课程门户-章节详情

数字取证技术

王春兰

1 计算机犯罪与计算机犯罪侦查概述
- 1.1 课程导入
- 1.2 计算机犯罪、网络犯罪介绍
- 1.3 计算机犯罪侦查的任务、原则
2 电子取证概述
- 2.1 电子证据定义、特点、法律依据、来源
- 2.2 电子取证的定义、对象
- 2.3 取证基本原则及应用领域
- 2.4 电子取证的历程、困难、趋势
- 2.5 电子数据取证装备与软件
3 数据加密解密与哈希校验
- 3.1 实操-CMOS开机密码设置与破解
- 3.2 实操-虚拟磁盘的创建、分区与分离、附加
- 3.3 Windows账户密码设置与破解
- 3.4 实操-普通文件密码的设置与破解
- 3.5 实操-加密容器的使用
- 3.6 EFS加密与解密
- 3.7 实操-Bitlocker加密与解密
- 3.8 哈希校验在取证中的应用
4 数据获取
- 4.1 镜像及文件格式
- 4.2 实操-制作内存镜像
- 4.3 实操-对分区、磁盘进行固定
5 现场勘查与远程勘查
- 5.1 现场勘查--总述、案例导入
  - 5.1.1 现场勘查法律规范
  - 5.1.2 现场勘查之准备及安保
  - 5.1.3 现场勘查之收集证物
  - 5.1.4 现场勘查计算机
    - 5.1.4.1 应用程序提取及固定
    - 5.1.4.2 加密数据提取及固定
    - 5.1.4.3 计算机关闭及封存原则
    - 5.1.4.4 计算机硬盘固定
  - 5.1.5 现场勘验移动终端
  - 5.1.6 现场勘验报告
  - 5.1.7 询问笔录
- 5.2 远程勘验（了解）
  - 5.2.1 远程勘验概述
  - 5.2.2 远程勘验要点
  - 5.2.3 远程勘验报告
6 取证相关的计算机基础
- 6.1 计算机中数制转换
- 6.2 计算机硬件结构、存储介质
  - 6.2.1 内存
  - 6.2.2 外存及常见种类
- 6.3 硬盘结构
  - 6.3.1 实操-Winhex初步
  - 6.3.2 虚拟磁盘的基本操作
  - 6.3.3 机械硬盘物理结构
  - 6.3.4 机械硬盘逻辑结构
  - 6.3.5 硬盘数据结构-分类
  - 6.3.6 磁盘分区结构-MBR
  - 6.3.7 磁盘分区结构-MBR-实操
  - 6.3.8 磁盘分区结构-MBR-EBR实操（提升）
  - 6.3.9 硬盘数据结构-GPT分区结构
  - 6.3.10 硬盘数据结构-GPT-实操
7 文件系统
- 7.1 文件系统定义、分类、簇
- 7.2 FAT32文件系统
  - 7.2.1 FAT文件系统简介
  - 7.2.2 FAT32文件系统的DBR
  - 7.2.3 FAT32文件系统-FAT表
    - 7.2.3.1 FAT32文件系统-FAT表的excel示例
  - 7.2.4 FAT32文件系统-目录项
  - 7.2.5 FAT32文件系统如何工作
  - 7.2.6 FAT32文件系统演示
- 7.3 NTFS文件系统
  - 7.3.1 NTFS总述及DBR
  - 7.3.2 MFT介绍及元文件
  - 7.3.3 文件记录及文件记录头
  - 7.3.4 MFT常驻属性
  - 7.3.5 MFT非常驻属性
  - 7.3.6 常见属性介绍
- 7.4 专业术语
  - 7.4.1 未分配簇
  - 7.4.2 文件残留区
  - 7.4.3 文件签名
  - 7.4.4 散列值
  - 7.4.5 修改扩展名、文件加密
  - 7.4.6 磁盘加密
  - 7.4.7 信息隐写
  - 7.4.8 虚拟容器
  - 7.4.9 历史记录
  - 7.4.10 临时文件
  - 7.4.11 磁盘隐藏区域
8 数据恢复
- 8.1 删除至回收站-winhex
- 8.2 用法证通查看回收站
- 8.3 手工恢复彻底删除文件
- 8.4 五个软件格式化恢复的效果对比
- 8.5 格式化后重新分区的恢复效果
- 8.6 用winhex手动恢复doc和docx的对比
- 8.7 固态硬盘恢复与TRIM指令
9 内存取证
- 9.1 内存取证概述
- 9.2 内存取证操作
- 9.3 内存数据提取固定
- 9.4 内存分析工具介绍
- 9.5 Volotility及比赛案例实战
- 9.6 利用内存数据完成加密磁盘破解
10 Windows取证
- 10.1 时间在取证中的作用
  - 10.1.1 UTC时间
  - 10.1.2 文件的创建、修改、访问时间
    - 10.1.2.1 NTFS的$Logfile法
      - 10.1.2.1.1 快捷方式LNK法
        
