"随着“电子数据”时代的到来，电子数据已经在新修订的相关法律法规中被明确列为一种独立的证据类型，被誉为新一代“证据之王”。这凸显了电子数据（尤其是在数字取证技术的帮助下）对于打击网络犯罪、获取犯罪证据的重要性。
本书紧密结合电子数据取证工作实际，既考虑了数字取证的知识体系，又尊重了理论学习和取证实践的规律，按照理论和技术并重的编写思路，深入浅出地讲解数字取证的基本原理。结合电子数据取证实践性强的特点，本书通过实际的案例分析和实践练习将理论与现实世界联系起来，帮助学生更好地学习和掌握取证知识。本书适合高等院校网络空间安全相关专业的本科生以及公安院校网络安全与执法相关专业的学生使用。
本书共12章，每章围绕一个具体的数字取证主题设计若干小实验，覆盖电子证据的获取、哈希计算、文件过滤、关键字搜索、元数据提取、数据恢复等核心知识点，并基于Windows、Linux和macOS桌面操作系统，以及Android和iOS移动终端操作系统的基本原理、安全架构和痕迹特点进行详细讲解并开展实验。
本书配套的实验系统提供了丰富的实验案例、实验工具和习题，在武汉大学国家网络安全学院进行了5年的实践优化，可帮助读者获得更好的学习效果。
"

目录



第1章数字取证实验教学环境1
实验1.1登录数字取证教训平台1
实验1.2数字取证教训平台作业与考试系统3
实验1.3数字取证教训平台取证软件3

第2章数字取证基础5
实验2.1加载镜像文件，熟悉不同视图模式5
实验2.2展开镜像文件目录和文件13
实验2.3文件过滤与组合过滤15
实验2.4文件签名22
实验2.5文件搜索31

第3章证据固定和哈希校验45
实验3.1证据固定45
实验3.2文件哈希和哈希校验56

第4章文件系统与数据恢复66
实验4.1文件系统基本属性66
实验4.2FAT文件系统与数据恢复70
实验4.3NTFS文件系统与数据分析76

第5章Windows取证84
实验 5.1卷影复制 84
实验5.2回收站86
实验5.3缩略图90
实验5.4快捷方式94
实验5.5跳转列表96
实验5.6预读取99
实验5.7远程桌面102
实验5.8活动历史记录104
实验5.9注册表105
实验5.10Windows事件日志121
实验5.11内存数据取证128

第6章Linux取证136
实验6.1Linux痕迹分析136
实验6.2网站取证143

第7章macOS取证分析151
实验7.1macOS操作系统痕迹分析151
实验7.2分析最近的行为163

第8章Android取证168
实验8.1Android取证基础168
实验8.2Root权限的获取与锁屏密码的破解174
实验8.3Android设备数据的获取与分析180

第9章iOS取证190
实验9.1iTunes备份解析190
实验9.2解析系统内置App的信息195

第10章应用程序取证分析198
实验10.1云数据分析198
实验10.2即时通信痕迹分析203
实验10.3电子邮件取证分析208
实验10.4浏览器历史记录分析213

第11章高级取证217
实验11.1小米手环日志分析217
实验11.2树莓派家庭娱乐中心镜像分析220
实验11.3无线路由器痕迹分析225
实验11.4无人机飞行记录228

第12章取证的挑战233
实验12.1加密文件破解233
实验12.2数据隐藏238
实验12.3数据擦除245

参考文献249