电子证据调查指南

目录

序 拥抱电子证据的时代赵志刚（1）

导言（）

第一章电子证据概述（）

第一节电子证据的概念与表现形式（）

一、电子证据的概念（）

二、电子证据的表现形式（）

第二节电子证据与传统证据的关系（）

第三节法律中的“电子证据”（）

一、《刑事诉讼法》中的电子证据（）

二、《民事诉讼法》中的电子证据（）

三、“两个证据规定”中的电子证据（）

第四节电子证据的分类与特征（）

一、电子证据的分类（）

二、电子证据的特征（）

第五节信息系统在案件中的地位与作用（）

一、对象论（）

二、工具论（）

三、线索论（）

四、沟通渠道论（）

五、现场论（）

六、其他观点（）

第六节电子证据的相关界定（）

一、现有的一些鉴定类型（）

二、计算机犯罪与计算机证据的区别（）

三、电子数据与视听资料的关系（）

第二章通信技术基础与证据调查（）

第一节信息与信号（）

一、信息（）

二、信号（）

第二节通信发展简史（）

一、古代通信技术（）

二、“电力”通信时代（）

三、现代通信网络（）

四、有线电报和无线电报（）

第三节模拟通信与数字通信（）

第四节移动通信技术原理（）

一、移动通信的发展历史（）

二、蜂窝电话基本原理（）

三、关键术语（）

四、系统的主要特点（）

五、SIM卡（）

第五节手机在侦查中的应用（）

一、定位功能（）

二、信息截获（）

三、手机信息获取（）

四、可获取手机信息类型（）

第六节手机的扣押（）

第七节SafeMobile盘石手机取证分析系统功能介绍（）

第八节VAT-CelAn手机行为分析系统功能介绍（）

一、工具功能特点（）

二、主要分析模块介绍（）

三、多机关联分析模块介绍（）

四、智能报告生成（）

第九节效率源一站式智能手机专业取证系统介绍（）

一、产品概述（）

二、操作使用介绍（）

三、系统管理（）

四、辅助功能（）

第三章声纹与测谎（）

第一节声波、声波数字化及声纹鉴定（）

一、声波（）

二、声波数字化（）

三、声纹鉴定（）

第二节测谎与情感分析（）

一、测谎与测谎技术（）

二、测谎的功能（）

三、测谎技术在我国的应用（）

四、测谎技术的局限性（）

第三节语音情感分析（）

一、人类的发音机制（）

二、LVA分析原始值（）

三、 LVA分析的谎言类型（）

四、LVA65工作模式（）

五、LVA技术在检察系统的应用（）

第四章计算机证据调查技术基础（）

第一节信息技术（）

一、信息构成（）

二、信息载体（）

三、信息技术（）

第二节计算机系统（）

一、二进制（）

二、微型计算机系统结构（）

三、内存与字节（）

四、编码（）

第三节存储层次（）

一、应用程序层（）

二、操作系统与文件系统层（）

三、文件签名（）

四、存储设备层（）

第四节计算机搜查（）

一、是否需要申领搜查证（）

二、如何确定搜查的范围（）

三、如何保护其他人员的合法权益（）

四、第三方如何进行必要的协助（）

第五节证据固定的三大技术基础（）

一、只读的概念（）

二、镜像的概念（）

三、数字指纹的概念（）

第六节内存信息的获取（）

第七节带电移机（）

第五章密码学基础及其在取证中的应用（）

第一节传统安全与保密（）

第二节加密通信模型（）

第三节古典密码学（）

一、移位加密法（）

二、关键词加密法（）

三、仿射加密法（Caesar的穷举变种）（）

四、多文字加密法（Playfair）（）

五、置换加密法（）

第四节现代密码学（）

第五节密码算法（）

第六节解密技术（）

第七节解密的应用（）

第六章信息安全与网络取证技术基础（）

第一节信息安全概念（）

一、保密性（Confidentiality）（）

二、完整性（Integrity）（）

三、可用性（Availability）（）

四、真实性（Authenticity）（）

五、不可抵赖性（Non-repudiation）（）

