本书主要介绍计算机取证的相关概念和实践，目的是帮助读者通过完成各种实践练习，获得收集和保存数字证据的实践经验。本书共21章，每一章都集中于一个特定的取证主题，且由两个部分组成：背景知识和实践练习。本书以经验为导向，包含了20个以探究为基础的实践练习，以帮助读者更好地理解数字取证概念和学习数字取证调查技术。
本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师，特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。

林晓东（Xiaodong Lin），北京邮电大学信息工程专业博士，滑铁卢大学电子与计算机工程专业博士。他目前是加拿大圭尔夫大学计算机科学学院副教授，主要研究方向为无线通信与网络安全、计算机取证、软件安全、应用密码学。在过去的几年里，他的研究重点是保护车载自组网（VANET）。他因在车辆通信安全和隐私保护方面的贡献而被提升为IEEE会士。此外，他一直在研究数字取证，并在数字取证领域的研究会议DFRWS USA 2018上介绍了Android应用程序自动取证分析方面的工作。
他是多个国际期刊的副主编，曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑，还担任IEEE/ACM会议的研讨会主席或分会主席。他曾任IEEE通信协会（ComSoc）通信与信息安全技术委员会（CISTC）主席。他也是一名认证信息系统安全专家（CISSP）。

推荐序
译者序
前言
致谢
译者简介
第一部分　计算机系统和计算机取证基础
第1章　电子数据取证概述 2
1.1　概述 2
1.1.1　成长期 2
1.1.2　快速发展 3
1.1.3　挑战 4
1.1.4　数字取证的隐私风险 7
1.1.5　展望未来 7
1.2　电子数据取证的范畴及其重要性 8
1.3　电子证据 10
1.4　电子数据取证流程与技术 14
1.4.1　准备阶段 16
1.4.2　犯罪现场阶段 16
1.4.3　电子证据实验室阶段 18
1.5　电子数据取证的类型 20
1.6　有用的资源 23
1.7　练习题 27
参考文献 28
第2章　计算机系统概论 30
2.1　计算机组成 30
2.2　数据表示 33
2.3　内存对齐和字节顺序 35
2.4　实战练习 38
2.4.1　设置实验环境 38
2.4.2　练习题 38
附录　如何使用gdb调试工具调试C程序 41
参考文献 42
第3章　搭建取证工作站 43
3.1　TSK和Autopsy Forensics Browser 43
3.1.1　TSK 43
3.1.2　Autopsy Forensic Browser 45
3.1.3　Kali Linux中的TSK和Autopsy 47
3.2　虚拟化 47
3.2.1　为什么要虚拟化 48
3.2.2　有哪些虚拟机可供选择 49
3.2.3　为什么选择VMware虚拟化平台 50
3.3　使用 Kali Linux 建立取证工作站 50
3.4　首次使用TSK进行电子数据检验 62
3.5　实战练习 66
3.5.1　设置实验环境 66
3.5.2　练习题 66
附录A　在 Linux 中安装软件 72
附录B　dcfldd备忘单 73
参考文献 74
第二部分　文件系统取证分析
第4章　卷的检验分析 76
4.1　硬盘结构和磁盘分区 76
4.1.1　硬盘结构 77
4.1.2　磁盘分区 79
4.1.3　DOS分区 80
4.1.4　分区中的扇区寻址 85
4.2　卷分析 86
4.2.1　磁盘布局分析 86
4.2.2　分区连续性检查 86
4.2.3　获取分区 87
4.2.4　已删除分区的恢复 87
4.3　实战练习 89
4.3.1　设置实验环境 89
4.3.2　练习题 89
4.4　提示 90
参考文献 92
