本课程是一门专业课，属于法学和计算机科学与技术等学科的交叉学科，涉及到信息安全、计算机和法学中的行为证据分析以及法律领域，提供网络安全与执法、侦查学视频侦察方向的公安专业，以及信息安全，法学司法鉴定方向的非公安专业本科生学习。本课程介绍电子取证与分析鉴定各方面内容的技术细节，讲授数字证据获取与分析的一般方法。学生通过对电子数据取证理论、方法和技术的学习和实验，系统化地掌握电子数据取证（电子数据恢复）的基本技术，常用取证软件的使用方法，以及电子数据司法鉴定的基本知识和技能，为将来从事相应的执法司法、网络安全等工作打下良好的基础。

本课程可以结合授课专业和总课时的不同，选取、侧重不同的章节进行授课。

第一章  电子取证与司法鉴定概论（4学时）

知识点：电子取证，计算机取证，数字取证等概念，数据恢复的概念

了解：电子取证与分析鉴定相关概念

理解：电子取证与分析鉴定内容

掌握：电子取证与分析鉴定模型、过程

第一节  电子取证与分析鉴定相关概念（2学时）

知识点：流程，方法，过程，规范，标准

一、电子取证与分析鉴定相关概念

二、数字证据

三、电子犯罪调查

第二节  电子取证与分析鉴定内容（1学时）

知识点：历史与发展，与网络犯罪的关系

一、电子取证与分析鉴定历史、发展 （网络犯罪）

二、电子科学与法学的结合

三、电子取证与分析鉴定面临的难题和解决方法

第三节  电子取证与分析鉴定模型、过程（1学时）

知识点：模型与特征

一、电子取证与分析鉴定模型

二、电子取证与分析鉴定过程

三、电子取证与分析鉴定特征及作用

第二章  电子取证与分析鉴定的预备知识（8学时）

知识点：文件系统与存储介质，新型存储介质

了解：存储介质基础

理解：数据恢复与数据销毁

掌握：文件系统、时间概念、字符编码

第一节  存储介质基础（6学时，含实验4学时）

知识点：FAT，FAT32，NTFS

一、存储介质基础，文件系统

二、时间概念

三、字符与编码

第二节  数据恢复与数据销毁（2学时）

知识点：加密方法，解密方法，破解工具，时间和效率考虑

一、数据加密

二、数据隐藏

三、数据恢复

四、数据销毁

第三章  电子取证与分析鉴定相关的法学问题（4学时）

知识点：国家、公安部、司法部的有关规范性文件

了解：法律依据

理解：直接证据与间接证据

掌握：司法鉴定报告

第一节  法律依据（2学时）

知识点：刑事、民事、行政诉讼法

一、法律依据

二、司法调查

三、司法鉴定授权、许可

第二节  直接证据与间接证据（1学时）

知识点：证据的特点与电子数据证据

一、证据特性：真实性、可靠性、关联性

二、直接证据

三、间接证据

第三节  司法鉴定报告（1学时）

知识点：报告的格式，撰写要求

一、证据的显示与质询

二、司法鉴定报告

三、电子安全事件报告

第四章  电子取证与分析鉴定技术（4学时）

知识点：证据分类，证据判别

了解：现场电子取证与分析鉴定设备

理解；电子数据恢复

掌握：电子证据的检验、分析与推理

第一节  现场电子取证与分析鉴定设备（含实验2学时）

知识点：硬件与软件设备与工具

一、电子取证与分析鉴定便携专用机

二、电子取证与分析鉴定硬盘克隆机

三、现场取证与分析鉴定设备接口套件

第二节 电子证据的检验、分析与推理（含实验2学时）

知识点：收集与处理的工具与方法

一、电子证据的收集与保存

二、电子证据的检验

三、电子证据的分析与推理

第五章  Windows系统的电子取证与分析鉴定（8学时）

知识点：Windows的取证特点

了解：Windows系统

理解：Windows系统现场证据获取

掌握：Windows系统中电子证据获取，Encase、取证大师等使用方法

第一节  Windows系统现场证据获取（含实验4学时）

知识点：现场获取与事后处理

一、Windows系统

二、Windows系统现场证据获取

三、工具使用实例

第二节Windows系统中电子证据获取（含实验4学时）

知识点：证据获取点分类及其处理

一、Windows系统中电子证据获取的目的

二、Windows系统中电子证据获取的种类

三、Windows系统中电子证据获取特点、内容、原则

第六章  Linux/Unix系统的电子取证与分析鉴定（10学时）

知识点：Unix、Linux（Android）、MacOS系统组织结构，手机取证技术

了解：Unix、Linux（Android）、MacOS的文件系统，手机取证知识

理解：文件系统及其权限、日志文件，越狱与Root

掌握：ABD使用，手机大师的使用

第一节  Linux/Unix系统取证分析（6学时，含实验4学时）

知识点：Linux/Unix的文件系统、权限、设备管理、常见日志文件（Ubuntu为例）

一、Linux/Unix的文件系统

二、Linux/Unix的权限、设备管理

三、Linux/Unix的常见日志文件

第二节  手机取证（含实验4学时）

知识点：手机操作系统，系统分区，APP数据等

一、手机取证技术介绍

二、ABD使用

三、越狱与Root

第七章  电子取证与分析鉴定分析案例（10学时）

知识点：传统犯罪与新型犯罪

了解：各种计算机犯罪的特点与调查方法

理解：电子取证与分析鉴定分析的分析流程

掌握：电子取证与分析鉴定分析的方法

第一节  证据的镜像获取与转换方法（含实验2学时）

知识点：文件镜像格式及其处理

一、网络证据特点

二、网络证据获取的原则、条件、规定

三、网络证据获取

第二节  CNAS能力验证试题讲解与实操（含实验4学时）

