《电子物证技术基础》,本书共分7章,分别介绍存储技术、常用的FAT、NTFS、Ext文件系统、文件相关的取证知识、内存管理基、系统安全、字符编码、可执行文件格式等相关知识。
随着计算机科学的普及与发展,特别是我国国民经济和社会信息化进程的全面加快,计算机信息系统的基础性、全局性作用日益增强。与此同时,涉及计算机系统的案件也与日俱增,互联网和计算机不仅已成为犯罪分子沟通联络的犯罪工具,而且也正日益成为实施犯罪的场所和工具。许多犯罪活动,包括传统类型犯罪,都会产生与案情相关的电子数据,因此导致了电子物证技术的出现和应用。电子物证涉及存储介质、文件系统、内存管理、文件属性、系统安全、字符编码等多方面的专业知识,为此我们特意编写了《电子物证技术基础》这本书,以满足培养高素质电子物证技术人员的需要。
全书共分7章。第1章存储技术基础,从数据存储技术、数据存储介质种类、硬盘接口类型等方面说明了相关背景知识。第2章文件系统基础,介绍了Windows、UNIX/Linux等操作系统常用的FAT、NTFS、Ext文件系统,并讨论了各文件系统下文件删除与恢复的技术方法。第3章文件基础,从文件类型、文件扩展名、文件访问控制、文件时间属性、系统文件夹功能等方面论述了与文件相关的取证知识。第4章内存管理基础,在详细说明常见操作系统内存管理机制、系统进程功能、进程操作方法的基础上,结合针对内存的占线分析与离线分析工具,讨论了内存信息分析方法,同时也对其他系统的内存管理机制予以简要说明。第5章系统安全基础,阐述了与系统安全密切相关的用户管理、系统配置文件、日志管理、系统服务及系统安全配置等知识。第6章字符编码基础,介绍了ASCII、GB2312、GB13000、GBK、Unicode、BIG5、CJK及UU、MIME、BinHex等电子物证实际工作中常用的字符编码知识。第7章可执行文件格式基础,说明了常见的可执行文件格式及其具体应用。
本书的突出特点是侧重基础、实用性强、内容全面,基本涵盖了从事电子物证工作所需的知识技能。同时注重理论与实践的结合,突出专业特色。本书既可作为信息安全、网络安全与执法等相关专业学生的教材,也可作为从事计算机犯罪侦查和电子物证人员的参考书。
本书由罗文华负责整体结构设计并编写了第3~5章(除3.4.1节和4.5节)。汤艳君编写了第1章(除1.2.5节)、第2章(除2.4节)、第6章及7.1节,马贺男编写了1.2.5节和2.4节,于晓聪编写了4.5节,李子川编写了3.4.1节,高杨编写了7.2节。电子物证技术基础前言本书从各种论文、书刊、期刊和互联网中引用了大量资料,有的已在参考文献中列出,有的无法考证,在此一并表示感谢!
尽管在编写此书过程中作者做很多努力,但由于水平有限,书中不妥之处在所难免,敬请读者批评指正。
编者2014年1月
第1章 存储技术基础
1.1 数据存储技术
1.1.1 电存储技术
1.1.2 磁存储技术
1.1.3 光存储技术
1.2 数据存储介质种类
1.2.1 硬盘
1.2.2 光盘
1.2.3 U盘
1.2.4 存储卡
1.2.5 磁盘阵列
1.3 硬盘接口类型
1.3.1 IDE/ATA接口
1.3.2 SCSI接口
1.3.3 SATA接口 第1章 存储技术基础
1.1 数据存储技术
1.1.1 电存储技术
1.1.2 磁存储技术
1.1.3 光存储技术
1.2 数据存储介质种类
1.2.1 硬盘
1.2.2 光盘
1.2.3 U盘
1.2.4 存储卡
1.2.5 磁盘阵列
1.3 硬盘接口类型
1.3.1 IDE/ATA接口
1.3.2 SCSI接口
1.3.3 SATA接口
1.3.4 光纤通道
1.3.5 SAS接口
1.3.6 USB接口
1.3.7 1394接口
1.3.8 eSATA接口
习题1
第2章 文件系统基础
2.1 FAT文件系统
2.1.1 主引导记录
2.1.2 DOS引导记录
2.1.3 文件分配表
2.1.4 文件目录表
2.1.5 数据
2.1.6 应用实例
2.1.7 文件的删除与恢复
2.2 NTFS文件系统
2.2.1 NTFS文件系统特性
2.2.2 NTFS文件系统的高级特性
2.2.3 NTFS文件系统结构
2.2.4 应用实例
2.2.5 文件的删除与恢复
2.2.6 FAT与NTFS的格式转换
2.3 Ext2/Ext3文件系统
2.3.1 超级块
2.3.2 组描述符
2.3.3 位图
2.3.4 索引节点
2.3.5 Ext3文件系统
2.3.6 Ext2/Ext3文件系统的应用
2.4 其他文件系统
2.4.1 手机文件系统
2.4.2 MAC文件系统
习题2
第3章 文件基础
3.1 文件类型
3.1.1 Windows环境下的主要文件类型
3.1.2 UNIX/Linux环境下的主要文件类型
3.2 文件扩展名
3.2.1 Windows环境下的文件扩展名
3.2.2 UNIX/Linux环境下的文件扩展名
3.3 文件访问控制
3.3.1 Windows操作系统的文件访问控制机制
3.3.2 Linux操作系统的文件访问控制机制
3.4 文件时间属性
3.4.1 Windows环境下的文件时间属性
3.4.2 Linux环境下的文件时间属性
3.5 系统文件夹功能
3.5.1 Windows系统文件夹功能
3.5.2 Linux系统文件夹功能
习题3
……
第4章 内存管理基础
第5章 系统安全基础
第6章 字符编码基础
第7章 可执行文件格式基础