第5章　FAT文件系统检验分析 93
5.1　文件系统概述 94
5.2　FAT文件系统 99
5.2.1　分区引导扇区 100
5.2.2　文件分配表 103
5.2.3　FAT文件系统寻址 104
5.2.4　根目录和目录项 105
5.2.5　长文件名 108
5.3　实战练习 112
5.3.1　设置实验环境 112
5.3.2　练习题 112
5.4　提示 113
附录A　FAT12 / 16分区引导扇区的数据结构 115
附录B　FAT32分区引导扇区的数据结构 116
附录C　LFN目录项校验和算法 116
参考文献 117
第6章　FAT文件系统数据恢复 118
6.1　数据恢复原理 118
6.2　FAT文件系统中的文件创建和删除 121
6.2.1　文件创建 121
6.2.2　文件删除 123
6.3　FAT文件系统中删除文件的恢复 123
6.4　实战练习 125
6.4.1　设置实验环境 125
6.4.2　练习题 125
6.5　提示 127
参考文献 130
第7章　NTFS文件系统检验分析 131
7.1　NTFS文件系统 131
7.2　MFT 133
7.3　NTFS索引 140
7.3.1　B树 140
7.3.2　NTFS 目录索引 142
7.4　NTFS 高级特性 151
7.4.1　EFS 151
7.4.2　数据存储效率 156
7.5　实战练习 158
7.5.1　设置实验环境 158
7.5.2　练习题 158
7.6　提示 159
7.6.1　在NTFS文件系统中查找MFT 159
7.6.2　确定一个给定MFT表项的簇地址 160
参考文献 161
第8章　NTFS文件系统数据恢复 162
8.1　NTFS文件恢复 162
8.1.1　NTFS文件系统中的文件创建和删除 163
8.1.2　NTFS文件系统中已删除文件的恢复 168
8.2　实战练习 169
8.2.1　设置实验环境 169
8.2.2　练习题 170
参考文献 171
第9章　文件雕复 172
9.1　文件雕复的原理 172
9.1.1　头部/尾部雕复 173
9.1.2　BGC 176
9.2　文件雕复工具 180
9.2.1　Foremost 180
9.2.2　Scalpel 181
9.2.3　TestDisk和Photorec 182
9.3　实战练习 189
9.3.1　设置实验环境 189
9.3.2　练习题 189
参考文献 190
第10章　文件指纹搜索取证 191
10.1　概述 191
10.2　文件指纹搜索过程 192
10.3　使用hfind进行文件指纹搜索 194
10.3.1　使用md5sum创建一个散列库 194
10.3.2　为散列库创建MD5索引文件 195
10.3.3　在散列库中搜索特定的散列值 195
10.4　实战练习 196
10.4.1　设置实验环境 196
10

互联网技术正以难以想象的速度发展。借助不断发展的互联网技术，我们跨入了全新的数字时代。数字技术不断改变着我们的生活状态并提高了我们的生活质量，因为它兼备速度和性能，使我们可以用相对较低的成本处理各种不同类型的事务。无论你是否意识到，实际上现在几乎所有人都在依赖互联网更有效地完成各自的日常事务：转账汇款、网上冲浪、即时通信、收发邮件、分享信息等。
但不幸的是，墨菲定律也随着互联网技术的发展变得更明显：“每一个解决方案都会带来一系列新的问题。”有组织的犯罪集团以及其他利用互联网技术非法获利的个人也发现了互联网技术中存在的机会。拒绝服务攻击、网站破坏、电信诈骗、洗钱、勒索等网络犯罪活动已经逐步浮出水面。我们不断地听到全球诸多金融、政府机构被黑客入侵以及个人信息泄露并被滥用的新闻。网络犯罪已成为我们所有人都必须面对的现实问题。据预测，网络犯罪将呈全球化蔓延的趋势，全球每年在对抗网络犯罪中的损失达数十亿美元。
