計算機(jī)取證調(diào)查指南

前言

　　近年來世界范圍內(nèi)發(fā)生的重大事件，已經(jīng)影響和改變了我們對于證據(jù)收集的思考方式。2001年9月11日美國紐約世貿(mào)中心遭到襲擊后不久，許多青年男女都自發(fā)地以不同的方式為國家效力。沒有參軍的年輕人，則選擇加入了執(zhí)法和安全機(jī)構(gòu)。隨著諸如CSI、罪案取證和NCIS等主流電視節(jié)目越來越受歡迎，加上國土安全問題重新被重視，使得對計算機(jī)取證領(lǐng)域方面的專家需求大增。這種需求正通過在全美的大專院校甚至高中所開設(shè)的計算機(jī)取證專業(yè)課程來得以滿足?！　∪欢?，計算機(jī)取證絕不是一門還處于探索階段的新興領(lǐng)域。早在20世紀(jì)90年代，當(dāng)時我在海軍犯罪調(diào)查機(jī)構(gòu)里擔(dān)任特別調(diào)查員，就已經(jīng)意識到個人電腦，更專業(yè)地說是無安全保障的個人電腦，給國家安全帶來了潛在的威脅。那時，我開始指導(dǎo)對白領(lǐng)犯罪、網(wǎng)絡(luò)攻擊，以及通信詐騙等案件的取證調(diào)查。今天，大多數(shù)新的計算機(jī)取證專家可能會參與更廣泛和更多樣化的取證調(diào)查，包括反恐間諜活動、反洗錢、知識產(chǎn)權(quán)竊取、電子監(jiān)視等問題?！　〔煌娜∽C專家所必須具備的技能是不一樣的。最低限度來說，他們必須具備深厚的刑事司法體系知識、計算機(jī)硬軟件系統(tǒng)知識、調(diào)查和證據(jù)收集規(guī)范方面的知識。下一代的“電子偵探”將必須具備相應(yīng)的知識、技能和經(jīng)驗，才能完成涉及多種操作系統(tǒng)和文件類型的、復(fù)雜的、數(shù)據(jù)密集型的取證調(diào)查工作。

內(nèi)容概要

本書包括計算機(jī)取證調(diào)查所需的工具和技巧，解釋了文檔結(jié)構(gòu)、數(shù)據(jù)恢復(fù)、電子郵件和網(wǎng)絡(luò)調(diào)查以及專家證人的證詞等主要問題。除了可以學(xué)到基本的概念，讀者還可以掌握處理數(shù)字調(diào)查證據(jù)和保存支持呈堂證據(jù)或者企業(yè)查詢證據(jù)的實踐知識。  　主要特點：　　涵蓋最新的兩個正在著手調(diào)查的案例，一個企業(yè)案件和一個刑事案件。將所學(xué)的概念運用到真實世界中?！　∪娓碌募夹g(shù)內(nèi)容，包括更多種類的取證調(diào)查軟件和關(guān)于網(wǎng)絡(luò)取證的最新一章內(nèi)容?！　」δ軓V泛的學(xué)習(xí)工具，包括練習(xí)、貫穿全書的項目和案例，讓學(xué)生能實踐所學(xué)技能。

