本书立足于互联网应用环境，以电子数据为重点对象，通过精心设计的电子数据取证技术概述、电子数据取证的基本规则、电子数据取证基础知识、Windows操作系统取证技术、macOS取证技术、UNIX/Linux操作系统取证技术、移动终端取证技术和网络取证技术8章内容，系统介绍电子数据取证技术的基本原理和实现方法，其内容基本涵盖目前电子数据取证工作中涉及的领域，力求在有限的篇幅内通过内容的有效组织与安排，培养读者在电子数据取证方面的综合能力。
本书适合作为高等院校信息安全、网络空间安全、网络安全与执法相关专业本科生和研究生的教材，也适合作为从事网络与系统管理相关方向技术人员以及理工科学生学习电子数据取证的参考用书。

第1章 电子数据取证技术概述
1.1 网络犯罪及其主要特点
1.1.1 计算机犯罪与网络犯罪
1.1.2 常见的网络犯罪的形式
1.1.3 网络犯罪的特点
1.2 电子数据的概念
1.2.1 电子证据
1.2.2 电子数据
1.3 电子数据的常见类型
1.3.1 计算机数据类证据
1.3.2 通信数据类证据
1.3.3 静态电子数据证据和动态电子数据证据
1.3.4 电子设备生成的电子数据
1.3.5 数字电文数据
1.3.6 封闭和开放系统中的电子数据
1.3.7 电子数据和再生性电子数据
1.3.8 根据现行法律对电子证据的分类
1.3.9 新型电子数据
1.4 电子数据的特点
1.5 电子数据取证
1.5.1 电子数据取证的概念及特点
1.5.2 电子数据取证的对象
1.6 电子数据取证过程
1.6.1 电子证据的保全
1.6.2 电子数据获取
1.6.3 数据恢复
1.6.4 证据分析
1.7 电子数据取证的发展
1.7.1 国外电子数据取证发展概况
1.7.2 国内电子数据取证发展概况
1.7.3 电子数据取证技术的发展
1.8 电子数据取证的特点
1.9 电子数据取证人员的素质要求
1.9.1 电子数据取证人员应具备的知识
1.9.2 电子数据取证人员应具备的能力
习题
第2章 电子数据取证的基本规则
2.1 电子数据取证的基本原则
2.1.1 IOCE提出的计算机取证原则
2.1.2 ACPO提出的计算机取证原则
2.1.3 电子数据取证应遵循的原则
2.2 电子数据取证规则
2.2.1 电子数据的收集与提取
2.2.2 电子数据的检查和侦查实验
2.2.3 电子数据真实性的认定
2.3 电子数据取证的一般流程
2.3.1 案件受理
2.3.2 现场保护与外围调查
2.3.3 电子数据获取与固定
2.3.4 电子数据分析
2.3.5 报告和归档
习题
第3章 电子数据取证基础知识
3.1 计算机基础知识
3.1.1 计算机系统的组成
3.1.2 计算机中信息的表示
3.1.3 虚拟化与云计算
3.1.4 大数据
3.1.5 人工智能
3.1.6 集成电路技术
3.2 计算机硬件
3.2.1 典型计算机系统的硬件组成
3.2.2 中央处理器
3.2.3 存储器
3.2.4 总线与I/O接口
3.2.5 输入/输出设备
3.2.6 智能手机的硬件
3.3 操作系统
3.3.1 操作系统概述
3.3.2 操作系统的资源管理
3.4 计算机网络
3.4.1 计算机网络概述
3.4.2 计算机网络的分层模型及数据单元
3.5 数字媒体
3.5.1 文本
3.5.2 图形与图像
3.5.3 数字音频
3.5.4 数字视频
3.6 数据库
3.6.1 数据库基础
3.6.2 数据仓库与数据挖掘
3.6.3 关系数据库
习题
第4章 Windows操作系统取证技术
4.1 Windows操作系统取证概述
4.1.1 Windows操作系统的发展
4.1.2 注册表的取证
4.1.3 事件日志的取证
4.1.4 卷影复制的取证
4.1.5 时间信息的取证
4.2 磁盘与文件
4.2.1 卷与分区
4.2.2 独立冗余磁盘阵列
4.2.3 文件系统
4.2.4 EFS加密
4.2.5 文件取证
4.3 数据的提取和固定
4.3.1 前期准备
4.3.2 在线取证
4.3.3 离线取证
4.4 数据恢复
4.4.1 数据恢复的原理
4.4.2 常见类型和方法
4.5 数据分析
4.5.1 系统痕迹
4.5.2 用户痕迹
4.5.3 内存分析
4.5.4 反取证痕迹
习题
第5章 macOS取证技术
5.1 macOS取证概述
