面对日趋严重的计算机犯罪，计算机数据分析技术正变得越来越重要。本书系统地阐述了计算机数字证据分析的基本概念、原理及方法，本书面向那些想深入了解计算机系统的工作原理，对计算机数据分析工作有兴趣的读者，也适用于计算机系统管理员、开发人员、安全专家等查阅参考。

面对日趋严重的计算机犯罪，计算机数据分析技术正变得越来越重要。本书系统地阐述了计算机数字证据分析的基本概念、原理及方法，全书由l2章组成。基础部分的内容包括了计算机系统基础知识、数据存储原理。数据分析理论部分包括了计算机犯罪概述、数据分析内容和工作流程、调查现场的处理、数字证据固定技术。数据分析技术部分主要以EnC。s。为例介绍了数据分析技术的实际应用以及如何编制计算机调查分析报告。　　本书面向那些想深入了解计算机系统的工作原理，对计算机数据分析工作有兴趣的读者，也适用于计算机系统管理员、开发人员、安全专家等查阅参考。

第1章　计算机系统基础知识

　1．1　计算机硬件系统组成

　1．2　计算机硬件系统启动过程

　1．3　DOS系统启动过程

　1．4　WindowsNT／2000／XP启动

　1．5　系统分区原理

　1．6　文件系统

　本章总结

第2章　数据存储原理

　2．1　硬盘基础知识

　2．2　硬盘的物理结构

　2．3　硬盘的逻辑结构

　2．4　硬盘数据的存储

　本章总结

第3章　计算机犯罪概述

　3．1　计算机犯罪的概念和特征

　3．2　电子证据的概念

　3．3　电子证据的法律定位

　3．4　电子数据的证据效力

　　3．4．1　电子数据的特性

　　3．4．2　电子数据的证据效力

　本章总结

第4章　计算机数据分析概述

　4．1　什么是计算机数据分析技术

　4．2　什么是电子数据鉴定

　4．3　计算机数据分析的对象

　4．4　电子数据分析的基本思路和手段

 4．5 计算机数据分析工作流程

 本章总结

第5章 计算机调查现场处理

 5．1 规划与准备

 5．2 现场调查证据处理

 5．3 送检调查证据处理

 本章总结

第6章 计算机证据固定技术

 6．1 使用硬盘复制机进行证据固定

 6．2 使用软件证据固定方法

 6．3 应急证据固定方法

 6．4 证据固定后的处理工作

 本章总结

第7章 计算机数据分析软件

 7．1 EnCase简介

 7．2 EnCase基本操作

7．2．1 EnCase安装

7．2．2 新建EnCase案例

7．2．3 EnCase备份文件

7．2．4 配置EnCase 

7．2．5 EnCase证据文件的格式

7．2．6 EnCase证据文件的组成

7．2．7 获取EnCase证据文件

7．2．8 添加证据文件

7．2．9 验证EnCase证据文件

7．2．10 散列磁盘和卷

 本章总结

第8章 EnCase工作环境

 8．1 EnCase基本布局

 8．2 树型面板介绍

 8．3 列表面板介绍

8．3．1 列表视图

8．3．2 “描述”栏目的常见条目

8．3．3 报告视图

8．3．4 图库视图

8．3．5 磁盘视图

8．3．6 时间线视图

8．3．7 年份视图

8．3．8 月份视图

8．3．9 星期视图

8．3．10 日期视图

8．3．11 小时视图

8．3．12 分钟视图

8．3．13 代码视图

 8．4 视图面板介绍

 8．5 过滤器面板视图

 8．6 调整面板

 本章总结

第9章 基本查找与书签数据

 9．1 什么是数据

9．1．1 二进制数据．

9．1．2 十六进制

9．1．3 字符

9．1．4 ASCII

9．1．5 Unicode 

 9．2 查找数据

9．2．1 创建和建立关键字

9．2．2 GREP表达式

9．2．3 书签

 本章总结

第10章 文件签名与散列分析

 10．1 文件签名分析

10．1．1 理解应用程序绑定

10．1．2 文件签名库

10．1．3 执行文件签名分析

 10．2 散列分析

10．2．1 散列值MD5

10．2．2 散列集和散列库

10．2．3 向散列集中添加散列值

10．2．4 散列分析

10．2．5 分析散列结果

10．2．6 记录检查过程中使用的散列集

10．2．7 案例分析

 10．3 外部查看器

 10．4 详细的复制选项

10．4．1 选中文件

10．4．2 复制／恢复文件

10．4．3 复制整个文件夹

 10．5 证据还原

10．5．1 还原物理驱动器

10．5．2 还原逻辑卷

 本章总结

第11章 EnCase高级功能

 11．1 搜索未分配空间的文件

 11．2 定位并加载分区

 11．3 加载复合文件

 11．4 注册表

11．4．1 注册表的历史

11．4．2 注册表的组织和术语

11．4．3 用EnCase加载并查看注册表

11．4．4 查找注册表技巧

 11．5 EnScript、过滤器和条件表达式

11．5．1 EnScript导航和路径

11．5．2 编辑、复制、移动、删除脚本

11．5．3 运行脚本

11．5．4 过滤器和条件表达式

 11．6 E_mail电子邮件调查

 11．7 Base64编码

 11．8 EnCase部分总结

 本章总结

第12章 计算机调查分析报告

 12．1 操作行为调查分析报告

 12．2 同一性调查分析报告

 本章总结

附录

 附录A 计算机调查分析专业术语

 附录B GREP语法使用速查

 附录C BIOS进入方法

 附录D 硬盘硬件速查

 附录E 潜在证据处理方法

 附录F Windows XP主要的系统进程

 附录G 常见进程名列表

 附录H 常见Windows蓝屏代码解析

 附录I 常见网络命令用法

 附录J EnCase V6的特性

 附录K 电子证据鉴定相关部分法律法规

参考文献

后记