1.第一部分

1.1.1.硬盘接口

1.1.1.IDE、SATA\SAS\SCSI 

1.1.2.SAS接口可兼容SATA

1.1.3.IDE接口不支持热插拔，其他的可支持

1.1.4.硬盘特殊接口需要通过转换器来转接

1.2.2.文件残留区

1.2.1.物理大小-逻辑大小

1.2.2.簇：1个簇=8个扇区，1个扇区=512个字节

簇大小=512*8=4K

例子：现有一个17K的文件，问文件残留区大小是多少

因为：1个簇4K，那么需要5个簇来存放，则总的物理大小20K。

于是文件残留区=物理大小（20K）-逻辑大小（17K）=3K

1.2.3.簇是文件系统最小的单位

1.2.4.扇区是硬盘驱动器访问最小的单位

1.3.3.文件系统

1.3.1.不同操作系统的文件系统

Windows

• FAT

• 文件系统跟踪对象

• 目录项

• 对象的名称

• 对象的起始位置

• 文件分配表

• 文件碎片

• 簇的状态

• 文件删除时，在文件目录项首字节标记为E5，系统不显示内容，但是数据还在

• FAT系统中通常有2个FAT表，另外一个为备份

• NTFS

• 文件系统跟踪对象

• MFT

• 对象的名称

• 对象的起始位置

• 文件碎片

• Bitmap

• 簇的状态

• 文件系统中$前缀的文件名，通常称为元数据文件（系统文件）

• exFAT

Linux

• EXT2

• ext3

• ext4

• MINIX

• JFS

• XFS

• ReiserFS

MAC os

• HFS

• HFS+

• UFS

• NFS

光盘

• CDFS

• UDF

1.3.2.文件系统要跟踪的对象信息

对象的名称

对象的起始位置

文件碎片

簇的状态

1.4.4.散列值

1.4.1.散列值算法用于进行数据的完整性和一致性校验

1.4.2.散列值只和数据内容有关，和文件属性无关

1.4.3.各类散列值

MD5

• 十六进制32位

• MD5可用于加密

• 算法不可逆

• 校验数据完整性

SHA-1

• 十六进制40位

SHA-256

• 十六进制64位

1.5.5.反取证软件

1.5.1.数据擦除

1.5.2.数据隐藏

1.5.3.数据加密

1.6.6.加密文件

1.6.1.加密文件的破解

穷举法

1.6.2.彩虹表

用时间换空间

1.6.3.密码破解

取证大师不支持密码破解

1.6.4.EFS加密

windows自带加密方式，需要NTFS格式才可创建

绿色标志

1.7.7.启动

1.7.1.系统配置文件必须放在启动盘的根目录下

ntuser.dat

1.8.8.邮件

1.8.1.office outlook

数据扩展名.pst

1.8.2.Outlook express

数据扩展名.dbx

1.8.3.Foxmail

数据扩展名.box

1.8.4.复合格式

1.9.9.MBR主引导记录

512byte

1.9.1.0磁道 0柱面 1扇区

1.9.2.引导记录

446

1.9.3.分区表

64

1.9.4.55AA

2字节的结束标记

1.9.5.磁盘使用

低级格式化（划分磁道、扇区）

分区

高级格式化（创建文件系统、分区编号）

1.10.10.断电

1.10.1.笔记本待机/休眠

1.10.2.客户端电脑直接拨电源

1.10.3.服务器正常关机

1.11.11.镜像

1.11.1.E01镜像

可存放案件属性和MD5值

可压缩、只读

分卷大小默认大小为640M

数据块是采取CRC校验

1.11.2.DD镜像

原始镜像、不存放案件属性信息

1.12.12.编码

1.12.1.简体中文

GB2312

GB18030

1.12.2.office97-2003编码

UNICODE

1.12.3.office2007以上

UTF-8

1.12.4.繁体中文

BIG5

1.12.5.邮件编码

base64

QP

邮件头

• UTF-8

1.12.6.TXT编码

Unicode

UTF-8

ANSI

1.12.7.网页格式

UTF-8

GB2312

UNICODE

BIG 5

• （繁体中文）

1.13.13.Thumbs,db

1.13.1.Thumbs,db是缩略图文件

1.13.2.Thumbs,db是复合文件

1.13.3.可以通过修改资源管理器不缓存Thumbs.db文件

1.14.14.开盘维修环境

1.14.1.无尘室

1.15.15.数据分析

1.15.1.是电子数据取证的关键和核心

1.16.16.易丢失数据

1.16.1.进程

1.16.2.内存

1.16.3.剪贴板

1.16.4.网络连接信息

1.17.17.调查对象的日志

1.17.1.IIS日志、操作系统日志、防火墙日志、APACHE访问日志

1.17.2.Windows日志

系统日志

应用程序日志

安全日志

1.18.18.取证大师制作镜像的操作点

1.19.19.手机SIM存储的内容

1.19.1.通讯录

1.19.2.短信

1.19.3.通话记录

1.19.4.识别码

IMSI

• 15位，和IMEI长度一样

ICCID

• 20位

PIN

PUK

1.20.20.取证大师可以预览的类型

1.20.1.office

1.20.2.网页

1.20.3.TXT

1.20.4.图片

1.21.21.控制现场任务

1.21.1.保障人生安全和设备安全

1.21.2.回收站

具有系统属性、U盘不创建回收站文件、回收站具有隐藏属性

1.21.3.服务器应考虑因素

服务器类型

安装的操作系统

启用的哪些服务

read阵列的类型

是否启用逻辑卷或加密卷

1.21.4.个人计算机应考虑因素

PC操作系统

安装哪些应用程序

1.21.5.NTFS文件系统

1.21.6.远程勘验的对象

