本书全面系统地介绍了电子数据取证技术，涉及电子数据取证基本理论、技术和应用，不仅阐述了电子数据取证的概念、规范和取证技术基础等内容，涵盖了Windows作系统、Linux作系统、UNIX作系统、macOS作系统、iOS作系统、Android作系统、网络和互联网取证、应用系统取证等常见领域取证技术，还较为详细地介绍了区块链取证、云取证和智能系统取证等新兴领域取证技术。本书结合相关理论基础和技术的应用，给出了若干电子数据取证实务案例，内容通俗易懂，便于读者学/p>

本书适合作为网络空间、信息、计算机科学与技术、通信、技术、法学与学等相关学科专业本科和研究生的教材，亦可供高校教师，相关科研、技术和管理人员，以及司律等领域工作者参考和使用，还适合作为电子数据取证从业人员或相关人员的基础级入门教材。

第1童 电子数据现证板述

1.1电于数据与电子数据证摆

1L.1.1电子数超的概念

L.1.2电子数据证据的概念

1.1.3电子数据证据的特点

1.2电子数抠取证

1.2.1电子数据取证的概念

1.2.2电子数据取证的原则

1.2.3电子数据取证面临的问题与发展

第2章电子数据取证规范

21电子数握取证技术标准

2.1.1国际技术标准

2.1.2 国家技术标准

2.1.3行业技术标准

22电子数据取证程序

启动阶段

2.2.1

2.22现场保护与勘查阶段

2.2.3电子数据获取与固定阶段

2.2.4电子数据分析与检验阶段

2.2.5 评估阶段

2.2.6证据保管、移交与展示阶段

2.3电子数据取证工具

根据工具的可靠行分类

2.3.1

2.3.2根据工行分类

2.3.3根据应用场景分类

2.4电子数据取证方法

2.4.1取证方法概述

2.4.2取证方法分类

2.5电子数据取证实验室

2.5.1电子数据取证实验室的重要性……26

2.5.2.电子数据取证实验室的认可体系.…27

2.5.3 电子数据取证实验室的质量控制.….….32

第3章取证技术基础

3.1存储基础…

3.1.1存储原理

3.12存储系统结构

3.13存储设备

3.2文件系统及编码

3.2.1文件系统。

3.2.2编码与解妈

3.3彩意代码分析基础

懇意代码简介

恶意代码的分类

3.3.3彩意代码的分析原理

第4章 Windows 作系统取证技术

4.1 Windows 日志取证技术

4.1.1Windows事件日老

NTFS 日志

4.1.2

IIS 日志

4.1.3

4.1.4其他日志

4.2 Windows 注册表取证技术

Windows 注册表简介

4.2.1

4.2.2 Windows 注册表取证分析

4.3 Windows 内存取证技术

Windows 内存简介4.3.1

Windows 内存取证方法和

4.3.2

分析技术

Windows 其他取证技术

4.4

浏览器取证分析

4.4.1

脱机打印信息分析

4.4.2

跳转列表分析

4.4.3

访问信息分析

4.4.4

可执行文件分析

4.4.5

第5章 UNIX/Linux作系统取证技术

UNIX/Linux 作系统的特点与

5.1

常见类型

UNIX 作系统的特点与

5.1.1

常见类型.

