㖇㔒⣥㖠‫ޞ‬Ქ䙅㿼 ——计算机犯罪取证手册 作者[美]德博拉·利特尔约翰·欣德埃德·蒂特尔（技术编辑） 译者高卓 目录 前言第一章扑面而来的网络犯罪问题 概述危机的量化数据 定义网络犯罪从笼统到具体司法辖区问题的重要性区分利用网络的犯罪和依赖网络的犯罪收集网络犯罪统计数据犯罪报告系统全国报告系统犯罪分类接近网络犯罪的有效定义美国联邦和各州的法律法规国际法：联合国的网络犯罪定义 网络犯罪分类划分网络犯罪类别暴力或潜在暴力网络犯罪类非暴力网络犯罪类别网络犯罪执法的重点 打击网络犯罪确定参与反网络犯罪斗争的人员教育反网络犯罪斗士教育立法者和司法专业人员教育信息技术专业人员教育并调动公众积极投身打击网络犯罪的斗争利用同伴压力打击网络犯罪利用技术打击网络犯罪开发打击网络犯罪的新方法 总结常见问题解答参考文献第二章网络犯罪历史回顾 概述独立计算机时代的犯罪 共享的不仅仅是时间黑客一词的演变早期电话飞客、黑客和快客攻击电话网 著名电话飞客大西洋彼岸的电话飞客各色“匣子”从电话飞客到黑客以局域网为生：早期的计算机网络黑客BBS助长犯罪活动泛滥在线服务为网络犯罪大开方便之门ARPANet：网络西部莽原苏联卫星催生ARPAARPA转向研究计算机技术网络应用迅猛发展互联网继续扩展80年代的ARPANet90年代的互联网蠕虫开始肆虐，安全成为忧患网络犯罪伴随互联网的商业化愈演愈烈今天的网络犯罪新技术产生了新的脆弱性网络犯罪分子为什么喜欢宽带网络犯罪分子为什么喜欢无线连接网络犯罪分子为什么喜欢移动计算网络犯罪分子为什么喜欢尖端网络和电子邮件技术网络犯罪分子为什么喜欢电子商务和网上银行网络犯罪分子为什么喜欢即时信息传递网络犯罪分子为什么喜欢新操作系统和应用项目网络犯罪分子为什么喜欢标准化规划未来：如何应对明天的网络犯罪总结常见问题解答参考文献第三章了解图景中的人物概述了解网络犯罪分子网络犯罪分子剖析罪犯剖析工作原理重新审视有关网络犯罪分子的神话和错误概念典型网络犯罪分子概貌了解犯罪分子的动机 统计分析的局限性网络犯罪分子分类 罪犯将互联网用作犯罪工具罪犯偶尔利用互联网犯罪在网上犯罪的现实生活守法者了解网络罪行受害者网络罪行受害者分类把受害者团结到反犯罪的队伍中来了解网络犯罪调查员优秀网络犯罪调查员的素质从技能水平角度给网络犯罪调查员分类充实和训练网络犯罪调查员促进合作：CEO在场景中扮演的角色总结常见问题解答参考文献第四章计算机基本原理概述了解计算机硬件观察计算机内部数字计算机的组件主板的作用处理器和存储器的作用存储介质的作用这个问题为什么对调查人员关系重大？计算机的语言在数字世界中徜徉数字基础了解二进制计数系统二进制与十进制的转换二进制与十六进制的转换文本转换为二进制非文本文件编码这个问题为什么对调查人员关系重大？了解计算机操作系统了解操作系统软件的作用多任务和多重处理的类型区别多任务多重处理专有操作系统与开放源码操作系统的区别常用操作系统概述了解DOSWindows1.x-3.xWindows9x（95、95b、95c、98、98SE和ME） WindowsNTWindows2000WindowsXPLinux/UNIX其他操作系统了解文件系统FAT12FAT16VFATFAT32NTFS其他文件系统总结常见问题解答参考文献第五章网络基本原理概述了解计算机网络通信通过网络传输比特和字节数字信号和模拟信号多路复用的工作原理方向因素分时因素信号干扰数据包、片段、数据报和帧访问控制方法网络类型和拓扑这个问题为什么对调查人员关系重大？了解联网模型和标准OSI联网模型国防部联网模型物理／数据连通层标准这个问题为什么对调查人员关系重大？了解网络硬件网络接口卡的作用网络媒体的作用网络连通装置的作用这个问题为什么对调查人员关系重大？了解网络软件了解客户机／服务器计算服务器软件客户机软件网络文件系统和文件共享协议有关（联网）协议的一个问题 了解互联网上使用的TCP/IP协议使用标准化协议的必要性TCP/IP简史互联网协议和IP寻址路由工作原理传送层协议MAC地址名字解析TCP/IP公用程序网络监测工具这个问题为什么对调查人员关系重大？ 总结常见问题解答参考文献第六章网络入侵和攻击概述了解网络入侵和攻击 入侵和攻击辨别直接攻击和分布式攻击自动攻击意外“攻击”防范有意内部安全破坏防范未经授权外部入侵 制定防火墙疏漏预防计划拥有内部访问权的外部入侵者确定“攻击事实”攻击类型的识别和分类识别入侵／攻击前活动端口扫描地址哄骗IP哄骗ARP哄骗DNS哄骗放置特洛伊木马放置追踪装置和软件放置数据包捕捉软件和协议分析器软件预防和反应口令破解蛮力攻击利用保存的口令监听口令口令解密软件社会工程预防和反应 口令的总体保护措施保护网络不受社会工程是侵扰恶意利用技术协议利用利用TCP/IP的拒绝服务攻击源路由攻击其他协议利用应用软件利用错误利用邮件炸弹浏览器利用Web服务器利用缓冲区溢出操作系统利用WinNuke带外攻击Windows注册表攻击其他Windows利用UNIX利用路由器利用预防和反应特洛伊、病毒和蠕虫攻击特洛伊病毒蠕虫预防和反应技术水平低下的黑客攻击脚本小子现象“即点即用”黑客预防和反应总结常见问题解答参考文献第七章预防网络犯罪概述了解网络安全概念安全规划基本原理安全的定义多层次安全的重要性入侵三角形消除入侵机会业内行话：安全术语物理安全的重要性保护服务器确保工作站安全 保护网络装置密码学基本概念 加密安全的目的认证身份提供数据保密性确保数据完整性 基本加密概念通过代码和密码混杂文本什么是加密？