5.1.1 Mac的发展
5.1.2 AppleT2安全芯片
5.1.3 macOS的发展
5.2 macOS的系统特性
5.2.1 系统架构
5.2.2 时间戳
5.3 文件系统
5.3.1 卷与分区
5.3.2 根目录
5.3.3 文件系统的发展
5.3.4 文件保险箱
5.3.5 关键文件格式
5.4 数据的提取与固定
5.4.1 准备工作
5.4.2 在线取证
5.4.3 离线取证
5.5 数据的分析
5.5.1 用户域
5.5.2 用户与群组
5.5.3 主目录
5.5.4 资源库
5.5.5 钥匙串
5.5.6 系统痕迹
5.5.7 用户痕迹
5.5.8 时间机器
5.5.9 常用工具
习题
第6章 UNIX/Linux操作系统取证技术
6.1 操作系统发展简介
6.1.1 单机应用时代的操作系统
6.1.2 网络时代的操作系统
6.2 UNIX/Linux操作系统取证概述
6.2.1 UNIX操作系统简介
6.2.2 Linux操作系统简介
6.3 Linux操作系统特性
6.3.1 文件系统
6.3.2 重要目录
6.3.3 常用命令
6.3.4 日志分析
6.3.5 Linux日志分析
6.3.6 不同类型案件取证
习题
第7章 移动终端取证技术
7.1 移动通信概述
7.1.1 运营商的发展
7.1.2 智能手机操作系统
7.1.3

在互联网环境下，数据
（data）既是客观存在的事
实，也是用户的观察结果，
更体现了客观事件之间的逻
辑关系。在人类进入信息社
会的今天，传统人类社会空
间与网络信息空间深度融合
，数据用来表示客观事物原
始素材的这一属性显得更为
重要，判断数据的真伪成为
辨别事物真实性的一个极其
重要的依据。然而，哪里有
数据，哪里就存在数据被攻
击（如篡改、删除、非授权
获取等）的可能。电子数据
取证的目的就是采用技术手
段，在合法合规的前提下，
寻找和还原数据真相的过程
。
电子数据取证技术的应
用较为广泛，目前涉及网络
攻击窃密、反欺诈调查、内
部审计、失泄密痕迹发现、
恶意网站查处、信用盗窃、
网络赌博、经济诈骗等事件
或案件。从实现技术看，电
子数据取证涉及计算机技术
、网络技术、法律知识、调
查或侦查等领域，是一门综
合学科，重点需要掌握电子
数据取证的常用技术和规范
；从取证范围来看，凡是能
够产生、存储和传输电子数
据的设备、系统、人员等都
是取证的对象；从取证过程
来看，涉及电子数据证据的
搜集、发现、固定、提取、
分析、检验、记录和展示等
环节。为此，本书组织了电
子数据取证基础知识、
Windows操作系统取证技术
、macOS取证技术、
UNIX/Linux操作系统取证技
术、移动终端取证技术和网
络取证技术等章节，系统介
绍电子数据取证技术的相关
内容。
本书介绍的内容，主要
强调技术层面。但在具体实
践中，作为电子数据证据的
合法性同样需要引起读者的
重视：一是电子数据证据的
来源是合法的，即取得电子
数据证据的主体是合法的以
及取得电子数据证据的程序
是合法的，以侵犯他人合法
权益、违反法律禁止性规定
或者严重违背公序良俗的方
法形成或取得的电子数据证
据（例如，通过非法入侵他
人手机，盗窃或抢夺他人计
算机，偷拍、偷录等方式取
得的电子数据等），不能作
为认定案件事实的依据；二
是电子数据证据呈现的形式
是合法的，即当事人提供的
证据符合电子数据证据的类
型，以及电子数据证据应当
提供原始数据或对数据原始
性的有效证明（如SHA值）
。随着《中华人民共和国网
络安全法》《中华人民共和
国数据安全法》以及个人信
息保护等法律法规的实施，
对电子数据取证合法性的认
识和重视必须引起读者的注
意。
在本书的编写过程中得
到许多同事和同行的无私帮
助和支持，在项目申请和出
版过程中得到了清华大学出
版社编辑老师的关心和帮助
。奇安信科技集团股份有限
公司皮浩、杨卓远、李毅、
母东升、王晓明等技术人员
参与了本书内容的编写，并
提供了大量原始资料。
本书的编写参考了大量
的文献资料，尤其是国内外
技术专家著作、著名安全企
业的技术手册等，因工作疏
忽有些未能在参考文献中标
明，在此一并表示衷心的感
谢。同时，向由于疏漏未能
在参考文献中列出的文献作
者及网站内容版权所有者表
示歉意和感谢。
由于作者水平有限，书
中难免有不足之处，敬请读
者提出宝贵意见。
作者
2022年于南京