基本信息
- 作者: [加] 林晓东(Xiaodong Lin)
- 丛书名: 网络空间安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111694557
- 上架时间:2021-11-25
- 出版日期:2021 年11月
- 开本:16开
- 页码:480
- 版次:1-1
- 所属分类:计算机 > 安全 > 数据安全
编辑推荐
知识新颖、体系完整、技术理论与实操良好结合的电子数据取证全新重磅教材。
国际电子数据取证专家撰写,译者团队亦均为国内电子数据取证领域极富经验的专家。
内容简介
作译者
[加] 林晓东(Xiaodong Lin) 著:林晓东(Xiaodong Lin),北京邮电大学信息工程专业博士,滑铁卢大学电子与计算机工程专业博士。他目前是加拿大圭尔夫大学计算机科学学院副教授,主要研究方向为无线通信与网络安全、计算机取证、软件安全、应用密码学。在过去的几年里,他的研究重点是保护车载自组网(VANET)。他因在车辆通信安全和隐私保护方面的贡献而被提升为IEEE会士。此外,他一直在研究数字取证,并在数字取证领域的研究会议DFRWS USA 2018上介绍了Android应用程序自动取证分析方面的工作。
他是多个国际期刊的副主编,曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑,还担任IEEE/ACM会议的研讨会主席或分会主席。他曾任IEEE通信协会(ComSoc)通信与信息安全技术委员会(CISTC)主席。他也是一名认证信息系统安全专家(CISSP)。
他是多个国际期刊的副主编,曾担任IEEE、爱思唯尔和施普林格期刊的许多特刊的客座编辑,还担任IEEE/ACM会议的研讨会主席或分会主席。他曾任IEEE通信协会(ComSoc)通信与信息安全技术委员会(CISTC)主席。他也是一名认证信息系统安全专家(CISSP)。
目录
推荐序
译者序
前言
致谢
译者简介
第一部分 计算机系统和计算机取证基础
第1章 电子数据取证概述 2
1.1 概述 2
1.1.1 成长期 2
1.1.2 快速发展 3
1.1.3 挑战 4
1.1.4 数字取证的隐私风险 7
1.1.5 展望未来 7
1.2 电子数据取证的范畴及其重要性 8
1.3 电子证据 10
1.4 电子数据取证流程与技术 14
1.4.1 准备阶段 16
1.4.2 犯罪现场阶段 16
1.4.3 电子证据实验室阶段 18
1.5 电子数据取证的类型 20
译者序
前言
致谢
译者简介
第一部分 计算机系统和计算机取证基础
第1章 电子数据取证概述 2
1.1 概述 2
1.1.1 成长期 2
1.1.2 快速发展 3
1.1.3 挑战 4
1.1.4 数字取证的隐私风险 7
1.1.5 展望未来 7
1.2 电子数据取证的范畴及其重要性 8
1.3 电子证据 10
1.4 电子数据取证流程与技术 14
1.4.1 准备阶段 16
1.4.2 犯罪现场阶段 16
1.4.3 电子证据实验室阶段 18
1.5 电子数据取证的类型 20
前言
互联网技术正以难以想象的速度发展。借助不断发展的互联网技术,我们跨入了全新的数字时代。数字技术不断改变着我们的生活状态并提高了我们的生活质量,因为它兼备速度和性能,使我们可以用相对较低的成本处理各种不同类型的事务。无论你是否意识到,实际上现在几乎所有人都在依赖互联网更有效地完成各自的日常事务:转账汇款、网上冲浪、即时通信、收发邮件、分享信息等。
但不幸的是,墨菲定律也随着互联网技术的发展变得更明显:“每一个解决方案都会带来一系列新的问题。”有组织的犯罪集团以及其他利用互联网技术非法获利的个人也发现了互联网技术中存在的机会。拒绝服务攻击、网站破坏、电信诈骗、洗钱、勒索等网络犯罪活动已经逐步浮出水面。我们不断地听到全球诸多金融、政府机构被黑客入侵以及个人信息泄露并被滥用的新闻。网络犯罪已成为我们所有人都必须面对的现实问题。据预测,网络犯罪将呈全球化蔓延的趋势,全球每年在对抗网络犯罪中的损失达数十亿美元。