作者簡介

Bill Nelson專門進(jìn)行計算機(jī)取證調(diào)查工作長達(dá)8年之久。他曾是犯罪用自動指紋識別系統(tǒng)的軟件工程師。

書籍目錄

第一章　計算機(jī)取證和調(diào)查專業(yè)介紹  了解計算機(jī)取證    計算機(jī)取證與其他相關(guān)學(xué)科    計算機(jī)取證歷史簡介    開發(fā)計算機(jī)取證資源  為計算機(jī)調(diào)查做準(zhǔn)備    了解執(zhí)法機(jī)構(gòu)調(diào)查    了解企業(yè)調(diào)查  維護(hù)職業(yè)道德  本章小結(jié)  關(guān)鍵術(shù)語  復(fù)習(xí)題  練習(xí)題  案例題第二章　理解計算機(jī)調(diào)查  為計算機(jī)調(diào)查做準(zhǔn)備    調(diào)查一起計算機(jī)犯罪    調(diào)查一起違反公司制度的案件  采取系統(tǒng)化方法    評估案件    制訂調(diào)查計劃    確保證據(jù)的安全  了解數(shù)據(jù)恢復(fù)工作站與軟件    建立計算機(jī)取證工作站  展開調(diào)查    收集證據(jù)  創(chuàng)建一張取證引導(dǎo)軟盤    準(zhǔn)備好制作一張取證啟動盤所需的工具    通過遠(yuǎn)程網(wǎng)絡(luò)連接來恢復(fù)取證數(shù)據(jù)    拷貝證據(jù)磁盤    使用FrK Imager創(chuàng)建位流鏡像文件    分析數(shù)字證據(jù)  結(jié)束案件  對案件進(jìn)行評估  本章小結(jié)  關(guān)鍵術(shù)語  復(fù)習(xí)題  練習(xí)題  案例題第三章　調(diào)查人員的辦公室與實驗室  了解取證實驗室的認(rèn)證要求    明確實驗室管理者和實驗室工作人員的職責(zé)    實驗室預(yù)算方案    獲取認(rèn)證與培訓(xùn)  確定計算機(jī)取證實驗室的物理布局    確定實驗室安全需求    展開高風(fēng)險調(diào)查    考慮辦公室的人體工程學(xué)    考慮環(huán)境因素    考慮結(jié)構(gòu)設(shè)計因素    確定實驗室的電力需求    制訂通信計劃    安裝滅火系統(tǒng)    使用證據(jù)容器    監(jiān)督實驗室的維護(hù)    考慮物理安全需求    審查計算機(jī)取證實驗室    確定計算機(jī)取證實驗室的樓層計劃  選擇一個基本取證工作站　　……第四章　目前的計算機(jī)取證工具第五章　處理犯罪和事故現(xiàn)場第六章　數(shù)字證據(jù)保全第七章　在Windows和DOS系統(tǒng)下工作第八章　Macintosh與Linux引導(dǎo)過程和文件系統(tǒng)第九章　數(shù)據(jù)提取第十章　計算機(jī)取證分析第十一章　恢復(fù)圖像文件秕十二章　網(wǎng)絡(luò)取證第十三章　電子郵件調(diào)查第十四章　成為一個專家型證人并書寫調(diào)查結(jié)果報告　附錄A　證書考試介紹附錄B　計算機(jī)取證參考附錄C　企業(yè)高科技調(diào)查規(guī)范術(shù)語表　

章節(jié)摘錄

　　術(shù)語“企業(yè)環(huán)境”是指大型企業(yè)的計算機(jī)系統(tǒng)，該系統(tǒng)可能包含一個或多個無關(guān)聯(lián)的系統(tǒng)或者先前獨立的系統(tǒng)。在小型企業(yè)中，一個小組就可能完成調(diào)查三角形中所示的這些任務(wù)，或者一個小型企業(yè)與其他企業(yè)簽訂合同共同來完成這些任務(wù)?！　‘?dāng)你在脆弱性評估和風(fēng)險管理小組工作時，一定要測試并證明獨立工作站與網(wǎng)絡(luò)服務(wù)器的完整性。此項完整性檢驗包括系統(tǒng)的物理安全及操作系統(tǒng)與運行的安全，這個小組的成員要對全網(wǎng)做測試，找出已知的操作系統(tǒng)和應(yīng)用系統(tǒng)安全隱患。該小組成員對網(wǎng)絡(luò)、計算機(jī)工作站和服務(wù)器進(jìn)行攻擊，旨在評估其脆弱性。一般來說，完成該任務(wù)的人員應(yīng)具有多年在UNIX和Windows NT/2000/XP管理方面的經(jīng)驗?！　〈嗳跣栽u估和風(fēng)險管理小組中的專業(yè)人員還需具備網(wǎng)絡(luò)入侵檢測和事件響應(yīng)方面的技能。他們通過使用自動化軟件工具和人工監(jiān)控網(wǎng)絡(luò)防火墻日志來檢測入侵者的攻擊。當(dāng)檢測到攻擊時，事件響應(yīng)小組就對入侵者進(jìn)行跟蹤、定位和識別，并拒絕他／她進(jìn)一步訪問網(wǎng)絡(luò)。如果入侵者的攻擊會造成重大或是潛在的破壞，響應(yīng)小組則要收集必要的證據(jù)用來提起對入侵者的民事或刑事訴訟。訴訟是在法庭上證明某人有罪或無罪的法律程序?！　∪绻词跈?quán)用戶正在訪問網(wǎng)絡(luò)，或任一用戶正在進(jìn)行非法操作，網(wǎng)絡(luò)入侵檢測和事件響應(yīng)組就要通過定位或阻斷該用戶的訪問來作出響應(yīng)。例如，一社區(qū)大學(xué)成員發(fā)送煽動性電子郵件給網(wǎng)絡(luò)上的其他用戶，網(wǎng)絡(luò)組立刻意識到此電子郵件來自于本地網(wǎng)絡(luò)上的一節(jié)點，于是派出安全組到節(jié)點所在地去。在過去，脆弱性評估成員對高端計算機(jī)調(diào)查的貢獻(xiàn)是非常大的。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    計算機(jī)取證調(diào)查指南 PDF格式下載

---