Linux作系统的特点与

5.1.2

常见类型

5.2 UNIX/Linux 作系线取证

5.2.1 Linux 文件系统层次休系与

常见目录结构

5.2.2 Linux文件系统的特点与取证..117

5.2.3 Linux 日志文件的特点与取证 ..120

5.2.4

Linux 网络信息分析

Linux 内存信息分析

5.2.5

5.2.6其他信息源分析

第6章 macOS作系统取证技术

6.l macOS作系统

6.1.1 macOS作系统的特点

6.1.2不同版本macOS的美

6.1.3 macOS取证主要信息源

6.2macOS系统取证

6.2.1 macOS支持的文件系统及特点.…148

6.2.2

macOs日志文件、配置文件

分析

6.2.3

macOS网络信息分析

macOS浏览器信息分析

6.2.4

macOS邮件客户端信息分析6.2.5

6.2.6其他信息源分析

第7章iOS作系统取证技术

7.1iOS作系统取证概述

7.1.1 iPhone手机的发展

iOS作系统简介

7.1.2

7.1.3

备份文件取证

7.1.4

逻辑取证

7:1.5

物理取证

7.2 iOS作系统常见逻辑数据提取

分析

7.2.1短消息的提取和分析

7.2.2通话记录的提取和分析

7.2.3联系人信息的提取和分析.

7.2.4浏览器历史记录的提取和分析.169

邮件客户端信息的提取和分析…1717.2.5

位置信息的提取和分析..7.2.6

7.2.7

其他信息源分析.

7.3 iPhone备份文件的取证

7.3.1备份文件的结构与分析

7.3.2备份文件数据的破解和

提取分析

第B章 Androld 作系统取证技术

8.1 Android智能手机取证概述

8.1.1 Android概况及发展历程

8.1.2 常见Android 手机厂商及

系统特点

8.1.3 Androi能特点

138

8.1.4 Android 取证准备工作

8.1.5 Android 作系统逻辑数据提取…187

Android作系统常见逻辑数据8.2

提取分析

短信息/彩信的提取和分析

8.2.1

822通话记录的提取和分析

8.2.3联系人信息的提取和分析

8.2.4浏览器历史记录的提取和分析

8.2.5邮件客户端信息的提取和分析

8.2.6微信数据的提取和分析

8.3 Android密码绕过与物理取证

8.3.1 获取root权限

8.3.2

绕过Android设备密码

Android物理镜像提取

8.3.3

8.3.4获取 Android外置存储设备

镜像

8.3.5Android物理镜像分析

8.3.6 Android数据恢复

第9章网络取证技术

9.1网络取证概述

9.1.1网络取证的特殊性

9.1.2常见网络协议介绍

9.1.3网络取证的数据来源

9.2网络实时取证与分析.

9.2.1数获取方法和途径

9.2.2数分析的工具

9.3网络非实时取证与分析

9.3.1网络追踪与网络行为分析

9.3.2P2P技术在网络犯罪中的应用

第10章应用系统取证技术

伪基站系统取证技术

10.1

10.1.1GSM简介

10.1.2GSM中的鉴权、加密及解密……260

10.1.3GSM的性

10.1.4伪基站的危害

10.1.5伪基站的原理和取证

P2P系统取证技术

10.2

P2P简介.

10.2.1

系统的结构，

10.2.2

10.2.3

P2P系统取证

10.3赌博取证技术

赌博简介

10.3.1

网络赌博产业链10.3.2

10.3.3赌博页面取证

第11章其他取证技术

11.1区块链取证技术

区块链简介

11.1.1

11.1.2区块链取证要点

11.2云计算取证技术

11.2.1 云计算简介

11.2.2云计算取证要点

11.3智能系统取证技术

智能系统取证简介

11.3.1

智能系统取证要点.

11.3.2

智能系统取证内容

11.3.3

第12章 电子数据取证综合案例分析

12.1案情简介

主要案情

12.1.1

取证要求

12.1.2

主要难点问题

12.1.3

12.2案件的证据固定

了解被入侵服务器的相关

12.2.1

参数及运行状态.

12.2.2制订证据固定计划

选择证据固定工具

12.2.3

连接到远程服务器

12.2.4

固定所有用户历史执行记录.

12.2.5

固定系统时间

12.2.6

固程信息

12.2.7

固定网络连接信息

12.2.8

12.2.9固定磁盘信息

固定网卡信息

12.2.10

固定用户信息

12.2.11

固定用户登录日志信息

12.2.12

固定 Apache 应用数据

12.2.13

固定Apache 日志

12.2.14

固定数据库，

12.2.15

固定数据库日志

12.2.16

12.3数据分析过程

12.3.程分析，

分析网络连接

12.3.2

分析启动项

12.3.3

分析登录日志

12.3.4

分析错误登录日志

12.3.5

分析 Web.