第二节单机信息安全的由来（）

第三节网络信息安全（）

一、网络基础（）

二、OSI参考模型与TCP/IP协议簇 （）

三、互联网服务（）

四、网络互连设备（）

五、网络信息传输（）

第四节网络信息服务过程（）

一、PSTN公共电话网（）

二、通过局域网网关接入（）

三、DDN专线（）

四、CATV接入和电力线接入（）

五、卫星接入（）

六、光纤接入（）

七、无线接入（）

八、FTTX+LAN接入方式（）

九、移动接入方式（）

第五节网络取证原理（）

第六节网络信息安全（）

一、网络身份的确认（）

二、访问控制（）

第七节网络安全威胁（）

第八节安全技术（）

一、加密（）

二、认证和识别（）

三、权限控制（）

四、安全工具分类（）

第九节信息战（）

第十节信息犯罪（）

一、信息犯罪的起源（）

二、信息犯罪的特点（）

第十一节网络证据调查（）

第七章电子数据勘验与鉴定程序规则（）

第一节现场勘验（）

第二节程序规则（）

第八章单机证据分析（）

第一节安全策略（）

第二节日志的查看（）

第三节Windows登录类型（）

第四节其他日志（）

第五节其他痕迹（）

第六节内存转储（）

一、内存固定（）

二、在线信息获取（）

第七节pagefilesys（）

第八节hiberfilsys（）

第九节临时文件和各类镜像文件（）

第十节系统分析与监控工具（）

一、虚拟机（）

二、文件监控（）

三、注册表监控（）

四、系统文件监控（）

五、进程分析（）

第十一节自启动分析（）

一、AUTOEXECBAT（）

二、“启动”菜单（）

三、WININI与SYSTEMINI（）

四、WININITINI与WINSTARTBAT（）

五、Configsys（）

六、USERINITINI（）

七、Dosstartbat（）

八、注册为系统服务（）

九、驱动级木马（）

十、DESPTOPini和FOLDERHTT（）

十一、注册表启动（）

十二、Explorerexe启动（）

十三、屏幕保护启动方式（）

十四、依附启动（）

十五、脚本启动（）

十六、计划任务启动方式（）

十七、AutoRuninf启动方式（）

十八、start命令（）

十九、控制面板启动（）

二十、修改组策略（）

二十一、修改文件关联（）

二十二、添加到流媒体中（）

第十二节如何查看木马（）

一、系统自带工具（）

二、防病毒工具（）

三、微点自主防御软件（）

四、IceSword（）

五、knlsc（）

第十三节信息隐藏（）

一、通过文件属性进行隐藏（）

二、超级隐藏（）

三、变换扩展名（）

四、特殊目录/文件名（）

五、加密（）

六、网页加密（）

七、设置访问权限（）

八、回收站隐藏（）

九、System Volume Information（）

十、捆绑隐藏（）

十一、添加到文件后（）

十二、流方式隐藏（）

十三、利用设备名（）

十四、嵌入/信息隐藏（）

第十四节数码照片中的隐私信息（）

第十五节WORD文档中的隐私信息（）

一、访问记录（）

二、临时文件（）

三、WBK文件（）

四、虚拟内存文件与休眠文件（）

五、非法操作时所产生的“被挽救的文档”（）

六、Temp目录（）

七、回收站目录（）

八、剪贴板（）

九、摘要（）

十、WORD口令破解（）

第十六节上网痕迹与邮件（）

第十七节证据分析专业工具（）

一、EnCase（）

二、FTK（）

三、盘石介质取证分析系统SafeAnalyzer（）

四、X-Ways（）

五、其他工具（）

第十八节溯源性分析（）

一、硬件系统（）

二、软件系统（）

三、溯源性（）

第十九节存储介质检验（）

第二十节鉴定分析工作的应用（）

第二十一节电子证据让虚假鉴定显原形（）

第九章网络证据分析（）

第一节网络数据包协议解析（）

