本书全面系统地介绍了电子数据取证技术，涉及电子数据取证基本理论、技术和应用，不仅阐述了电子数据取证的概念、规范和取证技术基础等内容，涵盖了Windows操作系统、Linux操作系统、UNIX操作系统、macOS操作系统、iOS操作系统、Android操作系统、网络和互联网取证、应用系统取证等常见领域取证技术，还较为详细地介绍了区块链取证、云取证和智能系统取证等新兴领域取证技术。本书结合相关理论基础和技术的应用，给出了若干电子数据取证实务案例，内容通俗易懂，便于读者学习。
本书适合作为网络空间安全、信息安全、计算机科学与技术、通信、公安技术、法学与公安学等相关学科专业本科高年级和研究生的教材，亦可供高校教师，相关科研、技术和管理人员，以及公检法司律等领域工作者参考和使用，还特别适合作为电子数据取证从业人员或相关人员的基础级入门教材。

第1章 电子数据取证概述
1.1 电子数据与电子数据证据
1.1.1 电子数据的概念
1.1.2 电子数据证据的概念
1.1.3 电子数据证据的特点
1.2 电子数据取证
1.2.1 电子数据取证的概念
1.2.2 电子数据取证的原则
1.2.3 电子数据取证面临的问题与发展
第2章 电子数据取证规范
2.1 电子数据取证技术标准
2.1.1 国际技术标准
2.1.2 国家技术标准
2.1.3 行业技术标准
2.2 电子数据取证程序
2.2.1 启动阶段
2.2.2 现场保护与勘查阶段
2.2.3 电子数据获取与固定阶段
2.2.4 电子数据分析与检验阶段
2.2.5 评估阶段
2.2.6 证据保管、移交与展示阶段
2.3 电子数据取证工具
2.3.1 根据工具的可靠性进行分类
2.3.2 根据工具的功能进行分类
2.3.3 根据应用场景分类
2.4 电子数据取证方法
2.4.1 取证方法概述
2.4.2 取证方法分类
2.5 电子数据取证实验室
2.5.1 电子数据取证实验室的重要性
2.5.2 电子数据取证实验室的认可体系
2.5.3 电子数据取证实验室的质量控制
第3章 取证技术基础
3.1 存储基础
3.1.1 存储原理
3.1.2 存储系统结构
3.1.3 存储设备
3.2 文件系统及编码
3.2.1 文件系统
3.2.2 编码与解码
3.3 恶意代码分析基础
3.3.1 恶意代码简介
3.3.2 恶意代码的分类
3.3.3 恶意代码的分析原理
第4章 Windows操作系统取证技术
4.1 Windows日志取证技术
4.1.1 Windows事件日志
4.1.2 NTFS日志
4.1.3 IIS日志
4.1.4 其他日志
4.2 Windows注册表取证技术
4.2.1 Windows注册表简介
4.2.2 Windows注册表取证分析
4.3 Windows内存取证技术
4.3.1 Windows内存简介
4.3.2 Windows 内存取证方法和分析技术
4.4 Windows其他取证技术
4.4.1 浏览器取证分析
4.4.2 脱机打印信息分析
4.4.3 跳转列表分析
4.4.4 最近访问信息分析
4.4.5 可执行文件分析
第5章 UNIX/Linux操作系统取证技术
5.1 UNIX/Linux操作系统的特点与常见类型
5.1.1 UNIX操作系统的特点与常见类型
5.1.2 Linux操作系统的特点与常见类型
5.2 UNIX/Linux操作系统取证
5.2.1 Linux文件系统层次体系与常见目录结构
5.2.2 Linux文件系统的特点与取证
5.2.3 Linux日志文件的特点与取证
5.2.4 Linux网络信息分析
5.2.5 Linux内存信息分析
5.2.6 其他信息源分析
第6章 macOS操作系统取证技术
6.1 macOS操作系统
6.1.1 macOS操作系统的特点
6.1.2 不同版本macOS的差异
6.1.3 macOS取证主要信息源
6.2 macOS系统取证
6.2.1 macOS支持的文件系统及特点
6.2.2 macOS日志文件、配置文件分析
6.2.3 macOS网络信息分析
6.2.4 macOS浏览器信息分析
6.2.5 macOS邮件客户端信息分析
6.2.6 其他信息源分析
第7章 iOS操作系统取证技术
7.1 iOS操作系统取证概述
7.1.1 iPhone手机的发展
7.1.2 iOS操作系统简介
7.1.3 备份文件取证
7.1.4 逻辑取证
7.1.5 物理取证
7.2 iOS操作系统常见逻辑数据提取分析
7.2.1 短消息的提取和分析
7.2.2 通话记录的提取和分析
7.2.3 联系人信息的提取和分析
7.2.4 浏览器历史记录的提取和分析
7.2.5 邮件客户端信息的提取和分析
7.2.6 位置信息的提取和分析
7.2.7 其他信息源分析
7.3 iPhone备份文件的取证
7.3.1 备份文件的结构与分析
7.3.2 备份文件数据的破解和提取分析
第8章 Android操作系统取证技术
8.1 Android智能手机取证概述
8.1.1 Android概况及发展历程
8.1.2 常见Android手机厂商及系统特点
8.1.3 Android功能特点
8.1.4 Android取证准备工作
8.1.5 Android操作系统逻辑数据提取
8.2 Android操作系统常见逻辑数据提取分析
8.2.1 短信息/彩信的提取和分析
8.2.2 通话记录的提取和分析
8.2.3 联系人信息的提取和分析
8.2.4 浏览器历史记录的提取和分析
8.2.5 邮件客户端信息的提取和分析
8.2.6 微信数据的提取和分析
8.3 Android密码绕过与物理取证
8.3.1 获取root权限
8.3.2 绕过Android设备密码
8.3.3 Android物理镜像提取
8.3.4 获取Android外置存储设备镜像
8.3.5 Android物理镜像分析
8.3.6 Android数据恢复
第9章 网络取证技术
9.1 网络取证概述
9.1.1 网络取证的特殊性
9.1.2 常见网络协议介绍
9.1.3 网络取证的数据来源
9.2 网络实时取证与分析
9.2.1 数据包获取方法和途径
9.2.2