为了有效地打击网络犯罪,执法人员不仅要根据犯罪行为找到嫌疑人,还必须能够向法庭提供令人信服的电子数据证据,以便将罪犯绳之以法。这些电子证据包括计算机日志文件、电子邮件、电子化的财务数据、电子表格等资料。如果这些电子证据已经被删除,则要尽可能采用技术手段恢复。研究表明,大多数电子证据都可以从各种常用电子设备中获得,例如,计算机、数码相机、行车记录仪,以及3G/4G/5G手机等。
在一个案件中,阿拉斯加前州长Sarah Palin的电子邮件账户被田纳西州的一名学生入侵。嫌疑人重置了Palin的电子邮件账户密码,并将修改后的密码发布在论坛上。FBI通过追踪犯罪嫌疑人的数字足迹,最终找到了他的居住地点。这些证据对于帮助联邦检察官进一步获得必要的数字证据并逮捕嫌疑人至关重要,即使嫌疑人曾经在其笔记本电脑上删除、修改、隐藏和覆盖了文件,也依然会遗留部分痕迹。
没有人可以单独和网络犯罪进行战斗,技术的发展速度也远远超过法律所能适应的范围。传统的法庭科学虽然具有不可估量的价值,但却无法应对新出现的网络犯罪浪潮。最终,一个令人激动的法庭科学新分支—电子数据取证技术出现了。
电子数据取证调查是一系列相互依赖和关联的过程,是采用技术来研究和重建导致电子数据处于当前状态的事件过程。电子数据包括(但不限于)计算机系统数据(例如,软件应用程序和数据库)、数据存储设备(例如,硬盘、CD、DVD和USB存储设备)中的数据、电子文档(例如,电子表格、文档、电子邮件和图像)。电子数据的容量可以与整个互联网一样大,也可以只有一个字节那样小。通过技术方法检验电子数据,调查人员可以向法院提供值得信赖、令人满意且受法律认可的证据,并提供与犯罪事件相关问题的答案。
与已存在多年的传统物证鉴定分析不同,电子数据取证作为一门新的学科,必须克服许多挑战才能在国际上被广泛接受。这些挑战包括:
(a) 因为电子数据很容易被删除或更改,因此收集电子证据的过程可能会改变证据本身,使其成为法院所不接受的非法证据。因此,办案人员必须保持证据的原始状态,并证明电子证据在采集前后没有发生任何更改。
(b) 取证目标的容量不断增长,电子数据取证技术的复杂性不断提高,实际案件中可能需要数百GB甚至TB级的容量来存储必要的证据。
(c) 技术的发展速度总是快过法律的完善速度,因此网络犯罪分子可以充分利用“法律体系的漏洞”,并利用新技术开展不道德活动。但是,从技术上讲,这些活动可能还是“合法的”,因为此时的法律还不够完善,尚没有对应的法条来应对新技术所带来的新问题。这可能成为公诉人和律师的绊脚石。
作为一门新兴学科,电子数据取证技术并不为人所熟知。但随着越来越多的企业和个人需要寻求有关网络犯罪事件的真相,人们对电子数据取证的兴趣也在不断提高。网络犯罪可以在世界的任何地方实施。越来越多的民事或刑事案件涉及电子数据,而训练有素的专业取证调查人员却远远不够。对于高校来说,为了让学生做好充分的准备并能够以适用的工具来打击网络犯罪,开设电子数据取证课程已经迫在眉睫。
《荀子·儒效篇》中说:“不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之。学至于行之而止矣。”我坚信,在网络安全教育中,要培养出优秀的学生,理论知识和动手实践都是必不可少的。在电子数据取证课程中,我的这种教学方法吸引了很多学生,也为他们提供了很多帮助。学生们知道了为什么需要学习这门学科,也了解了涉及这门学科的各方面知识。最重要的是,老师要教学生如何将课堂上学到的知识和技能运用到现实生活中去。我尝试通过案例分析和实验练习将理论与实际联系起来,以帮助学生更好地学习取证知识。这样一来,他们得到的是实践经验和理论结合的全方位学习体验,而不仅仅是如何应用公式得到结果。例如,在网络环境中使用地址解析协议(ARP)欺骗的中间人(Man-In-The-Middle, MITM)攻击是一种经典但复杂的网络攻击。