计算机取证与司法鉴定

随着近20年信息技术和计算机网络技术的发展，特别是近年来云计算技术的普遍运用，公众的生活和工作已与计算机和信息网络紧密联系在一起。在这样的环境下，计算机犯罪或利用计算机工具的犯罪活动急剧增加，与计算机或电子证据相关的民事纠纷也越来越多，这使得涉及计算机取证的案例调查和司法实践的需求越来越迫切，社会迫切需要培养计算机取证和司法实践的专业职业人才。

计算机取证通常是一个需要严谨且训练有素的团队，历时数十小时甚至上百小时并利用各种工具认真发现、比对和归类的过程，也是一个小心翼翼进行证据保全和准备取证报告的过程，是一个既枯燥又有趣的充满挑战的过程。本书会深入介绍在计算机取证和司法鉴定的实施中，那些极其重要的不可忽略的部分。

一、结构

本书没有按部就班地介绍深奥枯燥的计算机取证理论，而是切合高等职业人才的培养特点，强调理论以够用为度，以既相互独立又有所联系的计算机取证和司法鉴定的案例为主线，分六个大的项目，从计算机取证准备和现场处理开始，依次论述Windows环境单机取证、非Windows环境的单机取证、原始证据的深入分析、网络取证和针对多媒体的取证六个计算机取证的重要领域和过程，全面系统地介绍了计算机取证和司法鉴定的基本理论以及实际案例调查的操作规程和技术运用，且每个项目均以实训和习题的形式配备大量来自工程实践的应用案例。全书立足于计算机取证调查技术的实际运用，可操作性强。本书具体内容和建议课时如下表所示。

章节序号 章节名称 子任务数量 理论课时 实践学时

1 计算机取证准备和现场处理 3 6 3

2 Windows环境单机取证 5 6 6

3 非Windows环境的单机取证 2 5 6

4 原始证据的深入分析 2 6 9

5 在网络中进行取证 2 6 6

6 针对多媒体进行取证 3 5 4

每个项目名称本身就是一个大的学习任务，以“项目说明－项目任务－基础知识－项目分析－项目实施－应用实训－拓展练习”为主线，每个项目内容在涵盖基本理论知识的基础上，以项目案例调查为实践落脚点，通过“项目说明和项目任务”让学生首先了解要解决的实际问题，激发学习兴趣；然后通过“基础知识”的学习，奠定相应的理论和技术基础；进而通过“项目分析”使学生明确具体项目的实施策略，并在“项目实施”中以项目任务为规划分步完成项目，体现学以致用；最后通过“应用实训”和“拓展练习”巩固学生学习成果，从而实现理实一体化的高效教学。整个内容结构步步为营、环环相扣，理论实践浑然天成，体现了任务驱动和“教学做”一体化的思想。

二、特色

1．实用——贴近企业

本书在编写过程中，查阅了大量国际一流计算机取证公司的产品技术和规范，并得到多家计算机取证产品公司的技术支持，内容取舍来源于企业需求，实用性高。

2．实效——理实一体

教材在编写过程中，以“项目引导、任务驱动”为思路，从项目案例的“项目说明和项目任务”入手，使学生通过真实的案例了解所学内容的实用价值，提高学生兴趣，然后展开“基础知识”的学习。通过“项目分析和项目实施”完成项目，并通过“应用实训和拓展练习”强化学生技能，体现了任务驱动和“教学做”一体化的思想，实效性高。

三、面向对象

本书主要面向计算机专业和法学专业的高职高专院校学生（建议教学学时为68学时，课堂讲授和取证实践学时各占一半），也可作为相关专业本科学生、企业信息安全人员、行业信息安全管理人员的培训教材；对于IT行业人士、司法鉴定人士、司法和执法工作者、律师以及法学理论研究者也具有良好的参考价值。

四、致谢

本书由重庆电子工程职业学院张湛、武春岭任主编，瞿芳、邓晶为副主编。张湛负责组织策划，并编写项目4和项目6，武春岭负责结构规划、统稿，并编写项目1，瞿芳负责编写项目2和项目3，邓晶负责编写项目5。在本书编写过程中，廖浩一、史海深和胡雨薇同学提供了大量的帮助，在此对他们表示感谢。

