第一章  计算机鉴证与侦查专业介绍
了解计算机侦查
计算机鉴证与其他相关学科
计算机鉴证历史简介
开发计算机鉴证资源
为计算机侦查做准备
了解执法机构侦查
了解企业侦查
维护职业道德
本章小结
关键术语
复习题
练习题
案例题
第二章  理解计算机鉴证
为计算机侦查作准备
侦查一起计算机犯罪
侦查一起违反公司制度的案件
采取系统性方法
评估案件
制定侦查计划
确保证据的安全
了解数据恢复工作站与软件
建立计算机鉴证工作站
展开侦查
收集证据
创建一张鉴证引导软盘
准备好制作一张鉴证启动盘所需的工具
通过远程网络连接来恢复鉴证数据
拷贝证据磁盘
使用FTK Imager创建位流镜像文件
分析数字证据
本章小结
关键术语
复习题
练习题
案例题
第三章  侦查员的办公室和实验室
了解鉴证实验室的认证要求
明确实验室管理者和实验室工作人员的职责
实验室预算方案
获取认证与培训
确定计算机鉴证实验室的物理布局
确定出实验室安全需求
展开高风险侦查
考虑办公室的人体工程学
考虑环境因素
考虑结构设计因素
确定出实验室的电需求
制定通信计划
安装灭火系统
使用证据容器
监督实验室的维护
考虑物理安全需求
审查计算机鉴证实验室
确定计算机鉴证实验室的楼层计划
选择一个基本鉴证工作站
为警察实验室选择工作站
为私人实验室和企业实验室选择工作站
储备硬件外围设备
为操作系统和应用软件做好详细清单
运用灾难恢复计划
为设备升级制定计划
使用笔记本鉴证工作站
为鉴证实验室的发展确定业务状况
为计算机鉴证实验室准备一份业务状况
本章小结
关键术语
复习题
练习题
案例题
第四章  常用计算机鉴证工具
计算机鉴证软件需求
计算机鉴证工具的类型
计算机鉴证工具的执行任务
工具比较
针对工具的其它需要考虑的事项
计算机鉴证软件
命令行鉴证工具
UNIX/Linux命令行鉴证工具
GUI鉴证工具
计算机硬件工具
计算机侦查工作站
验证并测试鉴证软件
使用NIST (国家标准与技术研究院)工具
验证协议
本章小结
关键术语
复习题
练习题
案例题
第五章  处理犯罪和突发事件的过程
收集私营部门事故现场中的证据
处理执法犯罪现场
理解在搜查令中使用的概念和术语
为查找证据做准备
鉴定案件性质
鉴别计算机系统的类型
确定你是否可以查封一台电脑
获取一份详尽的犯罪地点的描述
确定谁是主管
使用辅助技术专家
确定你需要的工具
组建侦查小组
保护计算机事故或犯罪现场
在现场获取数字证据
处理一个主要的事故或犯罪现场
使用RAID陈列处理数据中心
在事故或犯罪现场采用技术顾问
民事侦查案例
刑事侦查案例
审阅一个案件
鉴别案件需求
规划你的侦查
本章小结
关键术语
复习题
练习题
案例题
第六章  数字证据保全
鉴别数字证据
理解证据法规
保护事故现场的数字证据
分类数字证据
实验室证据需要考虑的事项
处理和处置数字证据
存储数字证据
证据保留和介质存储需求
存档证据
获取数字散列
本章小结
关键术语
复习题
练习题
案例题
第七章  在Window和DOS系统中工作
了解文件系统
了解引导顺序
了解磁盘驱动器
探讨Microsoft 文件结构
磁盘分区
主引导记录
检测FAT磁盘
检测NTFS磁盘
NTFS系统文件
NTFS属性
NTFS数据流
NTFS压缩文件
NTFS加密文件系统
EFS恢复钥代理
删除NTFS文件
了解Windows注册表
Windows 9x注册表
Windows 2000和xp注册表
了解Microsoft引导任务
Windows XP，2000以及NT启动
Windows XP系统文件
Windows 9x和me启动
了解MS-DOS启动任务
其它磁盘操作系统
DOS命令和批处理文件
本章小结
关键术语
复习题
练习题
案例题
第八章  Mac和Linux启动过程及文件系统
了解Macintosh 文件结构
了解卷
探讨Macintosh引导任务
使用Macintosh鉴证软件
检测UNIX和Linux磁盘结构
UNIX和Linux概述
了解i节点
了解UNIX和Linux引导过程
了解Linux Loader和GRUB
UNIX和Linux驱动器和分区方案
检测CD数据结构
了解其它磁盘结构
检测SCSI磁盘
检测IDE/EIDE设备
本章小结
关键术语
复习题
练习题
案例题
第九章  数据提取
确定最好的数据获取方法
考虑数据恢复中的意外事故
使用MS-DOS数据获取工具
了解DriveSpy如何访问扇区范围
使用DriveSpy数据保存命令
使用DriveSpy数据处理命令
使用Windows数据获取工具
AccessDate FTK Imager
使用X－Ways Replica
使用Replica
PDA数据获取
PDA侦查中的综合考虑
使用其它证据获取工具
探讨SnapBack DatArrest
探讨SafeBack
探讨EnCase
本章小结
关键术语
复习题
练习题
案例题
第十章  计算机鉴证分析
了解计算机鉴证分析
优化侦查方案
使用DriveSpy分析计算机数据
DriveSpy命令开关
DriveSpy关键词搜索
DriveSpy脚本
DriveSpy数据完整化工具
DriveSpy残留数据收集工具
其他有用的DriveSpy命令工具
使用其他Digital Intelligence计算机鉴证工具
使用PDBlock和PDWipe
使用AccessData’s鉴证工具包
使用Guidance Software的EnCase
计算机鉴证案件的处理方法
执行一个计算机鉴证分析
组建你的鉴证工作站
在Microsoft的文件系统上完成鉴证分析
UNIX和Linux鉴证分析
Macintosh侦查
地址数据隐藏技术
隐藏分区
标记坏簇
位移
使用隐藏技术
检查加密文件
修复密码
本章小结
关键术语
复习题
练习题
案例题
第十一章  恢复图像文件
恢复图像文件
了解位图和光栅图像
了解向量图
了解图元文件图形
了解图形文件格式
了解数据压缩
回顾有损和无损压缩
定位并恢复图像文件
鉴别图像文件片段
恢复已损的头
从未分配空间中剪切数据
重建文件头
重建文件片段
鉴别未知文件格式
分析图像文件的头
图像浏览工具
了解图像文件中的掩密技术
使用掩密分析工具
鉴定图形的版权问题
本章小结
关键术语
复习题
练习题
案例题
第十二章  网络鉴证
了解因特网的基本原理
因特网协议
了解网络基础
在Linux计算机上获取数据
了解网络鉴证
网络鉴证的方法
网络日志
使用网络工具
UNIX/Linux工具
网络嗅探器
蜜罐网络项目
本章小结
关键术语
复习题
练习题
案例题
第十三章  电子邮件侦查
在电子邮件里探究客户端和服务器的作用
侦查电子邮件犯罪和违规行为
识别电子邮件犯罪和违规行为
审查电子邮件消息
检查电子邮件头部
审核附加的电子邮件文件
追踪电子邮件消息
利用与电子邮件相关的网络日志
了解电子邮件服务器
审查UNIX电子邮件服务器日志
审查微软电子邮件服务器日志
审查Novell GroupWise 电子邮件日志
运用专业的电子邮件鉴证工具
本章小结
关键术语
复习题
练习题
案例题
第十四章  成为一个专家