精美的课件可能会对学生的学习有所帮助,但不一定能够在课堂上获得学生的关注和互动。为了提高课堂效果并鼓励同学之间进行合作,在对ARP欺骗和中间人攻击进行理论解释之后,可以在课堂上现场演示ARP欺骗和中间人攻击。通过显示攻击的不同阶段的ARP表,向学生展示ARP通过捕获的网络流量在攻击前后的工作原理,以及参与的计算机在攻击过程中的各种行为。这样,学生可以自己实践在课堂上刚刚学到的知识。在过去的十年中,我曾在加拿大的几所大学中教授过电子数据取证、网络攻防技术、软件安全等方面的课程。我在教学过程中开发了许多动手实践练习,以加深学生对课堂上引入的信息安全和电子数据取证的概念的理解,提高学生对网络安全和取证技术的兴趣。本书源于我在加拿大安大略理工大学(UOIT)开设的电子数据取证课程,目的是帮助学生更好地理解电子数据取证,并通过完成各种实验练习来获得采集、固定和分析电子证据方面的实操能力。本书中涉及一些实验练习,可以帮助学生更好地理解电子数据取证的概念和取证调查技术,理解这个解决网络犯罪问题的快速发展的新学科。
实验环境
尽管本书中的所有实验练习都可以在物理计算机上进行,但我们采用了虚拟化教学,并使用可以公开下载的免费的Kali Linux虚拟机构建取证工作站,供学生实验本书中的所有练习。虚拟化是使用一台计算机硬件,在一个操作系统中运行其他操作系统的技术。这是一种可以在一台计算机上同时运行多个操作系统的方法,它使得每个操作系统都能够独立运行并进行完全不同的工作。
在虚拟化中有两个主要组件:第一个是主机,即运行虚拟化程序的物理机;第二个是客户机,即虚拟机。
使用虚拟化或预配置的Kali Linux虚拟机有两个优点:
第一,我们可以节省反复配置设备和软件的时间。如果一个问题无法解决,我们总是可以回滚到某一次快照并重新开始,直到问题解决为止。换句话说,我们可以拥有一个根据特定需求而保存、删除、备份的系统环境。通过使用虚拟化,我们可以始终拥有一个干净、可运行的虚拟机镜像的副本,这对于取证教学非常有用。
第二,所有学生都有相同的练习环境,可以很好地进行控制。我们可以很容易地对学生的练习环境进行故障排除和诊断。
本书章节组织
本书分为六部分,共21章。第1章讨论电子数据取证的基本概念。其余章都由两部分组成,即背景知识和实验练习。每个理论或背景知识部分均包含一些习题,旨在测试学生对学习内容的理解。这些练习主要用来帮助学生掌握如何应用背景知识中介绍的基本概念。
但不幸的是,墨菲定律也随着互联网技术的发展变得更明显:“每一个解决方案都会带来一系列新的问题。”有组织的犯罪集团以及其他利用互联网技术非法获利的个人也发现了互联网技术中存在的机会。拒绝服务攻击、网站破坏、电信诈骗、洗钱、勒索等网络犯罪活动已经逐步浮出水面。我们不断地听到全球诸多金融、政府机构被黑客入侵以及个人信息泄露并被滥用的新闻。网络犯罪已成为我们所有人都必须面对的现实问题。据预测,网络犯罪将呈全球化蔓延的趋势,全球每年在对抗网络犯罪中的损失达数十亿美元。
为了有效地打击网络犯罪,执法人员不仅要根据犯罪行为找到嫌疑人,还必须能够向法庭提供令人信服的电子数据证据,以便将罪犯绳之以法。这些电子证据包括计算机日志文件、电子邮件、电子化的财务数据、电子表格等资料。如果这些电子证据已经被删除,则要尽可能采用技术手段恢复。研究表明,大多数电子证据都可以从各种常用电子设备中获得,例如,计算机、数码相机、行车记录仪,以及3G/4G/5G手机等。
在一个案件中,阿拉斯加前州长Sarah Palin的电子邮件账户被田纳西州的一名学生入侵。嫌疑人重置了Palin的电子邮件账户密码,并将修改后的密码发布在论坛上。FBI通过追踪犯罪嫌疑人的数字足迹,最终找到了他的居住地点。这些证据对于帮助联邦检察官进一步获得必要的数字证据并逮捕嫌疑人至关重要,即使嫌疑人曾经在其笔记本电脑上删除、修改、隐藏和覆盖了文件,也依然会遗留部分痕迹。
