內容簡介
《計算機取證調查指南》包括計算機取證調查所需的工具和技巧,解釋了文檔結構、數據恢復、電子郵件和網路調查以及專家證人的證詞等主要問題。除了可以學到基本的概念.讀者還可以掌握處理數字調查證據和保存支持呈堂證據或者企業查詢證據的實踐知識。作者簡介
BillNelson,專門進行計算機取證調查工作長達8年之久。他曾是犯罪用自動指紋識別系統的軟體工程師。AmeliaPhillips,為好幾所杜區大學設計了電子商務和計算機取證調查課程。
FrankEnfinger,是北西雅圖社區大學的終身教員,同時也是當地警察部門的計算機取證調查專家成員。
ChristopherSteuart是,美國政府的信息安全官。
目錄
第一章計算機取證和調查專業介紹了解計算機取證
計算機取證與其他相關學科
計算機取證歷史簡介
開發計算機取證資源
為計算機調查做準備
了解執法機構調查
了解企業調查
維護職業道德
本章小結
關鍵術語
複習題
練習題
案例題
第二章理解計算機調查
為計算機調查做準備
調查一起計算機犯罪
調查一起違反公司制度的案件
採取系統化方法
評估案件
制訂調查計畫
確保證據的安全
了解數據恢復工作站與軟體
建立計算機取證工作站
展開調查
收集證據
創建一張取證引導軟碟
準備好製作一張取證啟動盤所需的工具
通過遠程網路連線來恢復取證數據
拷貝證據磁碟
使用FTKImager創建位流鏡像檔案
分析數字證據
結束案件
對案件進行評估
本章小結
關鍵術語
複習題
練習題
案例題
第三章調查人員的辦公室與實驗室
了解取證實驗室的認證要求
明確實驗室管理者和實驗室工作人員的職責
實驗室預算方案
獲取認證與培訓
確定計算機取證實驗室的物理布局
確定實驗室安全需求
展開高風險調查
考慮辦公室的人體工程學
考慮環境因素
考慮結構設計因素
確定實驗室的電力需求
制訂通信計畫
安裝滅火系統
使用證據容器
監督實驗室的維護
考慮物理安全需求
審查計算機取證實驗室
確定計算機取證實驗室的樓層計畫
選擇一個基本取證工作站
為警察實驗室選擇工作站
為私人實驗室和企業實驗室選擇工作站
儲備硬體外圍設備
為作業系統和套用軟體做好詳細清單
運用災難恢復計畫
為設備升級制訂計畫
使用筆記本取證工作站
為取證實驗室的發展確定業務狀況
為計算機取證實驗室準備一份業務需求報告
本章小結
關鍵術語
複習題
練習題
案例題
第四章目前的計算機取證工具
計算機取證軟體需求
計算機取證工具的類型
計算機取證工具的執行任務
工具比較
針對工具的其他需要考慮的事項
計算機取證軟體
命令行取證工具
UNIX/linux命令行取證工具
GUI取證工具
計算機硬體工具
計算機調查工作站
驗證並測試取證軟體
使用NIST(國家標準與技術研究院)工具
驗證協定
本章小結
關鍵術語
複習題
練習題
案例題
第五章處理犯罪和事故現場
收集私營部門事故現場的證據
處理執法犯罪現場
理解在搜查令中使用的概念和術語
為查找證據做準備
鑑定案件性質
鑑別計算機系統的類型
確定是否可以查封一台電腦
獲取一份詳盡的犯罪地點的描述
確定誰是主管
使用輔助技術專家
確定需要的工具
組建調查小組
保護計算機事故或犯罪現場
在現場獲取數字證據
處理一個主要的事故或犯罪現場
使用RAID陳列處理數據中心
在事故或犯罪現場採用技術顧問
民事調查案例
刑事調查案例
審閱一個案件
鑑別案件需求
規劃你的調查
取證工具包(AccessDataFTK)
本章小結
關鍵術語
複習題
練習題
案例題
第六章數字證據保全
第七章在Windows和DOS系統下工作
第八章Macintosh與Linux引導過程和
第九章數據提取
第十章計算機取證分析
第十一章恢復圖像檔案
第十二章網路取證
第十三章電子郵件調查
第十四章成為一個專家型證人並書寫調查結果報告
附錄A證書考試介紹
附錄B計算機取證參考
附錄C企業高科技調查規範
術語表
……
文摘
術語“企業環境”是指大型企業的計算機系統,該系統可能包含一個或多個無關聯的系統或者先前獨立的系統。在小型企業中,一個小組就可能完成調查三角形中所示的這些任務,或者一個小型企業與其他企業簽訂契約共同來完成這些任務。當你在脆弱性評估和風險管理小組工作時,一定要測試並證明獨立工作站與網路伺服器的完整性。此項完整性檢驗包括系統的物理安全及作業系統與運行的安全,這個小組的成員要對全網做測試,找出已知的作業系統和套用系統安全隱患。該小組成員對網路、計算機工作站和伺服器進行攻擊,旨在評估其脆弱性。一般來說,完成該任務的人員應具有多年在UNIX和WindowsNT/2000/XP管理方面的經驗。
脆弱性評估和風險管理小組中的專業人員還需具備網路入侵檢測和事件回響方面的技能。他們通過使用自動化軟體工具和人工監控網路防火牆日誌來檢測入侵者的攻擊。當檢測到攻擊時,事件回響小組就對入侵者進行跟蹤、定位和識別,並拒絕他/她進一步訪問網路。如果入侵者的攻擊會造成重大或是潛在的破壞,回響小組則要收集必要的證據用來提起對入侵者的民事或刑事訴訟。訴訟是在法庭上證明某人有罪或無罪的法律程式。
如果未授權用戶正在訪問網路,或任一用戶正在進行非法操作,網路入侵檢測和事件回響組就要通過定位或阻斷該用戶的訪問來作出回響。例如,一社區大學成員傳送煽動性電子郵件給網路上的其他用戶,網路組立刻意識到此電子郵件來自於本地網路上的一節點,於是派出安全組到節點所在地去。在過去,脆弱性評估成員對高端計算機調查的貢獻是非常大的。
