数字取证

《数字数据》一书讨论了电子数据取证的基本概念、基本理论、工作原理和基本技能；系统全面地介绍了不同文件系统的取证分析方法；介绍了日志、移动终端、恶意代码、勒索软件等的取证分析方法。作者融合了电子数据取证理论和实践的最新成果，全面介绍了目前国内外主流的电子数据取证技术。《数字取证》紧密结合电子数据证据取证工作实际，既考虑了电子数据取证的知识体系，又遵循学习和取证实践的规律，按照理论和技术并重的编写思路，将“实践”与“理论”完美结合，带给读者全面的电子数据取证理论和实用的技术方法。

本书覆盖数字取证技术的主要知识点。
本书共12章。第1～4章介绍数字取证的基础知识、电子数据的固定和提取、主流文件系统和数据恢复等。第5～10章讲解主流的桌面操作系统（Windows、Linux、macOS）以及移动终端操作系统（Android、iOS）的基本原理、安全架构和痕迹特点，涵盖重要痕迹文件、注册表、事件日志、内存、RAID、逻辑卷等数据的取证知识。第11、12章简要介绍高级取证技术，涵盖区块链与数字货币取证、物联网设备取证、汽车取证、暗网取证，并对数据加密与解密、数据隐藏、数据擦除和线索混淆进行探讨。本书提供为仿真教学实验环境而设计的全套教学课件、实验案例、实验指导手册和习题。
本书适合作为高等学校网络空间安全学科各专业和公安院校网络安全与执法方向数字取证课程教材，也可供从事数字取证实践的相关人员参考。

第1章 数字取证概述
1.1 数字取证与电子数据证据
1.1.1 数字取证的概念
1.1.2 电子数据作为证据
1.1.3 电子数据的证据效力、证据力、证明力和质证
1.1.4 电子数据司法鉴定
1.2 数字取证的实施
1.2.1 数字取证的原则
1.2.2 数字取证的模型
1.2.3 数字取证的实施
1.3 数字取证的技术标准与规范
1.3.1 国家标准
1.3.2 行业标准
1.3.3 国际标准
1.4 数字取证的现状与发展
1.4.1 数字取证的历史与发展
1.4.2 数字取证的趋势与挑战
1.5 习题与作业
本章参考文献
第2章 数字取证基础
2.1 常见的数字设备
2.1.1 计算机
2.1.2 服务器
2.1.3 存储设备
2.1.4 移动终端
2.1.5 视频监控设备
2.2 数据的存储
2.2.1 进制
2.2.2 字节顺序
2.2.3 数据的分类
2.2.4 数据的编码
2.3 数据的过滤
2.3.1 基于文件名过滤
2.3.2 基于文件类型过滤
2.3.3 基于文件属性过滤
2.4 数据的搜索
2.4.1 物理搜索
2.4.2 逻辑搜索
2.4.3 索引搜索
2.4.4 正则表达式
2.5 习题与作业
本章参考文献
第3章 电子数据的封存、固定和提取
3.1 电子数据的封存
3.2 电子数据的固定
3.2.1 数据固定工具
3.2.2 镜像文件的格式
3.3 电子数据的提取
3.3.1 在线数据
3.3.2 易失性数据
3.3.3 非易失性数据
3.4 电子数据的校验
3.4.1 哈希算法
3.4.2 哈希碰撞
3.4.3 哈希库
3.5 习题与作业
本章参考文献
第4章 文件系统与数据恢复
4.1 硬盘概述
4.1.1 硬盘结构
4.1.2 MBR分区
4.1.3 GPT分区
4.2 NTFS
4.2.1 NTFS概述
4.2.2 MFT
……
第5章 Windows取证
第6章 Linux取证
第7章 macOS取证
第8章 Android取证
第9章 iOS取证
第10章 互联网应用程序取证
第11章 高级数字取证
第12章 数字取证的挑战

随着大数据、互联网、人工智能时代的到来，以数字化、网络化、智能化为主要特征的创新浪潮一浪高过一浪，现代科技正在推动社会变革和进步，同时也深刻影响着司法办案的模式、证据类型和证据规则。当前利用信息技术进行的犯罪急剧增加，为了适应打击新型犯罪的需要，提升司法人员的电子数据取证能力势在必行。网络空间安全专业致力于培养在“互联网+”时代能够支撑国家网络空间安全领域，具有较强的工程实践能力，系统掌握网络空间安全的基本理论和关键技术，能够在网络空间安全产业以及其他国民经济部门从事各类与网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等工作，具有强烈的社会责任感与使命感、宽广的国际视野、勇于探索的创新精神与实践能力的拔尖创新人才和行业高级工程人才。

武汉大学国家网络安全学院于2018年开设了“数字取证” 课程，一直在研究并探索如何培养高水平的网络安全人才。随着课程的不断完善，我们发现，数字取证作为一门实用技术能够有效帮助网络空间安全专业学生开阔眼界，补充必要的专业知识。但在实际教学中我们也发现，国内适用的数字取证图书较少，适合高校使用的教材则更少。为此，我们联合了国内知名专家和学者联合编写了本书。本书汇集了数字取证的基本概念、基本理论、工作原理和基本方法，系统、全面地介绍了不同文件系统的取证分析方法以及内存、日志、移动终端、恶意代码的取证分析方法。本书融合了近年国内外电子数据取证理论和实践的最新成果，全面介绍了国内外主流的电子数据取证技术。本书紧密结合电子数据取证工作实际，既考虑了电子数据取证的知识体系，又反映了学习和取证实践的规律，按照理论和技术并重的编写思路，深入浅出地讲解数字取证的基本原理，结合电子数据取证实践性强的特点，通过实际的案例分析和练习将理论与实践联系起来，帮助学生更好地学习和掌握数字取证知识。

本书由武汉大学陈晶、何琨、郭永健以及湖北警官学院张俊、朱勇宇共同编著。其中朱勇宇起草并核对了核心章节，对本书的问世起到了重要作用。同时，在本书的编写过程中，皮浩、胡玄宇、夏晓光、谢明聪、胡力和、魏智煌、金恒源、彭诗雨、陈裕铭等给予了支持和帮助，他们为本书第2、3、7、11、12章提供了内容和素材。

本书在筹备和编写过程中，得到公安部应用创新计划项目（2021YY26），湖北警官学院揭榜挂帅2022服务公安实战专项——电子取证及可信应用湖北省协同创新中心项目（2022AD003），湖北省高校人文社会科学重点研究基地社会治安治理研究中心项目（2019A005）的支持。

本书是一本理论与实践相结合的图书，仅有理论内容无法培养出具有实战能力的数字取证人才。武汉大学国家网络安全学院经过5年的教学实践，采用校企联合方式开发了数字取证实验课程虚拟教学环境，利用丰富的教学案例和实验工具配合数字取证理论课程。为配合本书的理论教学，本书作者还有针对性地设计了8学时、16学时、32学时和48学时的实验课程，并配有虚拟教学实验环境下的数字取证实验指导手册，每一章的教学都有相应的虚拟教学实验题目和实验指导手册。在数字取证实验教学中，由于所有学生都有相同的练习环境，授课教师可以很好地进行学习进度控制和实验分数汇总。相信通过配合丰富的数字取证实验内容，学生收获的不仅仅是单纯的数字取证理论知识，也会在实践和动手能力上有显著提升。

本书配套的教学课件、实验案例和实验指导手册可向开设数字取证选修课程或必修课程的大学提供，有需要的老师请联系清华大学出版社。

作者 2023年6月