没有人可以单独和网络犯罪进行战斗,技术的发展速度也远远超过法律所能适应的范围。传统的法庭科学虽然具有不可估量的价值,但却无法应对新出现的网络犯罪浪潮。最终,一个令人激动的法庭科学新分支—电子数据取证技术出现了。
电子数据取证调查是一系列相互依赖和关联的过程,是采用技术来研究和重建导致电子数据处于当前状态的事件过程。电子数据包括(但不限于)计算机系统数据(例如,软件应用程序和数据库)、数据存储设备(例如,硬盘、CD、DVD和USB存储设备)中的数据、电子文档(例如,电子表格、文档、电子邮件和图像)。电子数据的容量可以与整个互联网一样大,也可以只有一个字节那样小。通过技术方法检验电子数据,调查人员可以向法院提供值得信赖、令人满意且受法律认可的证据,并提供与犯罪事件相关问题的答案。
与已存在多年的传统物证鉴定分析不同,电子数据取证作为一门新的学科,必须克服许多挑战才能在国际上被广泛接受。这些挑战包括:
(a) 因为电子数据很容易被删除或更改,因此收集电子证据的过程可能会改变证据本身,使其成为法院所不接受的非法证据。因此,办案人员必须保持证据的原始状态,并证明电子证据在采集前后没有发生任何更改。
(b) 取证目标的容量不断增长,电子数据取证技术的复杂性不断提高,实际案件中可能需要数百GB甚至TB级的容量来存储必要的证据。
(c) 技术的发展速度总是快过法律的完善速度,因此网络犯罪分子可以充分利用“法律体系的漏洞”,并利用新技术开展不道德活动。但是,从技术上讲,这些活动可能还是“合法的”,因为此时的法律还不够完善,尚没有对应的法条来应对新技术所带来的新问题。这可能成为公诉人和律师的绊脚石。
作为一门新兴学科,电子数据取证技术并不为人所熟知。但随着越来越多的企业和个人需要寻求有关网络犯罪事件的真相,人们对电子数据取证的兴趣也在不断提高。网络犯罪可以在世界的任何地方实施。越来越多的民事或刑事案件涉及电子数据,而训练有素的专业取证调查人员却远远不够。对于高校来说,为了让学生做好充分的准备并能够以适用的工具来打击网络犯罪,开设电子数据取证课程已经迫在眉睫。
《荀子·儒效篇》中说:“不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之。学至于行之而止矣。”我坚信,在网络安全教育中,要培养出优秀的学生,理论知识和动手实践都是必不可少的。在电子数据取证课程中,我的这种教学方法吸引了很多学生,也为他们提供了很多帮助。学生们知道了为什么需要学习这门学科,也了解了涉及这门学科的各方面知识。最重要的是,老师要教学生如何将课堂上学到的知识和技能运用到现实生活中去。我尝试通过案例分析和实验练习将理论与实际联系起来,以帮助学生更好地学习取证知识。这样一来,他们得到的是实践经验和理论结合的全方位学习体验,而不仅仅是如何应用公式得到结果。例如,在网络环境中使用地址解析协议(ARP)欺骗的中间人(Man-In-The-Middle, MITM)攻击是一种经典但复杂的网络攻击。精美的课件可能会对学生的学习有所帮助,但不一定能够在课堂上获得学生的关注和互动。为了提高课堂效果并鼓励同学之间进行合作,在对ARP欺骗和中间人攻击进行理论解释之后,可以在课堂上现场演示ARP欺骗和中间人攻击。通过显示攻击的不同阶段的ARP表,向学生展示ARP通过捕获的网络流量在攻击前后的工作原理,以及参与的计算机在攻击过程中的各种行为。这样,学生可以自己实践在课堂上刚刚学到的知识。在过去的十年中,我曾在加拿大的几所大学中教授过电子数据取证、网络攻防技术、软件安全等方面的课程。我在教学过程中开发了许多动手实践练习,以加深学生对课堂上引入的信息安全和电子数据取证的概念的理解,提高学生对网络安全和取证技术的兴趣。本书源于我在加拿大安大略理工大学(UOIT)开设的电子数据取证课程,目的是帮助学生更好地理解电子数据取证,并通过完成各种实验练习来获得采集、固定和分析电子证据方面的实操能力。本书中涉及一些实验练习,可以帮助学生更好地理解电子数据取证的概念和取证调查技术,理解这个解决网络犯罪问题的快速发展的新学科。
