计算机取证与司法鉴定教学课件完整版电子教案.pptx

;;《计算机取证与司法鉴定》;项目二Windows 环境单机取证;理解电子证概掌握Windows 环境下易失性证据的固定方法和磁盘取证镜像的制作方法 掌握Windows 环境注册表取证调查方法 掌握Windows 环境重要文件目录和日志调查方法 掌握Windows 环境常用进程和网络痕迹调查方法;在项目一的案例中，某公司主管Alice 怀疑部门经理Adam 对公司有侵权行为，因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察，了解到被调查者Adam 使用的办公计算机采用Windows XP 的操作系统，且其USB 盘和存储卡等也采用Microsoft 的文件结构。那么Tom如何针对Adam的计算机进行计算机取证调查呢？;项目任务;电子证据;电子证据的特点;电子证据的可采性问题;Windows/DOS 取证基础;Tom 明确针对Adam 的办公计算机进行调查时需获取和固定原始证据，即对Adam 的办公计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。 考虑到如果进入取证现场时取证目标处于开机并正常运行，需在关机前对易失性证据进行获取和固定，因此需要准备易失性证据获取工具包，以便快速获取和固定易失性证据。 准备在取证实验室深入分析原始证据镜像备份前，首先对取证目标系统的注册表、重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。;任务一：原始证据取证复制;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;任务一：原始证据取证复制;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;任务三：Windows 文件目录调查;任务四：Windows 日志调查;任务四：Windows 日志调查;任务五：Windows 的进程和网络痕迹调查;任务五：Windows 的进程和网络痕迹调查;;项目三非Windows 环境单机取证;理解电子证据的概念和特点 了解Macintosh 系统文件结构和引导过程 了解UNIX/Linux 系统磁盘结构和引导过程 掌握UNIX/Linux 环境中易失性证据的获取方法 掌握UNIX/Linux 环境中重要文件目录和日志调查方法;在项目一的案例中，某公司主管Alice 怀疑技术骨干Bob 对公司有侵权行为，因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察，了解到被调查者Bob 使用的计算机采用Linux 的操作系统。那么Tom 如何针对Bob 的非Windows计算机系统进行计算机取证调查呢？;项目任务;Macintosh 的引导过程和文件系统;Macintosh 的引导过程和文件系统;Macintosh 的引导过程和文件系统;Unix/Linux 的引导过程和文件系统;Unix/Linux 的引导过程和文件系统; Tom 明确针对Bob 的计算机进行调查时需要首先获取和固定原始证据，即对Bob 的计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。 考虑到如果进入取证现场时取证目标系统处于开机并正常运行状态，需在关机前对易失性证据进行获取和固定。 同样准备在取证实验室深入分析原始证据镜像备份前，首先对取证目标系统的重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务一：在UNIX/Linux 环境下获取原始证据;任务二：UNIX/Linux 环境的数据初步分析;任务二：UNIX/Linux 环境的数据初步分析;;项目四原始证据的深入分析;了解电子证据司法鉴定和电子证据保全的程序 掌握撰写计算机调查取证报告的一般准则 掌握利用EnCase Forensic 深入分析原始证据的方法 掌握利用X-Ways Forensics 深入分析原始证据的方