涵盖最新的两个正在着手调查的案例：一个企业案件和一个刑事案件，将所学的概念运用到真实世界中。全面更新的技术内容，包括更多种类的取证调查软件和关于网络取证的最新一章内容。功能广泛的学习工具。包括练习、贯穿全书的项目和案例，让学生能实践所学技能。

书名：计算机取证调查指南

作者：尼尔森(美国)，FrankEnfinger，（美国）ChristopherSteuart（美国）

ISBN：9787562446484

类别：计算机安全

定价：79.00 元人民币

出版社：重庆大学出版社

出版时间：2009年

装帧：平装

开本：16开

基本信息(介绍 作者简介 目录)

文摘

基本信息

介绍

《计算机取证调查指南》包括计算机取证调查所需的工具和技巧，解释了文档结构、数据恢复、电子邮件和网络调查以及专家证人的证词等主要问题。除了可以学到基本的概念．读者还可以掌握处理数字调查证据和保存支持呈堂证据或者企业查询证据的实践知识。

作者简介

BillNelson，专门进行计算机取证调查工作长达8年之久。他曾是犯罪用自动指纹识别系统的软件工程师。

AmeliaPhillips，为好几所杜区大学设计了电子商务和计算机取证调查课程。

FrankEnfinger，是北西雅图社区大学的终身教员，同时也是当地警察部门的计算机取证调查专家成员。

ChristopherSteuart是，美国政府的信息安全官。

目录

第一章 计算机取证和调查专业介绍

了解计算机取证

计算机取证与其他相关学科

计算机取证历史简介

开发计算机取证资源

为计算机调查做准备

了解执法机构调查

了解企业调查

维护职业道德

本章小结

关键术语

复习题

练习题

案例题

第二章 理解计算机调查

为计算机调查做准备

调查一起计算机犯罪

调查一起违反公司制度的案件

采取系统化方法

评估案件

制订调查计划

确保证据的安全

了解数据恢复工作站与软件

建立计算机取证工作站

展开调查

收集证据

创建一张取证引导软盘

准备好制作一张取证启动盘所需的工具

通过远程网络连接来恢复取证数据

拷贝证据磁盘

使用FTKImager创建位流镜像文件

分析数字证据

结束案件

对案件进行评估

本章小结

关键术语

复习题

练习题

案例题

第三章 调查人员的办公室与实验室

了解取证实验室的认证要求

明确实验室管理者和实验室工作人员的职责

实验室预算方案

获取认证与培训

确定计算机取证实验室的物理布局

确定实验室安全需求

展开高风险调查

考虑办公室的人体工程学

考虑环境因素

考虑结构设计因素

确定实验室的电力需求

制订通信计划

安装灭火系统

使用证据容器

监督实验室的维护

考虑物理安全需求

审查计算机取证实验室

确定计算机取证实验室的楼层计划

选择一个基本取证工作站

为警察实验室选择工作站

为私人实验室和企业实验室选择工作站

储备硬件外围设备

为操作系统和应用软件做好详细清单

运用灾难恢复计划

为设备升级制订计划

使用笔记本取证工作站

为取证实验室的发展确定业务状况

为计算机取证实验室准备一份业务需求报告

本章小结

关键术语

复习题

练习题

案例题

第四章 目前的计算机取证工具

计算机取证软件需求

计算机取证工具的类型

计算机取证工具的执行任务

工具比较

针对工具的其他需要考虑的事项

计算机取证软件

命令行取证工具

UNIX/Linux命令行取证工具

GUI取证工具

计算机硬件工具

计算机调查工作站

验证并测试取证软件

使用NIST（国家标准与技术研究院）工具

验证协议

本章小结

关键术语

复习题

练习题

案例题

第五章 处理犯罪和事故现场

收集私营部门事故现场的证据

处理执法犯罪现场

理解在搜查令中使用的概念和术语

为查找证据做准备

鉴定案件性质

鉴别计算机系统的类型

确定是否可以查封一台电脑

获取一份详尽的犯罪地点的描述

确定谁是主管

使用辅助技术专家

确定需要的工具

组建调查小组

保护计算机事故或犯罪现场

在现场获取数字证据

处理一个主要的事故或犯罪现场

使用RAID陈列处理数据中心

在事故或犯罪现场采用技术顾问

民事调查案例

刑事调查案例

审阅一个案件

鉴别案件需求

规划你的调查

取证工具包（AccessDataFTK）

本章小结

关键术语

复习题

练习题

案例题

第六章数字证据保全

第七章在Windows和DOS系统下工作

第八章Macintosh与Linux引导过程和

第九章数据提取

第十章计算机取证分析

第十一章恢复图像文件

第十二章网络取证

第十三章电子邮件调查

第十四章成为一个专家型证人并书写调查结果报告

附录A证书考试介绍

附录B计算机取证参考

附录C企业高科技调查规范

术语表

……

文摘

术语“企业环境”是指大型企业的计算机系统，该系统可能包含一个或多个无关联的系统或者先前独立的系统。在小型企业中，一个小组就可能完成调查三角形中所示的这些任务，或者一个小型企业与其他企业签订合同共同来完成这些任务。

当你在脆弱性评估和风险管理小组工作时，一定要测试并证明独立工作站与网络服务器的完整性。此项完整性检验包括系统的物理安全及操作系统与运行的安全，这个小组的成员要对全网做测试，找出已知的操作系统和应用系统安全隐患。该小组成员对网络、计算机工作站和服务器进行攻击，旨在评估其脆弱性。一般来说，完成该任务的人员应具有多年在UNIX和WindowsNT/2000/XP管理方面的经验。

脆弱性评估和风险管理小组中的专业人员还需具备网络入侵检测和事件响应方面的技能。他们通过使用自动化软件工具和人工监控网络防火墙日志来检测入侵者的攻击。当检测到攻击时，事件响应小组就对入侵者进行跟踪、定位和识别，并拒绝他/她进一步访问网络。如果入侵者的攻击会造成重大或是潜在的破坏，响应小组则要收集必要的证据用来提起对入侵者的民事或刑事诉讼。诉讼是在法庭上证明某人有罪或无罪的法律程序。

如果未授权用户正在访问网络，或任一用户正在进行非法操作，网络入侵检测和事件响应组就要通过定位或阻断该用户的访问来作出响应。例如，一社区大学成员发送煽动性电子邮件给网络上的其他用户，网络组立刻意识到此电子邮件来自于本地网络上的一节点，于是派出安全组到节点所在地去。在过去，脆弱性评估成员对高端计算机调查的贡献是非常大的。