实验环境
尽管本书中的所有实验练习都可以在物理计算机上进行,但我们采用了虚拟化教学,并使用可以公开下载的免费的Kali Linux虚拟机构建取证工作站,供学生实验本书中的所有练习。虚拟化是使用一台计算机硬件,在一个操作系统中运行其他操作系统的技术。这是一种可以在一台计算机上同时运行多个操作系统的方法,它使得每个操作系统都能够独立运行并进行完全不同的工作。
在虚拟化中有两个主要组件:第一个是主机,即运行虚拟化程序的物理机;第二个是客户机,即虚拟机。
使用虚拟化或预配置的Kali Linux虚拟机有两个优点:
第一,我们可以节省反复配置设备和软件的时间。如果一个问题无法解决,我们总是可以回滚到某一次快照并重新开始,直到问题解决为止。换句话说,我们可以拥有一个根据特定需求而保存、删除、备份的系统环境。通过使用虚拟化,我们可以始终拥有一个干净、可运行的虚拟机镜像的副本,这对于取证教学非常有用。
第二,所有学生都有相同的练习环境,可以很好地进行控制。我们可以很容易地对学生的练习环境进行故障排除和诊断。
本书章节组织
本书分为六部分,共21章。第1章讨论电子数据取证的基本概念。其余章都由两部分组成,即背景知识和实验练习。每个理论或背景知识部分均包含一些习题,旨在测试学生对学习内容的理解。这些练习主要用来帮助学生掌握如何应用背景知识中介绍的基本概念。
媒体评论
受高科技的冲击,利用信息技术进行的犯罪数量急剧增长,为了适应打击新型犯罪的需要,提升司法人员的电子数据取证能力势在必行。“板凳要坐十年冷,文章不写一句空”。本书紧密结合电子数据取证工作实际,既考虑了电子数据取证的知识体系,又尊重了学习和取证实践的规律,按照理论和技术并重的编写思路,将理论与实践完美结合,带给读者全面的电子数据取证理论和实用的技术方法。相信本书一定能够成为广大司法工作人员电子数据取证的工作指南,以及公安、政法院校电子数据取证教学最适用的教材或学习用书。
—— 胡向阳 中南财经政法大学
互联网发展至今,人们不断认识到电子数据取证技术对于打击网络犯罪的重要性。本书的作者高度概括了这门课程的精髓和教学技巧,各位译者又及时、准确地将译本呈献给了广大读者,他们本身都是在电子数据取证领域摸爬滚打多年、富有实战经验的专家,我相信读者将从本书中获益良多!
—— 许榕生 原中科院高能所网络安全实验室研究员
近几年来,我们把目光和精力更多地放在司法实践中,并因此而疲于奔命,郭永健老师及其团队再一次用实际行动提醒我们:抬头看路,依然很重要。
—— 赵宪伟 最高人民检察院检察技术信息研究中心
电子证据是解码数字时代犯罪的钥匙。打开本书,可以掌握实战型取证精髓,提升信息化办案技能。
—— 刘品新 中国人民大学法学院教授、博士生导师
本书是近年来知识新颖、体系完整、技术理论与实操结合较好的电子数据取证专著,语言通俗易懂,五星推荐。
—— 田庆宜 重庆市公安局电子物证司法鉴定中心主任
—— 胡向阳 中南财经政法大学
互联网发展至今,人们不断认识到电子数据取证技术对于打击网络犯罪的重要性。本书的作者高度概括了这门课程的精髓和教学技巧,各位译者又及时、准确地将译本呈献给了广大读者,他们本身都是在电子数据取证领域摸爬滚打多年、富有实战经验的专家,我相信读者将从本书中获益良多!
—— 许榕生 原中科院高能所网络安全实验室研究员
近几年来,我们把目光和精力更多地放在司法实践中,并因此而疲于奔命,郭永健老师及其团队再一次用实际行动提醒我们:抬头看路,依然很重要。
—— 赵宪伟 最高人民检察院检察技术信息研究中心
电子证据是解码数字时代犯罪的钥匙。打开本书,可以掌握实战型取证精髓,提升信息化办案技能。
—— 刘品新 中国人民大学法学院教授、博士生导师
本书是近年来知识新颖、体系完整、技术理论与实操结合较好的电子数据取证专著,语言通俗易懂,五星推荐。
—— 田庆宜 重庆市公安局电子物证司法鉴定中心主任
