信息犯罪与计算机取证实训教程

1.系统性和新颖性
本实训教程构思新颖，融“信息安全”“信息犯罪”“计算机取证”（包括大数据与移动智能终端取证等）与“计算机司法鉴定”等内容为一体，体现并贯穿了保障网络与信息安全“预防、控制和打击”的“前、中、后”思想，有利于学生以“技术”与“法律”为视角形成较为全面、系统地认识和把握网络与信息安全问题的体系架构，同时增强相关实验技能和实务工作能力。
2.交叉性和融合性
本实训教程编写者在参考国内外学者相关研究成果和资料的基础上，结合所承担的实际案例以及自身所承担的交叉科研课题及其成果，进行了有机的融合。这对于计算机、网络空间安全、法学及公安学等学科知识的交叉融合以及相关专业复合应用型人才的培养更显其迫切性并具有重要意义。
3.实践性和应用性
本实训教程逻辑结构清晰，编排合理，衔接自然，重点突出，与实践和实际应用结合紧密，具有很强的应用性和操作实践性，有利于进一步提高学生对理论知识的理解，增强实践技能以及学习效率和效果，满足业务工作或司法运用的实际需要。 

本书作为《信息犯罪与计算机取证》一书的配套实训教材，对其理论内容进一步拓展，实践性内容进一步充实。本书围绕信息犯罪与计算机取证这一主题，针对信息安全、信息犯罪、计算机取证、计算机司法鉴定、综合实训等问题进行了深入探讨，并分别设计了实践性内容引导读者锻炼或实验。内容主要包括：信息安全实验、信息犯罪讨论分析、计算机取证基础实验、计算机取证技术实验、电子数据证据的发现与收集实验、电子数据证据的固定与保全实验、数据恢复实验、电子数据证据分析与评估实验、计算机司法鉴定实验、案件综合实验等相关基础知识及实训内容，以进一步增强“信息犯罪与计算机取证”课程实践性环节的教学需要。
本书适用于计算机、信息安全、通信电子、网络安全与执法、法学、公安学等相关学科专业的本科高年级学生以及相关专业研究生、企事业单位及公检法司等部门工作人员作为教材或参考书使用。

王永全，华东政法大学教授，主要研究方向为计算机取证、信息安全等。 主编（著）教材6部，参编（著）教材14部。 获得教学和科研成果奖等奖励10项，其中，省（部）级以上奖励3项。