一、HTTP数据包分析（）

二、电子邮件数据包分析（）

三、即时通信数据包分析（）

四、FTP数据包分析（）

五、P2P共享文件数据包分析（）

六、Telnet数据包分析（）

七、VOIP 数据包分析（）

八、HTTP视频流数据包分析（）

九、HTTPS/SSL数据包分析（）

十、WLAN数据包介绍（）

第二节网络事件处理与取证（）

一、网络舆情（）

二、社会关系排查（）

三、网络洗钱（）

四、网络诽谤与人身攻击（）

五、网络谣言（）

六、网络诈骗（）

七、网络水军与网络推手（）

八、网络删帖（）

九、网络侵权（）

第三节网络线索应用（）

第四节网站远程固定工具（）

第十章动态仿真分析系统（）

第一节工具简介（）

一、概述（）

二、主要功能（）

第二节软件安装（）

一、系统要求（）

二、SafeVM Pro安装升级（）

第三节操作方法（）

一、设备连接（）

二、系统仿真（）

三、提取密码Hash值（）

四、启动失败配置（）

第四节仿真系统在木马调查中的使用（）

一、操作系统仿真（）

二、搭建网络环境（）

三、木马行为分析（）

第五节在线动态数据分析出现问题的应对（）

一、64位系统仿真失败（）

二、启动虚拟机时出现“The physical disk is already in use”

（物理磁盘已被使用）字样（）

三、Unix/Linux、Windows双系统启动失败（）

四、切换到虚拟机系统，键盘及鼠标没有反应（）

第六节ATT-3000（）

第十一章电子邮件调查（）

第一节电子邮件的发送和接收（）

第二节电子邮件地址构成（）

第三节电子邮件起源（）

第四节电子邮件服务器系统（）

第五节使用电子邮件的两种常用方式（）

一、客户端方式（）

二、WEB方式（）

第六节电子邮件真实性判定（）

第七节电子邮件的鉴定思路（）

第八节典型案例（）

一、北京大学顶替上学的邮件（）

二、垃圾电子邮件典型案例（）

三、劳动争议中电子邮件证据（）

四、邮箱泄密典型案例（）

第十二章网络公证与打击侵权盗版（）

第一节网络公证概述（）

一、网络公证的含义（）

二、美国网络公证发展概述及对我国公证行业的借鉴意见（）

三、美国网络公证行动对于我国公证行业的借鉴意义（）

第二节网络公证与电子商务（）

一、网络诚信问题已成为电子商务发展的“瓶颈”（）

二、充分发挥电子认证服务与网络公证服务的作用，对于构建

诚信网络有现实意义（）

第三节网络公证与互联网知识产权保护（）

一、网络环境下的知识产权保护现状（）

二、网络公证与网络环境下的知识产权保护（）

第四节小结（）

第十三章电子证据工具体系与取证云（）

第一节取证工作云（）

一、应用背景（）

二、取证工作云的业务（）

三、工作云平台结构（）

四、工作云平台业务之间的关系（）

五、工作云平台业务流程（）

六、后端分析（）

第二节取证服务云（）

一、应用背景（）

二、取证服务云的数据采集（）

三、取证服务云的业务（）

第十四章网上交易、跨国犯罪与国际协作（）

第一节网上交易平台（）

第二节网游交易平台（）

第三节主要跨国犯罪类型（）

一、洗钱（）

二、恐怖行动（）

三、盗窃文物和艺术品（）

四、侵犯知识产权（）

五、非法买卖武器（）

六、劫机（）

七、海盗（）

八、抢劫地面交通工具（）

九、骗保（）

十、计算机犯罪（）

十一、生态犯罪（）

十二、贩卖人口（）

十三、人体器官交易（）

十四、非法贩卖毒品（）

十五、虚假破产（）

十六、参与非法经营（）

十七、贪污受贿（）

第四节国际反贪局联合会（）

第五节引渡制度（）

一、概念（）

二、发展历史（）

三、引渡主体（）

四、引渡对象（）

五、引渡理由（）

六、引渡效果（）

第六节《网络犯罪公约》（）

第十五章电子数据综合应用（）

第一节电子数据综合应用的实际做法（）

第二节结语（）