邮箱

云盘

• 隐藏空间

网页端

1.21.7.MD5算法

可用于加密

算法不可逆

校验数据完整性

1.21.8.DD和E01区别

E01镜像

• 可存放案件属性和MD5值

• 可压缩、只读

• 分卷大小默认大小为640M

• 数据块是采取CRC校验

DD镜像

• 原始镜像、不存放案件属性信息

• 只读

1.21.9.MD5校验结果不一致原因

扇区范围

坏扇区

数据线

数据内容

2.第二部分

2.1.1.电子数据证据具备特征

2.1.1.可信性

2.1.2.准确性

2.1.3.完整性

2.1.4.符合司法有效性

2.2.2.八类证据

2.3.3.电子证据

2.3.1.存在薄弱性

容易灭失

易被篡改

2.3.2.特征

无形性

高科技性

易破坏性

表现形式的多样性

2.3.3.固定与封存操作，必须保证证据

完整性

真实性

原始性

2.3.4.与传统物证取证的不同点

传统证据的取证一般是事件过程终止后进行

电子数据变化较快，提取时较困难

电子数据取证有时需要在事件正在实施的过程中进行

传统数据通常存留时间较长，不易变化

2.4.4.断电即失

2.4.1.RAM（随机存储器，内存）

2.5.5.pagefile.sys

2.5.1.pagefile.sys是虚拟内存页面文件

2.5.2.该文件大小与虚拟内存大小设置有关

2.5.3.pagefile.sys可提升系统性能

2.6.6.Prefetch文件

2.6.1.Prefetch可以加快程序的加载与启动过程

2.6.2.Prefetch文件以.pf为后缀名

2.6.3.Prefetch文件名包含32bit散列值

2.7.7.回收站文件夹

2.7.1.回收站文件夹具有系统属性

2.7.2.Windows默认不会给U盘创建回收站文件夹

2.7.3.回收站文件夹具有隐藏属性

2.7.4.在不同的操作系统中

Windows Vista /win7

• 回收站文件夹$Recycle.Bin

在WindowsXP中NTFS分区的回收站文件夹名称为RECYCLER

2.8.8.注册表文件

2.8.1.注册表是一套控制windows操作系统外表和如何响应外来事件工具的数据库文件

2.8.2.用户配置文件

ntuser.dat

2.8.3.SAM

操作系统的开机密码存放在SAM中

2.9.9.文件属性

2.9.1.创建时间、访问时间、修改时间

2.9.2.物理大小、逻辑大小、分区中的位置

2.9.3.扩展名

2.10.10.字符编码

2.10.1.BASE64

将每3个字节的数据编码成4个字节的数据，主要用于电子邮件

2.10.2.Quoted Printable

英文不改变编码，汉字（2个字节）编码后变成6个字节，主要用于电子邮件

2.11.11.电子证据检查

2.11.1.已扣押、封存、固定

2.12.12.数据库数据模型

2.12.1.层次模型

2.12.2.网状模型

2.12.3.关系模型

2.13.13.电子物证检验的结论可用什么鉴定文书表达

2.13.1.鉴定书

2.13.2.检验报告

2.13.3.检验意见书

2.14.14.软件检验

2.14.1.软件功能检验

对送检软件的各项功能进行测试检验，以确认该软件是否与某种案件所用

• 作案工具

• 作案过程

• 作案技术手段

• 有关联

2.14.2.软件运行结果的检验

测试检验程序是否能产生预期结果

• 检验这些结果的合理性

2.14.3.软件一致性检验

对送检检查与样本进行综合技术性检测

• 判断两者是否同一

2.15.15.EXIF信息

2.15.1.数码相机的制造厂家

2.15.2.数码相机型号

2.15.3.照片分辨率

2.15.4.拍摄时间

2.15.5.GPS信息

经度

纬度

高度

速度

2.16.16.特地电子数据检验的操作步骤

2.16.1.检材和样本

编号

拍照

保全备份

2.16.2.数据检验

检出数据刻录

2.17.17.常见的解密方法

2.17.1.软件解密

2.17.2.网络监听

2.17.3.暴力破解法

2.17.4.社会工程学

2.18.18.常见的加密方法

2.18.1.系统设置法

2.18.2.硬件加密法

2.18.3.软件加密法

2.18.4.手工改造法

2.18.5.实时保护法

2.19.19.iso七层协议

2.19.1.物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

2.20.20.安全审计的主要功能

2.20.1.记录和跟踪信息系统状态的变化

2.21.21.传真机中包含的潜在证据

2.21.1.快速拨号列表

2.21.2.存储的传真信息（接收到的和发出的）

2.21.3.传真发送日志（接收到的和发出的）

2.21.4.时钟设置

2.22.22.打印机

2.22.1.检查打印机是连接到网络上的、单机的还是便携式的

2.22.2.记录与打印机相连的网线号码

2.22.3.一些打印机同时也是复印机、扫描仪、传真机

2.23.23.复印机中包含的潜在证据

2.23.1.快速复印列表

2.23.2.存储的复印文件（输入的和输出的）

2.23.3.时钟设置

2.24.24.上网记录

2.25.25.手机插入电脑无法识别

2.25.1.驱动未安装正确

2.25.2.数据线问题

2.25.3.未选中相应的手机模式

2.25.4.Android手机需开启调试模式

2.25.5.windows Mobile手机需选择"高级网络模式"

2.25.6.摩托罗拉手机需选择“序列模式”

2.26.26.非智能手机

2.26.1.需选择针式数据线，而非USB数据线

2.26.2.读取镜像时间较长，时间在10到30分钟，属于正常现象

2.26.3.非智能机提取镜像前，需扣下手机电池

3.活动分区80

3.1.启动分区