第 1章 信息安全实验 1

1.1　网络安全检测　1

1.1.1　网络安全检测基础知识　2

1.1.2　网络安全检测实验　3

1.2　网络安全攻防　8

1.2.1　网络安全攻防基础知识　9

1.2.2　网络安全攻防实验　12

1.3　加密解密技术　17

1.3.1　加密解密技术基础知识　17

1.3.2　加密解密技术实验　20

第　2章 信息犯罪讨论分析　25

2.1　网络色情类案件　25

2.1.1　网络色情犯罪概述　25

2.1.2　网络色情类案例分析　28

2.2　网络黑客类案件　28

2.2.1　网络黑客犯罪概述　28

2.2.2　网络黑客类案例分析　31

2.3　网络诽谤类案件　33

2.3.1　网络诽谤犯罪概述　33

2.3.2　网络诽谤类案例分析　35

2.4　网络知识产权类案件　36

2.4.1　网络知识产权犯罪概述　36

2.4.2　网络知识产权类案例分析　38

第3章　计算机取证基础实验　40

3.1　X-ways Forensics取证　40

3.1.1　X-ways Forensics基础知识　40

3.1.2　X-ways Forensics取证实验　55

3.2　EnCase取证　55

3.2.1　EnCase基础知识　55

3.2.2　EnCase取证实验　77

3.3　FTK取证　78

3.3.1　FTK基础知识　78

3.3.2　FTK取证实验　91

3.4　取证大师取证　92

3.4.1　取证大师基础知识　92

3.4.2　取证大师取证实验　111

3.5　DC-4501取证　112

3.5.1　DC-4501基础知识　112

3.5.2　DC-4501取证实验　117

3.6　SafeAnalyzer取证　118

3.6.1　SafeAnalyzer基础知识　118

3.6.2　SafeAnalyzer取证实验　128

3.7　SafeMobile取证　129

3.7.1　SafeMobile基础知识　129

3.7.2　SafeMobile取证实验　135

第4章　计算机取证技术实验　137

4.1　电子数据搜索　137

4.1.1　电子数据搜索基础知识　137

4.1.2　电子数据搜索实验　142

4.2　电子数据提取　143

4.2.1　电子数据提取基础知识　143

4.2.2　电子数据提取实验　145

4.3　远程取证　146

4.3.1　远程取证基础知识　146

4.3.2　远程取证实验　147

第5章　电子数据证据的发现与收集实验　149

5.1　Windows中电子数据证据的发现与收集　149

5.1.1　Windows中电子数据证据的发现与收集基础知识　149

5.1.2　Windows中电子数据证据的发现与收集实验　151

5.2　Linux中电子数据证据的发现与收集　152

5.2.1　Linux中电子数据证据的发现与收集基础知识　152

5.2.2　Linux中电子数据证据的发现与收集实验　154

5.3　Mac OS X中电子数据证据的发现与收集　155

5.3.1　Mac OS X中电子数据证据的发现与收集基础知识　155

5.3.2　Mac OS X中电子数据证据的发现与收集实验　162

5.4　iOS中电子数据证据的发现与收集　163

5.4.1　iOS中电子数据证据的发现与收集基础知识　163

5.4.2　iOS中电子数据证据的发现与收集实验　170

5.5　Android中电子数据证据的发现与收集　171

5.5.1　Android中电子数据证据的发现与收集基础知识　171

5.5.2　Android中电子数据证据的发现与收集实验　179

第6章　电子数据证据的固定与保全实验　181

6.1　Hash　181

6.1.1　Hash基础知识　181

6.1.2　Hash实验　184

6.2　硬盘复制机　185

6.2.1　硬盘复制机基础知识　185

6.2.2　硬盘复制机实验　187

6.3　使用软件制作镜像　190

6.3.1　使用软件制作镜像基础知识　190

6.3.2　使用软件制作镜像实验　195

第7章　数据恢复实验　202

7.1　数据恢复专用工具　202

7.1.1　数据恢复专用工具基础知识　202

7.1.2　数据恢复专用工具实验　207

7.2　FAT文件系统分析与数据恢复　208

7.2.1　FAT文件系统基础知识　208

7.2.2　FAT文件系统分析与数据恢复实验　213

7.3　NTFS文件系统分析与数据恢复　215

7.3.1　NTFS文件系统基础知识　215

7.3.2　NTFS文件系统分析与数据恢复实验　218

第8章　电子数据证据的分析与评估实验　222

8.1　事件过程分析　222

8.1.1　事件过程分析基础知识　222

8.1.2　事件过程分析实验　224

8.2　关联信息分析　225

8.2.1　关联信息分析基础知识　225

8.2.2　人员关联信息分析实验　227

8.3　电子数据证据评估　227

8.3.1　电子数据证据评估基础知识　227

8.3.2　证据保管链完整性评估实验　230

第9章　计算机司法鉴定实验　232

9.1　电子邮件真实性鉴定　232

9.1.1　电子邮件真实性鉴定基础知识　232

9.1.2　电子邮件真实性鉴定实验　240

9.2　恶意代码鉴定　241

9.2.1　恶意代码鉴定基础知识　241

9.2.2　恶意代码鉴定实验　251

9.3　软件相似性鉴定　251

9.3.1　软件相似性鉴定基础知识　251

9.3.2　软件相似性鉴定实验　258

第　10章 案件综合实验　259

参考文献　261