《电子数据取证》读书笔记
第一章 电子数据取证概述
1.1网络犯罪与网络安全
纵观国内外网络犯罪现状,网络犯罪活动的突出表现为:
利用网络编造、传播虚假信息、造谣、诽谤或者传播有害信息、煽动颠覆国家政权、破
坏国家主权、利用网络窃取、泄露国家秘密、情报;
非法侵人信息系统,采取获取、修改或破坏系统功能或窃取数据信息等手段,实施非法控制,造成数据丢失或网络瘫痪;
提供专门用于人侵、非法控制信息系统的程序、工具,利用漏洞攻击信息系统及通信网络,致使信息系统及通信网络停止服务等,危害信息系统安全;
利用网络侵犯知识产权,传播盗版;
在网络上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽信息;
利用网络进行诈骗、盗窃、侵占、挪用、贪污等犯罪,给国民经济造成损失。
尤为严重的是,网络犯罪已经从最初的仅是针对普通人群的犯罪,发展为针对社会经济,政治稳定、国家安全等多个领域的犯罪。从单机单人犯罪,发展到现在的网络有组织、有针对性犯罪,其犯罪手段和危害后果远超传统犯罪。木马僵尺网络、钓鱼网站等传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈,智能家居、工业控制系统、车联网等新兴技术产业面临严峻网络安全威胁。
1.2电子数据的概述
1.电子数据的定义
电子信息技术应用而出现的各种能证明案件真实情况的材料及其派生物。
2013年1月1日施行的《中华人民共和国刑事诉讼法》第四十八条首次将"电子数据"列为证据类型。2.电子数据的理论基础
埃德蒙·洛卡德提出的物质交换原理认为"两个对象接触时,物质会在这两个对象之间产生交换或者转移。"
3.电子数据的来源
电子数据的来源众多,包括电子文档,即时聊天记录,网络浏览记录,电子邮件,数字图像,数字图像,数字音视频,数据库,内存信息,系统日志等,其种类与网络技术和电子设备的发展同步增加中。
4.电子数据的特点
记录方式的虚拟性,电子数据的易破坏性,电子数据的客观性
1.3电子数据取证概述
1.电子数据取证的概念
“采用技术手段,获取,分析,固定电子数据作为认定事实的科学”。
2.电子数据取证的应用领域
刑事案件的侦查取证和诉讼,民事案件的举证和诉讼,行政诉讼案件的举证和处理,企业内部调查。
3.电子数据取证框架
4.电子数据与应急响应的区别
实施主体不同,过程不同,目标不同
5.电子数据取证与数据恢复的区别
数据恢复是“通过技术手段,将保存在存储介质上丢失的电子数据进行复原技术”。
数据恢复的目标是数据,而电子数据取证的目标是证据。
1.4电子数据取证面临的困难
1.信息安全观念落后
2.法律法规的滞后
3.取证机构和人才的匮乏
4.产业发展不均衡
1.5电子数据取证人员的职业素质要求
1.取证技术与意识
2.法律素养
3.职业道德
1.6电子数据取证的发展趋势
1.新型介质的取证分析
2.执业主体的延伸
3.系统化的取证方向
第二章 电子数据取证基础知识
2.1计算机基础知识
现代计算机普遍采用冯·诺依曼计算机理论,即采用二进制形式表示数据和指令。计算机系统由运算器,存储器,控制器,输入设备,和输出设备五大部分组成。
电子数据取证中,可能会遇到以下几种计算机设备:
1.个人计算机
(1)台式机
(2)一体机
(3)笔记本电脑
2.服务器
3.移动终端
2.2计算机硬件知识
1.内存
内存(内部储存器),是CPU,显卡或者其他内置板卡可以直接寻址的存储空间,存储速率快是它最大的特点。
2.外存
外部存储设备即外存,主要包括磁存储器(机械硬盘),电存储器(固态硬盘,U盘,存储卡)和光存储器(光盘)。
2.3存储介质基础知识
1.机械硬盘
(1)机械硬盘的物理结构
(2)机械硬盘的逻辑结构
2.闪存
U盘和固态硬盘
3.存储器指标
(1)存储器容量
(2)数据传输率
(3)数据接口
2.4网络基础知识
1.网络分类
广域网,城域网,局域网
2.网络体系结构
osi参考模型,tcp/ip协议族
3.网络协议
tcp协议 uop协议 ip协议 http协议
2.5操作系统
Windows MacOS Unix/linux Android iOS Windows Phone
2.6数据组织
1.数据组织的常识
硬盘在存储数据之前,一般需经过低级格式化,分区,高级格式化三个步骤之后才能使用。硬盘经过三个步骤的处理,将建立一定的逻辑数据结构。高级格式化后,我分配由于数据不可能全部占满空间,因此产生了松弛区和未分配空间。
2.MBR分区结构
分区形式一般有3种即主分区,扩展分区和非DOS分区。
3.文件系统
(1)FAT文件系统
(2)NTFS文件系统
2.7数制
1.数制
数制也称计数制,是用一组固定的符号和统一的规则来表示数值的方法。人们通常采用的有十进制,二进制,八进制和十六进制等
2.数制间的转换
由于大多数取证工具都是以十六进制来表示二进制的,二进制和十六进制的相互转换比较重要。
二进制转十六进制的权值,并且是从高位往低位记:8,4,2,1。二进制数要转换为十六进制,可以以4位为一段,分别利用8421算法转换为十六进制。
2.8数据的储存单元
二进制位 字节 字 字长 存储单元 地址
2.9数据获取
1.数据获取
相对于普通的拷贝,数据获取有更为严格的要求,一般可分为镜像数据获取,逻辑数据获取,易失性数据获取等。
镜像,又叫克隆,指逐比特位进行复制,以产生的镜像数据与原始数据完全一致。
EnCase证据文件
2.数字校验
(1)数据的固定
(2)哈希对比
2.10文件过滤
1.基于文件扩展名的过滤
2.基于关键词和通配符的文件过滤
3.基于哈希的文件过滤
《电子数据取证》读书笔记相关推荐
- 读书笔记 | 墨菲定律
1. 有些事,你现在不做,永远也不会去做. 2. 能轻易实现的梦想都不叫梦想. 3.所有的事都会比你预计的时间长.(做事要有耐心,要经得起前期的枯燥.) 4. 当我们的才华还撑不起梦想时,更要耐下心来 ...
