本书系统地讲述了计算机取证的基本概念、原理及方法，主要涉及计算机取证的基本原则和步骤、计算机取证的常见工具、硬盘结构及文件系统基础、Windows系统取证方法、Unix系统取证方法、Linux系统取证方法、计算机反取证技术及可引导取证工具Helix及其使用等内容。
本书共分8章，通过阅读，可使读者在较短的时间内对计算机取证技术有比较系统、全面的了解，为进一步学习和研究打下良好的基础。
本书可作为高等院校计算机、信息**等相关专业的教材或教学参考书，也可供公安网络监察、网络**管理等领域的相关人员参考。

第1章 计算机取证的基本概念
随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中，与计算机相关的法庭案例也不断出现。一种新的存在于计算机及相关外围设备（包括网络介质）中的电子证据逐渐成为新的诉讼证据之一。人们每天面对大量的计算机犯罪案例，如商业机密信息的窃取与破坏、计算机欺诈、对政府或金融网站的破坏等，这些案例的取证工作需要提取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中获取信息。电子证据本身和取证过程存在许多有别于传统物证和取证的特点，它们对司法和计算机科学领域都提出了新的挑战。2001年6月8日至22日，在法国图鲁兹城召开的为期5天的第十三届全球FIRST（Forum of Incident Response and Security Teams）年会上，入侵后的系统恢复和分析取证成为此次大会的主要议题。由此可见，作为计算机领域和法学领域的一门交叉学科——计算机取证（Computer Forensics）正逐渐成为计算机**领域一个新的研究热点。
在计算机犯罪手段与网络**防御技术不断升级的形势下，单靠网络**技术打击计算机犯罪不可能非常有效，因此需要发挥社会和法律的强大威力来对付网络犯罪，计算机取证正是在这种形势下产生和发展的，它标志着网络**防御理论的成熟。
1.1 计算机取证的基本概念
1.1.1 计算机取证的定义
什么是计算机取证？计算机取证**专家Robbins给出了如下的定义：计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提取上。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义：计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络**协会SANS则归结为：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。
……

前言
第1章 计算机取证的基本概念
1.1 计算机取证的基本概念
1.1.1 计算机取证的定义
1.1.2 计算机取证研究概况
1.2 电子证据的概念
1.2.1 电子证据的定义
1.2.2 电子证据的特点
1.2.3 电子证据的来源
1.3 计算机取证的原则和步骤
1.3.1 计算机取证的基本原则
1.3.2 计算机取证的一般步骤
1.3.3 一个具体的计算机取证实例
1.4 计算机取证模型
1.4.1 基本过程模型
1.4.2 事件响应过程模型
1.4.3 法律执行过程模型
1.4.4 过程抽象模型
1.5 计算机取证的发展趋势
参考文献
第2章 计算机取证的常见工具
2.1 计算机取证的相关工具
2.1.1 一般工具软件
2.1.2 取证专用工具软件
2.2 取证复制工具包
2.2.1 Encase
2.2.2 SafeBack
2.2.3 Unix实用程序dd
2.2.4 开放数据复制工具
2.3 取证分析工具包
2.3.1 FTK
2.3.2 TCT工具包
2.4 国内外计算机取证设备对比与分析
2.4.1 国内主要取证产品介绍
2.4.2 国内外计算机取证设备对比与分析
2.5 Linux环境下的计算机取证工具介绍
2.5.1 Sleuthkit
2.5.2 Autopsy
2.5.3 SMART for Linux
参考文献
第3章 硬盘结构及文件系统基础
3.1 硬盘的结构
3.1.1 硬盘的物理结构
3.1.2 硬盘的逻辑结构
3.2 硬盘数据组织
3.3 文件的删除与恢复
3.3.1 Windows系统的文件删除与恢复
3.3.2 Unix/Linux系统的文件删除与恢复
参考文献
第4章 Windows系统取证方法
4.1 Windows系统初始响应方法
4.1.1 创建初始响应工具包
4.1.2 初始响应方法
4.1.3 编写初始响应脚本
4.2 Windows系统取证实例
4.2.1 取证背景
4.2.2 系统概况和证据处理
4.2.3 建立取证工具
4.2.4 介质备份及分析
4.2.5 MAC时间分析
4.2.6 注册表
4.2.7 恢复被删除文件
4.2.8 *后分析结论
参考文献
第5章 Unix系统取证方法
5.1 Unix系统初始响应方法
5.1.1 创建初始响应工具包
5.1.2 保存初始响应信息
5.1.3 收集数据
5.2 Unix系统取证方法
5.2.1 数据获取
5.2.2 取证分析
参考文献
第6章 Linux系统取证方法
6.1 Linux系统初始响应方法
6.1.1 初始响应的准备工作
6.1.2 初始响应的具体步骤和方法
6.2 Linux磁盘介质备份
6.2.1 准备工作
6.2.2 介质备份
6.3 Linux系统取证方法
参考文献
第7章 计算机反取证技术
7.1 数据擦除
7.2 数据隐藏
7.2.1 实现数据隐藏的几种常用方法
7.2.2 实现数据隐藏的具体实例
7.3 Linux环境下常见的计算机反取证工具介绍
7.4 Windows环境下常见的计算机反取证工具介绍
参考文献
第8章 可引导取证工具Helix及其使用
8.1 引言
8.2 Windows工作模式
8.2.1 预览系统信息
8.2.2 使用dd工具获取正在运行的Windows系统映像
8.2.3 Windows系统应急响应工具
8.2.4 在线浏览重要文档
8.2.5 浏览CD-ROM和主机OS的内容
8.2.6 从正在运行的系统中查找图片文件
8.3 Linux工作模式

计算机取证技术是一门涉及计算机科学、法学等多个领域的交叉学科。越来越多的人对这个新领域都产生了兴趣。 本书共分8章介绍了计算机取证的一些基本概念、原理和主要方法。具体地，第1章介绍计算机取证的基本概念；第2章介绍计算机取证的常见工具；第3章介绍硬盘结构及文件系统基础；第4章介绍Windows系统取证方法；第5章介绍Unix系统取证方法；第6章介绍Linux系统取证方法；第7章介绍计算机反取证技术；第8章介绍可引导取证工具Helix及其使用。