12.3.6

分析 Web日志，

分析数据库

12.3.8

数据库Binlog 日志转换.….

12.3.9

用户id为2613的用户作

12.3.10

日志分析…

用户id为1679用户作

12.3.11

日志分析

数据库日志分析

12.3.12

12.4分析漏洞原因..

12.5调查结果与评价

参考文献，

随着计算机技术的不步和发展，信息技术与人们生活的关系越来越紧密，应用越来越广泛，电子数据成为社会生活的重要组成部分。无论政府机关，公司。组织还是个人，都越来越依赖于信息技术和电子数据。而人们在享受高科技带来的便利时，也面临着各种利用网络技术实施危害人身、社会乃至国家的犯罪的威胁。在这个数字化的中，随着人们日常法动的诽行，每时每刻都合产生新的申子豹据，数据量正在以极快的速度呈指数级增长，网上购物、线上转账、浏览网页、在线聊天等行为都会在手机。计算机中留下痕迹，这就导致越来越多的犯罪中涉及电子数据年来，涉及信息技术的新型犯罪，如非法侵入计算机系统、非法获取计算机信息系统数据，侵犯个人信息、破坏计算机信息系统、组传销活动等犯罪呈现出逐年增长的趋势；同时，一些传统犯罪也广泛涉及电子数据，如故意伤害的案例中也会出现犯罪嫌疑人通过社交软件沟通，在手机或计算机中留下证据的情形。为了适应这类案件的诉讼需求，要求侦查人员或相关技术人员有能力对电子数行取证，电子数据取证逐渐成为侦查或调查环节中不可或缺的一部分，侦查人员也面临着巨大的挑战。

法谚有云：“在法庭上，只有证据，没有事实。没有证据的事实不是事实。”可见，对于打击犯罪而言，证据的获取是前提和保证。在信息社会，对于信息技术犯罪而言，电子数据取证尤为重要。电子数据取证技术是打击犯罪的根本保障，是维护法治社会发展的重要基础，是实现国家治理体系和治理能力现代化的必然要求。目前，在我国的司法实践中，传统的取证和司法鉴定技术，如指纹鉴定、DNA鉴定、笔迹鉴定等都已趋于成熟，但是鉴于电子数据取证具有技术依赖性、隐蔽性、易破坏性的特点，目前依然是信息技术领域犯罪案件侦破过程中的。

在第三十六次集体学调：当今，网络信息技术日新月异，全面融入社会生产生活，深刻改变着全球经济格局、利益格局、格局。主要国家都把互联网作为经济发展、技术创新的，把互联网作为谋求竞争新优势的战略方向。虽然我国网络信息技术和网络保障取得了不小成绩，但同相比还有很大差距。我们要统一思想、提高认识，加强战略规划和统筹，加快各项工作。电子数据取证作为计算机学科和法学学科的交叉领域，各国都投入了大量的人力、物力、财力对行深入研究。在我国，这方面的研究仍处于研究和发展的初期，需要大量的专业性人才为该领域的发展做出贡献。因此，编写一本适合电子数据取证从业人员或希望从事该行业的人员使用的教材是有必要的。

本书内容侧重于电子数据取证，较全面地阐述各种环境和应用的电子数据取证技术。

与现有同类教材相比，本书更加侧重于知识结和归纳，更重视理论和实践相结合。

本书具有以下特点。

本书内容新颖，不仅介绍了传统的电子数据取证相关领域的技术，同时还介绍了区块

(1)新颖性。

链取证技术、云取证技术、智能系统取证技术等新兴领域，有利于读者了解当前电子数据取证领域的前沿知识，全面认识计算机司法鉴定的体系和体系架构。（2）交叉性。

本书参考了国内外学者的相关研究资料，将电子数据取证中涉及的法学领域的相关知识与计算机领域的技术做了有机融合，有助于培养计算机与法学的复合型人才，满足当偷司法实践对于专业复合型人才的迫切需求。