- 读书笔记 | 墨菲定律(一)
1. 有些事,你现在不做,永远也不会去做. 2. 能轻易实现的梦想都不叫梦想. 3.所有的事都会比你预计的时间长.(做事要有耐心,要经得起前期的枯燥.) 4. 当我们的才华还撑不起梦想时,更要耐下心来 ...
- 洛克菲勒的38封信pdf下载_《洛克菲勒写给孩子的38封信》读书笔记
<洛克菲勒写给孩子的38封信>读书笔记 洛克菲勒写给孩子的38封信 第1封信:起点不决定终点 人人生而平等,但这种平等是权利与法律意义上的平等,与经济和文化优势无关 第2封信:运气靠策划 ...
- 股神大家了解多少?深度剖析股神巴菲特
股神巴菲特是金融界里的传奇,大家是否都对股神巴菲特感兴趣呢?大家对股神了解多少?小编最近在QR社区发现了<阿尔法狗与巴菲特>,里面记载了许多股神巴菲特的人生经历,今天小编简单说一说关于股神 ...
- 2014巴菲特股东大会及巴菲特创业分享
沃伦·巴菲特,这位传奇人物.在美国,巴菲特被称为"先知".在中国,他更多的被喻为"股神",巴菲特在11岁时第一次购买股票以来,白手起家缔造了一个千亿规模的 ...
- 《成为沃伦·巴菲特》笔记与感想
本文首发于微信公众帐号: 一界码农(The_hard_the_luckier) 无需授权即可转载: 甚至无需保留以上版权声明-- 沃伦·巴菲特传记的纪录片 http://www.bilibili.co ...
- 读书笔记002:托尼.巴赞之快速阅读
读书笔记002:托尼.巴赞之快速阅读 托尼.巴赞是放射性思维与思维导图的提倡者.读完他的<快速阅读>之后,我们就可以可以快速提高阅读速度,保持并改善理解嗯嗯管理,通过增进了解眼睛和大脑功能 ...
- 读书笔记001:托尼.巴赞之开动大脑
读书笔记001:托尼.巴赞之开动大脑 托尼.巴赞是放射性思维与思维导图的提倡者.读完他的<开动大脑>之后,我们就可以对我们的大脑有更多的了解:大脑可以进行比我们预期多得多的工作:我们可以最 ...
- 读书笔记003:托尼.巴赞之思维导图
读书笔记003:托尼.巴赞之思维导图 托尼.巴赞的<思维导图>一书,详细的介绍了思维发展的新概念--放射性思维:如何利用思维导图实施你的放射性思维,实现你的创造性思维,从而给出一种深刻的智 ...
- 产品读书《滚雪球:巴菲特和他的财富人生》
作者简介 艾丽斯.施罗德,曾经担任世界知名投行摩根士丹利的董事总经理,因为撰写研究报告与巴菲特相识.业务上的往来使得施罗德有更多的机会与巴菲特亲密接触,她不仅是巴菲特别的忘年交,她也是第一个向巴菲特建 ...
最新文章
- mkfs.ext4 /dev/sdb 与 mkfs.ext4 /dev/sdb1
- java集合的加减_在JAVA中,对List集合的加减操作
- (转)php-cli模式学习(PHP命令行模式)
- ITK:并排平铺图像
- MySQL初始化zabbix_【Zabbix】CentOS6.9系统下部署Zabbix-server 3.0
- 【转】xPath语法介绍
- 京东:截至11月11日00:09 累计下单金额超2000亿元
- CentOS 安装Docker 并部署配置MySql
- Win 10 环境下Miscrosoft Visual Studio 2005安装教程
- 自己封装的一个checkbook工具
- 十大算法之迪杰斯特拉算法
- 【懒懒的Python学习笔记七】
- Windows10修改本地用户账户名(彻底修改)
- Sharpdevelop开发工具
- TC275旋变软解码仿真
- Redis常用命令速查
- thymeleaf模板引擎的优势何在?
- 涂鸦模组开发光照传感器
- 联发科6758_联发科p30安兔兔跑分_p30处理器游戏性能评测
- 虚拟机——windows安装VMware虚拟机