电子数据现场勘查指南.docx

PAGE PAGE # PAGE PAGE # 目录 TOC \o 1-5 \h \z 缨 5 \o Current Document 现场勘查基本原则 5 \o Current Document 不损害原则 5 \o Current Document 避免使用原始证据原则 5 \o Current Document 23 记录所做操作 5 \o Current Document 遵循本地法律法规 6 \o Current Document 现场勘查指南 6 前期准备 6 进入现场预案 6 \o Current Document 322 人员分配预案 10 \o Current Document 现场搜查预案 10 现场保护 13 现场安保 13 \o Current Document 现场拍照（录像） 13 \o Current Document 确定重点搜索区域 14 扌豐查相关证物 14 处理计算机原则 15 如果计算机处于开机状态，别立即关机 19 \o Current Document 如果计算机处于关机状态，别去开启它的系统 21 3J 介质复制 21 \o Current Document 现场特殊情况处理 21 填与清单 22 \o Current Document 证物封存 25 \o Current Document 证物运输 26 现场勘査要点 27 证据预览 27 \o Current Document 拆卸硬盘后，连接只读锁进行快速分析 27 服务器（磁盘冗余阵列.海量存储），F-Response 28 \o Current Document 开机取证（大批量计算机快速定位）-取证魔方/取i正精灵 28 4.2 证据固定及获取（定盘复制机/光盘复制机等设备应用） 29 \o Current Document 硬盘复制（可拆卸硬盘）-硬盘复制机 29 \o Current Document 在线硬盘复制（无法拆卸，服务器或不易拆卸硬盘的笔记本） 32 磁盘制作为镜像文件（E01, DD等） 37 4.2.4易丢失数据获取41 4.2.4 易丢失数据获取 41 414.2.5 手机数据获取 41 TOC \o 1-5 \h \z 现场介质快速分析-取证大师 42 組 快速预览 42 \o Current Document 文件快速分类及査看 44 \o Current Document 加密文件检测及提取 44 \o Current Document 上网记录分析 46 \o Current Document 执行上网记录解?析 47 \o Current Document 结果捜索 49 \o Current Document 即时通讯信息 50 \o Current Document 正常聊天记录解析 51 \o Current Document 删除聊天记录解析 53 未分配空间聊天记录解析 53 电子邮件 57 5^1 客户端邮件解析 57 Web邮件解析 59 5J 数据恢复 60 删除文件恢复（取证大师、EnCase、Final Data等） 60 格式化分区恢复 60 文件碎片恢复 60 5.8 动态仿真取证 60 产品概述 60 产品主要功能 61 连接或更換仿真硬盘 62 Windows 密码恢复 63 \o Current Document 系统仿真 66 关键数据获取 72 EFS加密文件获取 74 \o Current Document 现场取证参考资源及技巧 75 \o Current Document 常见硬件操作及使用速査 75 BIOS进入快捷键 75 磁盘接门简介 76 硬盘接口类型 76 硬盘跳线设置 83 \o Current Document 转换卡使用方法 84 \o Current Document 62. 操作系统常见操作速査 85 操作系统密码绕过方法(Windows/Linux) 85 Vista/Win7系统日录结构对照表 85 Windows操作系统残留痕迹常见位置 86 Linux常用命令 86 \o Current Document 常见系统进程名列表 94 \o Current Document 加密软件及虚拟容器软件系统进程列表 96 \o Current Document 63 网络应用及常见操作速査 97 常用网络命令 97 \o Current Document 常见网络端口列表 100 \o Current Document 633 公网IP区域查询 107 \o