由于本书作者水平所限，书中错漏之处，敬请读者批评指正。作者邮箱：blacksnown@126.com。

编 者

2014年6月于重庆

项目1 计算机取证准备和现场处理 1
学习目标 1
项目说明 1
项目任务 1
基础知识 2
1.1 计算机取证调查和鉴定的概念 2
1.1.1 计算机取证和司法鉴定 2
1.1.2 计算机取证调查和鉴定的业务范围 3
1.1.3 计算机取证的发展状况 4
1.1.4 计算机取证调查与个人隐私和公司
秘密的保障 5
1.1.5 计算机取证和司法鉴定的原则 6
1.1.6 计算机取证的实施过程 10
1.2 计算机取证调查人员 15
1.2.1 计算机取证和鉴定人员的要求 15
1.2.2 企业内部调查取证人员与司法
取证和鉴定人员的异同 18
1.2.3 计算机取证人员的职业道德 18
1.3 电子取证相关工作基本程序 19
1.3.1 电子取证的基本程序 19
1.3.2 计算机调查的程序 20
1.3.3 计算机现场勘验的程序 21
1.4 企业内部取证调查和司法取证调查 23
1.4.1 针对私营企业内部取证现场的
取证调查 23
1.4.2 针对执法犯罪现场的取证调查 26
项目分析 27
项目实施 28
1.5 任务一：计算机取证的程序和文档准备 28
1.5.1 计算机取证调查授权书的准备 28
1.5.2 评估案件的性质 30
1.5.3 确定计算机取证调查的边界 31
1.5.4 准备计算机取证的证据管理表单 33
1.6 任务二：计算机取证的硬软件准备 35
1.6.1 了解取证案件的需求 35
1.6.2 规划取证调查 36
1.6.3 制作干净的启动盘 37
1.6.4 建立现场取证工具箱 47
1.6.5 准备取证所需设备和工具 48
1.7 任务三：进入取证现场 51
1.7.1 处理一个主要的取证现场 51
1.7.2 保护现场的数字证据 52
1.7.3 分类数字证据 53
1.7.4 处理和管理数字证据 54
1.7.5 存储数字证据 54
应用实训 55
拓展练习 56
项目2 Windows环境单机取证 57
学习目标 57
项目说明 57
项目任务 57
基础知识 58
2.1 电子证据的概念和法律定位 58
2.1.1 电子证据的概念 58
2.1.2 电子证据、计算机证据和数字证据
的异同 58
2.1.3 电子证据的特点 60
2.1.4 电子证据的可采性问题 62
2.1.5 电子证据与我国传统的七大证据的
关系 62
2.1.6 电子证据与直接证据和间接证据的
关系 65
2.2 Windows/DOS取证基础 66
2.2.1 主引导记录MBR 66
2.2.2 FAT文件结构 68
2.2.3 NTFS文件结构 71
项目分析 77
项目实施 78
2.3 任务一：在Windows环境下进行原始
证据取证复制 78
2.3.1 现场取证复制前的考虑 78
2.3.2 易失性证据的获取 79
2.3.3 利用FTK Imager进行取证复制 82
2.3.4 利用X-Ways Forensics进行取证复制 88
2.4 任务二：Windows注册表调查 92
2.4.1 注册表基础 92
2.4.2 计算机取证调查中关注的常规键 94
2.4.3 取证调查时注册表中关注的文件夹
位置 96
2.4.4 取证调查时注册表中关注的自启
动项 98
2.4.5 注册表取证调查的方法 99
2.5 任务三：Windows文件目录调查 102
2.5.1 自启动目录和文件 102
2.5.2 Windows系统中的重要目录 103
2.5.3 Windows系统中的重要系统文件 106
2.6 任务四：Windows日志调查 108
2.6.1 事件日志的调查 108
2.6.2 网络日志的调查 112
2.7 任务五：Windows的进程和网络痕迹
调查 115
2.7.1 系统常用进程分析 115
2.7.2 系统网络痕迹调查 118
应用实训 119
拓展练习 120
项目3 非Windows环境的单机取证 121
学习目标 121
项目说明 121
项目任务 121
基础知识 122
3.1 Macintosh的引导过程和文件系统 122
3.1.1 Macintosh文件结构 122
3.1.2 Macintosh中的卷结构 123
3.1.3 引导Macintosh系统 124
3.2 UNIX/Linux的引导过程和文件系统 125
3.2.1 UNIX/Linux磁盘结构 125
