本书结合实践经验，主要讨论windows系统开机和关机的不同时刻对证据数据收集和分析的技术问题。本书提供大量利用Perl脚本编写的程序，可以在多种操作系统运行。本书旨在加深对取证信息的深入理解，不仅列举了调查人员从开机系统及获取的镜像中能够得到的信息，也提供了定位更多取证信息要素的方法。

本书的写作源于实战的需要，主要关注Windows取证分析这一技术领域，主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题，重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析，以及Rootkits等内容。本书不仅为取证分析人员、调查人员和应急响应人员提供参考，也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。

前言

第1章 开机取证：数据收集

 引言

 开机取证(Live Response)

诺卡德交换原理

易变信息的次序

何时进行开机取证

 收集什么数据

系统时间

当前登录用户

打开的文件

网络信息(缓存的NetBIOS名字列表)

网络连接

进程信息

进程到端口的映射

进程内存

网络状态

剪贴板内容

服务/驱动信息

命令行历史

映射的驱动器

共享

 非易变信息

注册表设置

事件日志

设备和其他信息

有关怎样挑选工具

开机取证方法

本地开机取证方法

远程取证方法

混合方法

 小结

 参考资料

 快速解决方案

 常见问题

第2章 开机取证：数据分析

 引言

 数据分析

案例一

案例二

敏捷分析

扩大范围

应对

防范

 小结

 参考资料

 快速解决方案

 常见问题

第3章 Windows内存分析

 引言

 内存分析简史

 获取物理内存镜像

基于硬件的方案

利用火线接口

崩溃转储

利用虚拟机

休眠文件

DD

 分析物理内存镜像

进程基础

分析内存镜像

分析进程内存

提取进程可执行文件镜像

内存镜像分析和页交换文件

根据内存镜像判断操作系统类型

分析内存池

获取进程内存

 小结

 参考资料

 快速解决方案

 常见问题

第4章 注册表分析

 引言

 注册表内部结构

配置单元文件内的注册表结构

注册表作为日志文件

监视注册表变化

 注册表分析

系统信息

自动启动位置

枚举注册表白动启动位置

USB移动存储设备

Mounted Dcvices

查找用户

追踪用户活动

Windows XP系统还原点

 小结

 光盘内容

 参考资料

 快速解决方案

 常见问题

第5章 文件分析

 引言

 事件日志

理解事件

事件日志文件格式

事件日志头部

事件记录结构

Vista事件日志

IIS 日志

因特网浏览器历史

其他日志文件

回收站

系统还原点

Prefetch文件

快捷方式文件

 文件元数据

Word文档

PDF文档

图像文件

义件特征分析

NTFS分支数据流

 其他分析方法

 小结

 参考资料

 快速解决方案

 常见问题

第6章 可执行文件分析

 引言

 静态分析

记录文件信息

分析可执行文件

 动态分析

测试环境

一次性系统

工具

流稗

 小结

 参考资料

 快速解决方案

 常见问题

第7章 Rootkits及其检测

 引言

 Rootkits

 Rootkit检测

开机柃测

GMER

Helios

MS Strider GhostBuster

F-Secure BlackLight

Sophos Anti-Rootkit

AntiRootkit.com

后期检测

预防

 小结

 参考资料

 快速解决方案

 常见问题