为了有效地打击网络犯罪，执法人员不仅要根据犯罪行为找到嫌疑人，还必须能够向法庭提供令人信服的电子数据证据，以便将罪犯绳之以法。这些电子证据包括计算机日志文件、电子邮件、电子化的财务数据、电子表格等资料。如果这些电子证据已经被删除，则要尽可能采用技术手段恢复。研究表明，大多数电子证据都可以从各种常用电子设备中获得，例如，计算机、数码相机、行车记录仪，以及3G/4G/5G手机等。
在一个案件中，阿拉斯加前州长Sarah Palin的电子邮件账户被田纳西州的一名学生入侵。嫌疑人重置了Palin的电子邮件账户密码，并将修改后的密码发布在论坛上。FBI通过追踪犯罪嫌疑人的数字足迹，最终找到了他的居住地点。这些证据对于帮助联邦检察官进一步获得必要的数字证据并逮捕嫌疑人至关重要，即使嫌疑人曾经在其笔记本电脑上删除、修改、隐藏和覆盖了文件，也依然会遗留部分痕迹。
没有人可以单独和网络犯罪进行战斗，技术的发展速度也远远超过法律所能适应的范围。传统的法庭科学虽然具有不可估量的价值，但却无法应对新出现的网络犯罪浪潮。最终，一个令人激动的法庭科学新分支—电子数据取证技术出现了。
电子数据取证调查是一系列相互依赖和关联的过程，是采用技术来研究和重建导致电子数据处于当前状态的事件过程。电子数据包括（但不限于）计算机系统数据（例如，软件应用程序和数据库）、数据存储设备（例如，硬盘、CD、DVD和USB存储设备）中的数据、电子文档（例如，电子表格、文档、电子邮件和图像）。电子数据的容量可以与整个互联网一样大，也可以只有一个字节那样小。通过技术方法检验电子数据，调查人员可以向法院提供值得信赖、令人满意且受法律认可的证据，并提供与犯罪事件相关问题的答案。
与已存在多年的传统物证鉴定分析不同，电子数据取证作为一门新的学科，必须克服许多挑战才能在国际上被广泛接受。这些挑战包括：
（a） 因为电子数据很容易被删除或更改，因此收集电子证据的过程可能会改变证据本身，使其成为法院所不接受的非法证据。因此，办案人员必须保持证据的原始状态，并证明电子证据在采集前后没有发生任何更改。
（b） 取证目标的容量不断增长，电子数据取证技术的复杂性不断提高，实际案件中可能需要数百GB甚至TB级的容量来存储必要的证据。
（c） 技术的发展速度总是快过法律的完善速度，因此网络犯罪分子可以充分利用“法律体系的漏洞”，并利用新技术开展不道德活动。但是，从技术上讲，这些活动可能还是“合法的”，因为此时的法律还不够完善，尚没有对应的法条来应对新技术所带来的新问题。这可能成为公诉人和律师的绊脚石。
作为一门新兴学科，电子数据取证技术并不为人所熟知。但随着越来越多的企业和个人需要寻求有关网络犯罪事件的真相，人们对电子数据取证的兴趣也在不断提高。网络犯罪可以在世界的任何地方实施。越来越多的民事或刑事案件涉及电子数据，而训练有素的专业取证调查人员却远远不够。对于高校来说，为了让学生做好充分的准备并能够以适用的工具来打击网络犯罪，开设电子数据取证课程已经迫在眉睫。
《荀子·儒效篇》中说：“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之。学至于行之而止矣。”我坚信，在网络安全教育中，要培养出优秀的学生，理论知识和动手实践都是必不可少的。在电子数据取证课程中，我的这种教学方法吸引了很多学生，也为他们提供了很多帮助。学生们知道了为什么需要学习这门学科，也了解了涉及这门学科的各方面知识。最重要的是，老师要教学生如何将课堂上学到的知识和技能运用到现实生活中去。我尝试通过案例分析和实验练习将理论与实际联系起来，以帮助学生更好地学习取证知识。这样一来，他们得到的是实践经验和理论结合的全方位学习体验，而不仅仅是如何应用公式得到结果。例如，在网络环境中使用地址解析协议（ARP）欺骗的中间人（Man-In-The-Middle, MITM）攻击是一种经典但复杂的网络攻击。精美的课件可能会对学生的学习有所帮助，但不一定能够在课堂上获得学生的关注和互动。为