主要读者对象为企业网络安全管理人员、网络(监察)警察、本科生、研究生、科研人员、教学人员和普通读者。本书适合于在企业、高校内进行计算机取证人才培训,包括作为企业安全管理员和取证分析师培训教材,高校信息安全专业的本科生、研究生专业课教材,或计算机、信息技术等相关专业的本科生和研究生(尤其是工程硕士)等选修课教材。
样章试读
目录
- 译者序
作者简介
出品团队
致谢
第1章 Windows取证
1.1 企业计算机取证分析师
1.2 Windows取证
1.3 人、程序和工具
1.4 计算机取证:当前和未来
1.5 补充参考资源
第2章 处理数字犯罪现场
2.1 确认现场
2.2 执行远程调查
2.3 保护现场
2.4 记录现场
2.5 处理物理证据现场
2.6 处理数字证据现场
2.7 保管链
2.8 最佳证据
2.9 与执法机关共事
2.10 补充参考资源
第3章 Windows取证基础
3.1 历史和版本
3.1.1 MS-DOS
3.1.2 Windows1.x、2.x和3.x
3.1.3 WindowsNT和Windows2000
3.1.4 Windows95/98/Me
3.1.5 WindowsXP/2003
3.2 非易失性存储器
3.2.1 软盘
3.2.2 磁带
3.2.3 CD和DVD
3.2.4 USB闪存驱动器
3.2.5 硬盘
3.3 补充参考资源
第4章 分区和文件系统
4.1 主引导记录
4.2 Windows文件系统
4.2.1 FAT
4.2.2 VFAT
4.2.3 NTFS
4.3 补充参考资源
第5章 目录结构和特殊文件
5.1 WindowsNT/2000/XP
5.1.1 目录
5.1.2 文件
5.2 Windows9x
5.2.1 目录
5.2.2 文件
5.3 补充参考资源
第6章 注册表
6.1 历史
6.2 注册表基础知识
6.3 注册表分析
6.3.1 常规注册表键
6.3.2 文件夹位置
6.3.3 自启动项目
6.3.4 智能表单
6.4 高级注册表分析
6.5 补充参考资源
第7章 取证分析
第8章 系统联机分析
8.1 隐秘分析
8.1.1 系统状态分析
8.1.2 监控
8.2 公开分析
8.2.1 基于GUI的公开分析
8.2.2 本地命令行分析
8.2.3 远程命令行分析
8.2.4 基本信息收集
8.2.5 系统状态信息
8.2.6 运行程序的信息
8.2.7 主存分析
8.3 补充参考资源
第9章 取证复制
9.1 硬盘复制
9.1.1 原地复制
9.1.2 直连复制
9.2 日志文件复制
9.3 补充参考资源
第10章 文件系统分析
10.1 搜索
10.1.1 索引搜索
10.1.2 按位搜索
10.1.3 搜索方法
10.2 散列分析
10.2.1 正散列分析
10.2.2 反散列分析
10.3 文件恢复
10.4 特殊文件
10.4.1 打印队列文件
10.4.2 Windows快捷方式
10.4.3 分页文件
10.5 补充参考资源
第11章 日志文件分析
11.1 事件日志
11.1.1 应用程序日志
11.1.2 系统日志
11.1.3 安全日志
11.2 因特网日志
11.2.1 HTTP日志
11.2.2 FTP日志
11.2.3 SMTP日志
11.3 补充参考资源
第12章 因特网使用分析
12.1 网络活动
12.1.1 IE浏览器
12.1.2 Firefox
12.1.3 工具栏历史
12.1.4 网络、代理和DNS历史记录
12.2 对等网络
12.2.1 Gnutella客户端
12.2.2 Limewire
12.2.3 FastTrack客户端
12.2.4 Overnet、eMule、eDonkey 2000客户端
12.3 即时消息
12.3.1 AOL Instant Messenger
12.3.2 Microsoft Messenger
12.4 补充参考资源
第13章 电子邮件调查
13.1 Outlook/Outlook Express
13.1.1 Outlook Express
13.1.2 Outlook
13.2 Lotus Notes
13.2.1 获取
13.2.2 访问控制与日志记录
13.2.3 分析
13.2.4 地址簿
13.3 补充参考资源
附录1 保管链表格的样例
附录2 主引导记录的结构
附录3 分区类型
附录4 FAT32引导扇区的结构
附录5 NTFS引导扇区结构
附录6 NTFS元文件
附录7 常见的安全标识符