通过密码算法确保数据安全信息安全中的加密应用什么是隐蔽术？现代破解密码的方法网络罪犯对加密和隐蔽术的利用 基于硬件和软件的安全方案实施基于硬件的安全措施基于硬件的防火墙认证装置实施基于软件的安全措施加密软件数字证书公钥基础设施基于软件的防火墙 防火墙防火墙分层过滤数据包过滤电路过滤应用过滤一体化入侵检测 组建事件响应小组制定和实施安全政策 安全以政策为根基什么是安全政策？这个问题为什么对调查人员关系重大？ 评估安全需要机构安全计划的组成部分定义各方面责任分析风险因素评估威胁和威胁级别分析机构和网络的脆弱性分析机构因素考虑法律因素分析成本因素评估安全解决方案 遵守安全标准政府安全等级借鉴政策样板 定义各方面具体政策口令政策其他方面的政策 形成政策文件确定范围和优先重点政策制定指南政策文件结构 网络用户安全教育政策的执行政策的传播政策的反复评估和修订 总结常见问题解答参考文献第八章确保系统安全概述 什么是系统安全？安全心态系统安全要素实施宽带安全措施宽带安全问题配备防病毒软件定义强用户口令设置访问许可禁用文件和打印共享使用NAT配备防火墙禁用不需要的服务配置系统审计实施浏览器和电子邮件安全措施危险代码的类型 JavaScriptActiveXJava改善浏览器和电子邮件客户软件的安全状态限制编程语言时时更新安全补丁了解Cookie确保Web浏览器软件安全确保微软Explorer安全确保NetscapeNavigator安全 确保Opera安全实施Web服务器安全措施 DMZ与要塞隔离Web服务器Web服务器封闭 管理访问控制处理目录和数据结构脚本脆弱性记录活动备份保持完整性欺骗性Web服务器了解微软操作系统及其安全特性微软的普遍性安全问题NetBIOS流行的自动化功能IRDP脆弱性网卡捆绑确保Windows9x机安全确保WindowsNT4.0网络安全确保Windows2000网络安全Windows.NET：Windows安全的未来了解UNIX/Linux操作系统及其安全特性了解Macintosh操作系统及其安全特性了解主机系统的安全特性了解无线网络的安全特性总结常见问题解答参考文献第九章网络犯罪检测技术概述安全审计和日志文件Windows平台的审计UNIX和Linux平台的审计防火墙日志、报告、警报和预警电子邮件标题追踪域名和IP地址商用入侵检测系统入侵检测系统的特点商用IDS供应商IP哄骗和其他反检测手段蜜罐、蜜网和其他“网络圈套”总结常见问题解答 参考文献第十章收集和保存数字证据 概述证据对于刑事案件的意义 证据的定义证据的可接受性计算机犯罪取证检查标准收集数字证据第一反应人员的角色调查人员的角色犯罪现场技术员的角色保存数字证据保存易失数据硬盘成像 硬盘成像简史成像软件独立成像工具成像技术在计算机犯罪取证中的作用“快照”工具和文件拷贝特殊考虑环境因素保留时间和日期戳保存个人数字助理和袖珍电脑中的数据恢复数字证据恢复“被删除”和“被抹擦”数据解密加密数据寻找隐藏数据数据隐藏在哪儿？检测隐蔽数据替换数据流隐藏文件的方法回收站定位被遗忘数据Web缓存和URL历史临时文件交换文件和页面文件从备份恢复数据挫败数据恢复技术覆盖硬盘消磁或退磁物理销毁硬盘记录证据的文件证据标签记和标记证据日志 有关证据分析的文件证据保管链文件有关计算机犯罪取证的资源 计算机犯罪取证培训和证书计算机犯罪取证设备和软件计算机犯罪取证服务计算机犯罪取证信息了解相关法律问题搜查和没收数字证据美国宪法问题有关搜查证的要求无证搜查没收数字证据有关没收的法律有关隐私权的法律《美国爱国法案》的影响总结常见问题解答参考文献第十一章网络犯罪立案起诉概述起诉过程复杂化的主要因素定义罪行的困难法律团体法律类型法律级别基本刑事司法理论违法元素举证水平和举证责任司法辖区问题司法辖区定义与司法辖区相关的成文法律与司法辖区相关的案例法律国际问题实际操作问题证据的特性人的因素执法人员的“态度”高科技生活方式天生对头？排除障碍，惩治罪犯调查程序调查工具调查步骤 确定各方人员的责任网络犯罪案件作证 审理程序证据证人作证专家证人作证提供直接证词复主诘问花招笔记本总结常见问题解答参考文献后记附录在全球范围内开展与网络犯罪的斗争