3.2.2 i节点简介 128
3.2.3 Linux的目录结构和重要文件 130
3.2.4 UNIX/Linux的引导过程 133
项目分析 134
项目实施 135
3.3 任务一：在UNIX/Linux环境下获取
原始证据 135
3.3.1 UNIX/Linux系统中现场证据的
获取 135
3.3.2 UNIX/Linux环境中内存与硬盘
信息的获取 137
3.3.3 UNIX/Linux环境中进程信息的
获取 142
3.3.4 UNIX/Linux的网络连接信息获取 145
3.4 任务二：UNIX/Linux环境的数据初步
分析 148
3.4.1 UNIX/Linux环境的取证数据预处理 148
3.4.2 UNIX/Linux环境的日志调查 150
3.4.3 UNIX/Linux环境中其他重要信息
的调查 155
应用实训 158
拓展练习 159
项目4 原始证据的深入分析 160
学习目标 160
项目说明 160
项目任务 160
基础知识 161
4.1 电子证据司法鉴定的程序 161
4.1.1 电子证据司法鉴定的含义 161
4.1.2 电子证据司法鉴定的程序 161
4.2 电子证据保全的程序 162
4.2.1 电子证据保全的含义 162
4.2.2 电子证据保全的程序 163
4.3 调查取证报告 164
4.3.1 调查取证报告的重要性 164
4.3.2 取证报告的书写准则 165
项目分析 168
项目实施 169
4.4 任务一：利用EnCase Forensic进行
分析 169
4.4.1 创建新案件并添加证据磁盘 169
4.4.2 EnCase界面简介 172
4.4.3 利用EnCase调查案件的前期步骤 184
4.4.4 文件操作 188
4.4.5 关键词搜索 190
4.4.6 使用书签 194
4.4.7 生成报告 196
4.5 任务二：利用X-Ways Forensics进行
分析 199
4.5.1 环境设置 199
4.5.2 创建新案件 200
4.5.3 添加取证分析的原始证据 202
4.5.4 基本界面和操作 202
4.5.5 进行磁盘快照 206
4.5.6 使用过滤器 208
4.5.7 搜索数据信息 210
4.5.8 提取文件 212
4.5.9 生成报告 214
应用实训 216
拓展练习 217
项目5 在网络中进行取证 218
学习目标 218
项目说明 218
项目任务 219
基础知识 219
5.1 网络取证基础 219
5.1.1 网络取证的定义 219
5.1.2 网络取证的特点 220
5.1.3 网络电子证据的特点 221
5.1.4 网络取证的难点和发展趋势 222
5.1.5 网络监控的程序 224
5.2 网络调查的信息源和常用分析工具 224
5.2.1 网络调查的信息源 224
5.2.2 网络取证分析工具 226
项目分析 232
项目实施 232
5.3 任务一：云存储取证案例分析 232
5.3.1 云计算基础 232
5.3.2 调查云存储痕迹 233
5.4 任务二：网络取证案例分析 238
5.4.1 搭建蜜罐（Honeypot） 238
5.4.2 运用蜜罐技术进行网络取证调查 244
应用实训 249
拓展练习 250
项目6 针对多媒体进行取证 251
学习目标 251
项目说明 251
项目任务 252
基础知识 252
6.1 数字多媒体基础 252
6.1.1 灰度图像 253
6.1.2 彩色图像 253
6.1.3 调色板图像 254
6.2 数字图像内容认证技术基础 255
6.2.1 数字图像内容篡改的现状 255
6.2.2 数字图像的篡改方法 258
项目分析 261
项目实施 261
6.3 任务一：对简单数据隐藏进行分析 261
6.3.1 针对最简单的数据隐藏方式进行
分析 262
6.3.2 插入式数据隐藏 263
6.4 任务二：利用隐写分析技术分析可疑
图像 264
6.4.1 数字隐写和隐写分析技术 264
6.4.2 数字图像隐写技术基础 264
6.4.3 利用简单的数字图像隐写术隐藏
数据 267
6.4.4 针对简单数字图像隐写术的分析
取证 271
6.5 任务三：数字图像内容真实性认证 273
6.5.1 数字图像内容认证技术概略 273
6.5.2 数字图像内容认证案例分析 276
应用实训 279
拓展练习 279
参考文献 281

1. 计算机取证与司法鉴定（第二版） [张湛 瞿芳]