一、CNAS能力验证介绍

二、CNAS能力验证测试题讲解

三、CNAS能力验证测试题实操

第三节  电子数据取证大赛试题讲解与实操（含实验4学时）

一、电子数据取证大赛介绍

二、电子数据取证大赛试题讲解

三、电子数据取证大赛试题实操

四、课程的重点、难点及解决办法

第一章  电子取证与司法鉴定概论（4学时）

重点：电子取证，计算机取证，数字取证等概念，数据恢复的概念

难点：电子取证与分析鉴定相关概念

解决方法：举例。电子取证与司法鉴定，电子取证过程模型

第二章  电子取证与分析鉴定的预备知识（8学时）

重点：文件系统、时间概念、字符编码

难点：文件系统工作机制，时间的含义，不同字符编码的区别

解决方法：验证型实验

第三章  电子取证与分析鉴定相关的法学问题（4学时）

重点：国家、公安部、司法部的有关规范性文件

难点：法律依据，真实性、可靠性、关联性等特性

解决方法：学习规范，学习案例

第四章  电子取证与分析鉴定技术（4学时）

重点：电子证据的取证（检验）、分析与推理

难点：理解和使用电子取证与分析鉴定方法和设备

解决方法：学习案例，实验电子数据恢复

第五章  Windows系统的电子取证与分析鉴定（8学时）

重点：Windows的取证特点，取证关键点

难点：文件系统和操作系统的了解

解决方法：实验课程，学生独立完成实验报告

第六章  Linux/Unix系统的电子取证与分析鉴定（10学时）

重点：Unix、Linux（Android）、MacOS系统组织结构，手机取证技术

难点：ABD使用，Unix、Linux（Android）、MacOS的文件系统，手机取证知识

解决方法：学习文件系统及其权限、日志文件，越狱与Root

第七章  电子取证与分析鉴定分析案例（10学时）

重点：文件镜像格式及其处理

难点：典型案件的调查取证方法

解决方法：实操练习，真实场景模拟

先修与后修课程：先修课程《信息安全数学基础》、《计算机组成原理》、《高级语言程序设计》、《计算机网络》；后修课程《网络安全》、《电子取证技术》、《网络安全与防范》。

1．教材与软件

[1] 取证分析实战, 自编讲义, 张俊、郭永健等, 2018年

2．主要参考书

[1]计算机取证与司法鉴定（第2版）,麦永浩等，清华大学出版社，2015年

[2]电子数据检验技术与应用，秦玉海等，中国人民公安大学出版社，2015年

[3]电子数据取证与Python方法, 张俊译, 北京: 电子工业出版社, 2017年

[4]计算机取证与网络犯罪导论（第3版）, [美]Marjie T. Britz, 戴鹏、周雯、邓勇进译, 北京: 电子工业出版社, 2016年

[5] Windows Forensic Analysis Toolkit (Fourth Edition), Harlan Carvey, Waltham, MA, USA, Elsevier, 2014

3、推荐网站：取证中国论坛

4、推荐微信公众号：电子取证及可信应用湖北省协同创新中心

第一章  电子取证与司法鉴定概论（4学时）

重点：电子取证，计算机取证，数字取证等概念，数据恢复的概念

难点：电子取证与分析鉴定相关概念

解决方法：举例。电子取证与司法鉴定，电子取证过程模型

第二章  电子取证与分析鉴定的预备知识（8学时）

重点：文件系统、时间概念、字符编码

难点：文件系统工作机制，时间的含义，不同字符编码的区别

解决方法：验证型实验

第三章  电子取证与分析鉴定相关的法学问题（4学时）

重点：国家、公安部、司法部的有关规范性文件

难点：法律依据，真实性、可靠性、关联性等特性

解决方法：学习规范，学习案例

第四章  电子取证与分析鉴定技术（4学时）

重点：电子证据的取证（检验）、分析与推理

难点：理解和使用电子取证与分析鉴定方法和设备

解决方法：学习案例，实验电子数据恢复

第五章  Windows系统的电子取证与分析鉴定（8学时）

重点：Windows的取证特点，取证关键点

难点：文件系统和操作系统的了解

解决方法：实验课程，学生独立完成实验报告

第六章  Linux/Unix系统的电子取证与分析鉴定（10学时）

重点：Unix、Linux（Android）、MacOS系统组织结构，手机取证技术

难点：ABD使用，Unix、Linux（Android）、MacOS的文件系统，手机取证知识

解决方法：学习文件系统及其权限、日志文件，越狱与Root

第七章  电子取证与分析鉴定分析案例（10学时）

重点：文件镜像格式及其处理

难点：典型案件的调查取证方法

解决方法：实操练习，真实场景模拟

1. 本课程为考试课程。

平时考核成绩占20%，包括3次随机考勤、5次课后作业的综合考评。课程平时成绩不及格者，不得参加课程成绩综合评定，课程成绩记零分；

实验成绩占30%，包括5次实验报告成绩，每个实验报告折算为6%；

期中考试成绩占10%，包括一次课堂测试题的成绩；

期末考试成绩占40%，闭卷。

2. 作业要求：

学生的课程作业数不少于9次，包括5次理论课练习题和4次实验报告。

3. 考试题型及要求：

（1）考试题型及比例：填空题（10-20%）、选择题（10-20%）、名词解释（10-15%）、判断改错题（10-20%）、简答题（15-20%）、论述题和计算题（10-20%）。

（2）认知层次及比例：识记：理解：简单应用：综合运用的比例关系为3：3：3：1。

4. 课程综合评定方法：

总成绩 = 平时成绩 X 20% + 实验成绩 X 30% + 期中考试10% + 期末成绩 X 40%