(3)实践性。

本书理论与实践相结合含了大量实践作内容，具有很强的作实践性。第12章通过一个综合案例使读者了解电子数据取证的全过程，有利于提高学生的学，符

合办案实践中对专业人才的具体要求。

王水全、廖根为担任本书主编，并拟定编写大纲，负责全书设计、统稿、增删修正、

校对和完善。本书作者及其编写分工为：第1章由郭弘编写：第2章由赵帅、王永全、彦

根为共同编写；第3章由刘浩阳编写；第4章由徐志强编写；第5章由廖根为、赵帅、王

水全共同编写：第6章由王永全、陆道宏、沈永安、廖根为共同编写；第7章由陆道宏、

沈水安共同编写；第8章由孙奕、郭弘共同编写；第9章由吴坚、廖根为共同编写；第

0章由陆道宏、沈永安共同编写；第11章由王永全、陆道宏、沈永安共同编写：第12章

由沈永安编写。

在撰写本书过程中，陆璟妍、赵子玉和诸珺文等在资料收集、校对与实验验证等方面

做了相关工作，在此予以感谢！

由于计算机信息技术是不断发展的，加之编者有限，书中可能还存在欠妥之处，

恳请专家和广大读者不吝指正

编者

2020年10月

第1章电子数据取证概述

本章内容：电子数据的基本概念、电子数据证据的特点以及从不同角度对电子数据取证的理解。

本章学：通过本章的学握电子数据和电子数据取证的基本概念，理解电子数据的表现形式及分类，理解电子数据证据的特点及电子数据取证的意义与发展。

1.1电子数据与电子数据证据

随着互联网的快速发展，是我国国民经济和社会信息化建程的全面加快，计算机和互联网已经成为人们日常生活、工作的重要组成部分。与此同时，我国正面临着复杂严峻的网络形势：一是针对互联网的犯罪日益猖獗，当前我国已经成为黑客攻击破坏的主要受害国之一；二是网络赌博、网络传播情、网络销售违禁品、网上贩卖个人信息等利用互联网的违法犯罪形势严峻，严重污染了网络环境，扰乱了网络秩序；三是违法犯罪+互联网的趋势日益凸显，大量违法犯罪的准备和实施均借助网络技术而实现，技术门槛和犯罪成降低，犯罪规模和危害程度急剧扩大，犯罪分工更加精细，犯罪手法更加复杂；四是利用网络制作传播恐怖音频、，大肆宣扬恐怖和思想，煽动实施恐怖活动，传授暴恐犯罪技能。

随着各类组织的运转以及通信、运输、金融、电商业、能源等社会经济活动对信息网络的依赖不断加深，与之相伴的网络违法犯罪也不断增多。打击网络犯罪，保障信息，网络的有序发展已经成为我国机关面临的一个重大挑战。

由于网络空间的虚拟性，网络犯罪行为留下的通常为电子数据，因此，电子数据在整治打击各类网络违法犯罪，打击网络恐怖主义，加强国际合作等方面均具有重要的意义。随着互联网和计算机技术的发展与普及应用，很多刑事司法活动也会涉及电子数据，电子数据的收集提取和审查判断，已经成为刑事司法实践活动的基础性、普遍性工作。

1.1.1电子数据的概念

电子数据是指在计算机系统中产生的、或存储于计算机或相关设备中的以数字化形式存在的数据。电子数据符合法律规定的条件便可成为诉讼中的证据。虽然电子数据最终以数字化形式存在，但其信息呈现方式多种多样。常见的电子数据有：通过网页、博客、微博、朋友圈、贴吧、网盘等网台发布的数据信息；手机短信、电子邮件、即时通讯、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通……