        10.1.2.1.1.1 跳转列表法
- 10.2 Windows痕迹和常见程序痕迹
  - 10.2.1 Windows重点目录
  - 10.2.2 USN日志
  - 10.2.3 浏览器取证
  - 10.2.4 百度网盘取证
- 10.3 注册表取证
  - 10.3.1 注册表分析概述
  - 10.3.2 系统信息分析
  - 10.3.3 最近行为分析
  - 10.3.4 USB痕迹分析
  - 10.3.5 ShellBag分析
  - 10.3.6 注册表分析实战
- 10.4 日志取证
  - 10.4.1 日志分析概述
  - 10.4.2 登陆账户分析
  - 10.4.3 修改系统时间
  - 10.4.4 USB痕迹分析
  - 10.4.5 分区诊断
11 综合取证软件使用
- 11.1 计算机常规调查分析
  - 11.1.1 取证分析案例管理
  - 11.1.2 自动取证-系统痕迹
  - 11.1.3 自动取证-用户痕迹
  - 11.1.4 自动取证-上网记录
  - 11.1.5 自动取证-即时通讯
  - 11.1.6 自动取证-文件分析
  - 11.1.7 自动取证-日志分析
  - 11.1.8 自动取证-邮件分析
- 11.2 取证软件中的数据恢复操作
  - 11.2.1 分区丢失恢复
  - 11.2.2 分区格式化恢复
  - 11.2.3 文件签名恢复
- 11.3 计算机内容深度检索
  - 11.3.1 文件过滤（取证大师）
  - 11.3.2 普通关键词搜索
  - 11.3.3 正则表达式搜索
  - 11.3.4 文件签名检验
- 11.4 取证软件中的解密
  - 11.4.1 计算机加解密技术
  - 11.4.2 bitlocker加密技术取证
  - 11.4.3 加密容器技术
- 11.5 计算机综合分析应用
  - 11.5.1 计算机动态仿真
  - 11.5.2 计算机综合分析应用
12 文件过滤
- 12.1 文件过滤的必要
- 12.2 myhex文件过滤演示（含文件签名讲解）
13 手机取证
- 13.1 手机取证相关术语
  - 13.1.1 移动设备国际识别码IMEI
  - 13.1.2 国际移动用户识别码IMSI
  - 13.1.3 集成电路识别码ICCIC
- 13.2 手机取证数据来源
- 13.3 手机取证常用方法
14 电子数据司法鉴定
- 14.1 电子数据司法鉴定
15 实验课难点演示
- 15.1 实验一数据隐藏与显示
- 15.2 浏览器取证分析专项
- 15.3 数据恢复
- 15.4 文件过滤
- 15.5 硬盘结构
16 特色章节——取证公司分享
- 16.1 上海弘连——移动终端取证
- 16.2 奇安信——移动终端取证
- 16.3 奇安信——计算机取证
- 16.4 北京天宇宁达
  - 16.4.1 内存取证
  - 16.4.2 raid取证
  - 16.4.3 数据库取证
  - 16.4.4 Linux取证
  - 16.4.5 流量包分析

计算机常规调查分析

注意⚠️，这里是以美亚柏科的取证大师为例。也可以用其他取证软件进行案例管理。

图片预览