译者序<br>前言<br>致谢<br>作者简介<br>审校者简介<br>第1章　电子数据取证    1<br>1.1　定义电子数据取证    2<br>1.2　从事取证服务    4<br>1.3　汇报犯罪活动    6<br>1.4　搜查令与法律    7<br>1.5　取证角色    10<br>1.6　取证就业市场    12<br>1.7　取证培训    13<br>1.8　小结    19<br>参考文献    19<br>第2章　网络犯罪与防御    20<br>2.1　数字时代的犯罪    21<br>2.2　漏洞利用    24<br>2.3　对手    27<br>2.4　网络法    28<br>2.5　小结    30<br>参考文献    31<br>第3章　建立电子数据取证实验室    32<br>3.1　桌面虚拟化    32<br>3.1.1　VMware Fusion    33<br>3.1.2　VirtualBox    33<br>3.2　安装Kali Linux    34<br>3.3　攻击虚拟机    40<br>3.4　Cuckoo沙盒    44<br>3.4.1　Cuckoo虚拟化软件    45<br>3.4.2　安装TCPdump    46<br>3.4.3　在VirtualBox上为Cuckoo创建账户    46<br>3.5　Binwalk    47<br>3.6　The Sleuth Kit    48<br>3.7　Cisco Snort    49<br>3.8　Windows 工具    54<br>3.9　物理访问控制    55<br>3.10　存储取证证据    57<br>3.11　快速取证背包    59<br>3.12　小结    60<br>参考文献    60<br>第4章　违规应急响应    61<br>4.1　机构在应急响应中失败的原因    62<br>4.2　为网络事件做好准备    63<br>4.3　应急响应定义    64<br>4.4　应急响应计划    65<br>4.5　组建应急响应团队    67<br>4.5.1　应急响应团队的介入时机    67<br>4.5.2　应急响应中容易忽略的事项    70<br>4.5.3　电话树和联系人列表    70<br>4.5.4　设施    71<br>4.6　应急响应    71<br>4.7　评估事件严重性    72<br>4.8　遵循的通知程序    73<br>4.9　事件后采取的行动和程序    74<br>4.10　了解有助于应对违规事件的软件    74<br>4.10.1　趋势分析软件    75<br>4.10.2　安全分析参考架构    75<br>4.10.3　其他软件类别    77<br>4.11　小结    78<br>参考文献    78<br>第5章　调查    79<br>5.1　预调查    79<br>5.2　开始案件    81<br>5.3　应急响应人员    84<br>5.4　设备电源状态    88<br>5.5　搜查和扣押    90<br>5.6　证据保管链    94<br>5.7　网络调查    96<br>5.8　取证报告    101<br>5.8.1　案例摘要    102<br>5.8.2　获取和检查准备    103<br>5.8.3　发现    103<br>5.8.4　结论    103<br>5.8.5　作者列表    104<br>5.9　结束案件    105<br>5.10　评判案件    108<br>5.11　小结    110<br>参考文献    111<br>第6章　收集和保全证据    112<br>6.1　应急响应人员    112<br>6.2　证据    115<br>6.2.1　Autopsy    115<br>6.2.2　授权    116<br>6.3　硬盘驱动器    117<br>6.3.1　连接和设备    119<br>6.3.2　RAID    121<br>6.4　易失性数据    122<br>6.4.1　DumpIt    122<br>6.4.2　LiME    123<br>6.4.3　Volatility    124<br>6.5　复制    126<br>6.5.1　dd    128<br>6.5.2　dcfldd    129<br>6.5.3　ddrescue    129<br>6.5.4　Netcat    130<br>6.5.5　Guymager    131<br>6.5.6　压缩和分片    131<br>6.6　哈希    133<br>6.6.1　MD5和SHA哈希    135<br>6.6.2　哈希挑战    136<br>6.7　数据保全    136<br>6.8　小结    138<br>参考文献    138<br>第7章　终端取证    139<br>7.1　文件系统    140<br>7.1.1　定位数据    143<br>7.1.2　未知文件    145<br>7.1.3　Windows注册表    147<br>7.1.4　被删除的文件    150<br>7.1.5　Windows回收站    151<br>7.1.6　快捷方式    154<br>7.1.7　打印缓冲池    154<br>7.1.8　松弛空间和损坏的簇    156<br>7.1.9　交换数据流    159<br>7.2　Mac OS X    161<br>7.3　日志分析    164<br>7.4　物联网取证    169<br>7.5　小结    172<br>参考文献    172<br>第8章　网络取证    173<br>8.1　网络协议    173<br>8.2　安全工具    175<br>8.2.1　防火墙    178<br>8.2.2　入侵检测和防御系统    178<br>8.2.3　内容过滤器    179<br>8.2.4　网络访问控制    179<br>8.2.5　数据包捕获    182<br>8.2.6　网络流    183<br>8.2.7　沙盒    184<br>8.2.8　蜜罐    186<br>8.2.9　安全信息和事件管理器    186<br>8.2.10　威胁分析与提要    187<br>8.2.11　安全工具总结    187<br>8.3　安全日志    187<br>8.4　网络基线    191<br>8.5　威胁征兆    192<br>8.5.1　侦察    193<br>8.5.2　漏洞利用    195<br>8.5.3　恶意行为    198<br>8.5.4　信标    200<br>8.5.5　暴力破解    204<br>8.5.6　泄露    205<br>8.5.7　其他指标    208<br>8.6　小结    209<br>参考文献    210<br>第9章　手机取证    211<br>9.1　移动设备    211<br>9.2　iOS架构    212<br>9.3　iTunes取证    214<br>9.4　iOS快照    216<br>9.5　如何给iPhone越狱    218<br>9.6　Android    219<br>9.7　绕过PIN    222<br>9.8　使用商业工具取证    224<br>9.9　通话记录和短信欺骗    225<br>9.10　语音邮件绕过    226<br>9.11　如何找到预付费手机    226<br>9.12　SIM卡克隆    228<br>9.13　小结    228<br>参考文献    229<br>第10章　邮件和社交媒体    230<br>10.1　瓶中信    230<br>10.2　邮件首部    231<br>10.3　社交媒体    236<br>10.4　人员搜索    236<br>10.5　谷歌搜索    240<br>10.6　Facebook搜索    243<br>10.7　小结    250<br>参考文献    251<br>第11章　思科取证能力    252<br>11.1　思科安全架构    252<br>11.2　思科