图书内容简介

本书主要论述Windows系统平台的计算机取证问题，从理论、实践、技术等多角度进行详细阐述，给出了在目标机和分析工具方面均立足于 Windows平台的操作指南，旨在为UNIX／Linux专家提供Windows操作系统中适合取证分析的工作步骤，为那些希望进入计算机取证世界的Windows专家们提供坚实的基础，让更多的取证爱好者得以借助本书进入Windows取证这个充满魅力和挑战性的领域。
本书主要读者对象为企业网络安全管理人员、网络(监察)警察、本科生、研究生、科研人员、教学人员和普通读者。本书适合于在企业、高校内进行计算机取证人才培训，包括作为企业安全管理员和取证分析师培训教材，高校信息安全专业的本科生、研究生专业课教材，或计算机、信息技术等相关专业的本科生和研究生(尤其是工程硕士)等选修课教材。

图书目录

译者序
作者简介
出品团队
致谢
第1章 Windows取证
1.1企业计算机取证分析师
1.2 Windows取证
1.3人、程序和工具
1.4计算机取证：当前和未来
1.5补充参考资源
第2章 处理数字犯罪现场
2.1确认现场
2.2执行远程调查
2.3保护现场
2.4记录现场
2.5处理物理证据现场
2.6处理数字证据现场
2.7保管链
2.8最佳证据
2.9与执法机关共事
2.1 0补充参考资源
第3章 Windows取证基础
3.1历史和版本
3.1.1 MS.DOS
3.1.2 Windows 1.x、2.x和3.x
3.1.3 Windows NT雨II Windows 2000
3.1.4 Windows 95／98／Me
3.1.5 Windows XP／2003
3.2非易失性存储器
3.2.1软盘
3.2.2磁带
3.2.3 CD和DVD-
3.2.4 USB闪存驱动器
3.2.5硬盘
3.3补充参考资源
第4章 分区和文件系统
4.1主引导记录
4.2 Windows文件系统
4.2.1 FAT
4.2.2 VFAT
4.2.3 NITS
4.3补充参考资源
第5章 目录结构和特殊文件
5.1Windows NI／2000／XP
5.1.1目录
5.1.2文件
5.2 Windows 9x
5.2.1目录
5.2.2文件
5.3补充参考资源

第6章 注册表
6.1历史
6.2注册表基础知识
6.3注册表分析
6.3.1常规注册表键
6.3.2文件夹位置
6.3.3自启动项目
6.3.4智能表单
6.4高级注册表分析
6.5补充参考资源
第7章 取证分析
第8章 系统联机分析
8.1隐秘分析
8.1.1系统状态分析
8.1.2监控
8.2公开分析
8.2.1基于GUI的公开分析
8.2.2本地命令行分析
8.2.3远程命令行分析
8.2.4基本信息收集
8.2.5系统状态信息
8.2.6运行程序的信息
8.2.7主存分析
8.3补充参考资源
第9章 取证复制
9.1硬盘复制
9.1.1原地复制
9.1.2直连复制
9.2日志文件复制
9.3补充参考资源
第10章 文件系统分析
10.1搜索
10.1.1索引搜索
10.1.2按位搜索
10.1.3搜索方法
10.2散列分析
10.2.1正散列分析
10.2.2反散列分析
10.3文件恢复
10.4特殊文件
10.4.1打印队列文件
10.4.2 Windows快捷方式
10.4.3分页文件
10.5补充参考资源
第11章 日志文件分析
11.1事件日志
11.1.1应用程序日志
11.1.2系统日志
11.1.3安全日志
11.2因特网日志

11.2.1 HTTP日志
11.2.2 FTP日志
11.2.3 SMTP日志
11.3补充参考资源
第12章 因特网使用分析
12.1网络活动
12.1.1 IE浏览器
12.1.2 Firefox
12.1.3工具栏历史
12.1.4网络、代理和DNS历史记录
12.2对等网络
12.2.1 Gnutella客户端
12.2.2 Limewire
12.2.3 Fasfr'rack客户端
12.2.4 Overact、eMule、eDonkey 2000客户端
12.3即时消息
12.3.1 AOI。Instant Messenger
12.3.2 Microsoft Messenger
12.4补充参考资源
第13章 电子邮件调查
13.1 0utlOOk／0utlOOk Exoress
13.1.1 Outlook Express
13.1.2 Outlook
13.2 Lotus Notes
13.2.1获取
13.2.2访问控制与日志记录
13.2.3分析
13.2.4地址簿
13.3补充参考资源
附录1 保管链表格的样例
附录2 主引导记录的结构
附录3 分区类型
附录4 FAT32引导扇区的结构
附录5 NTFS引导扇区结构
附录6 NTFS元文件
附录7 常见的安全标识符