FTK實戰應用檢視原始碼討論檢視歷史
《FTK實戰應用》,ISBN:9787510213632, 作者:北京瑞源文德科技有限公司, 出版社:中國檢察出版社。
書籍是知識[1]的源泉,只有書籍才能解救人類,只有知識才能使我們變成精神上堅強的、真正的、有理性[2]的人。唯有這種人能真誠地熱愛人,尊重人的勞動,衷心地讚賞人類永不停息的偉大勞動所創造的最美好的成果。
內容簡介
FTK(Forensic Toolkit)由美國AccessData公司開發,業界公認的電子數據檢驗旗艦產品,在 AccessData公司的支持下,結合中國本地化應用的需求,瑞源公司逐步推進FTK的本地化工作,並融入 EDEC系列化工作站中。通過自主研發、系統集成、售後服務、技術支持等相關工作實踐,並結合幾十期電子數據檢驗專業培訓班的宣講,北京瑞源文德科技有限公司技術工程師逐步積累了關於EDEC產品實際應用的經驗與技巧,編寫成《FTK實戰應用》,希望能為業內人員學習提供參考。
目錄
第一章 FTK Imager健用相關
第一節 FTK Imager關於鏡像文件製作的相關功能
一、鏡像文件製作流程
二、使用Imager製作鏡像文件中的注意事項
第二節 FTK Imager關於鏡像文件格式轉換與掛載的功能
一、格式轉換DD/E01文件互相轉換,其他格式文件轉換成DD/E
二、FTK Imager關於鏡像文件掛載的功能
第三節 FTK Imager與現場取證相關的功能
一、開機狀態下,獲取目標計算機的註冊表文件
二、開機狀態下,獲取目標計算機內存
三、開機狀態下,檢測目標計算機上是否含有EFS加密文件
四、重要提示
第二章 FTK註冊表分析工具——Registry Viewer
第一節 註冊表及註冊表文件
第二節 註冊表文件的獲取
第三節 註冊表文件分析
一、啟動、加載
二、添加感興趣的內容
三、製作報告
四、說明
第三章 FTK過濾暑Filter
第一節 過濾器簡介
第二節 新建過濾器
第三節 過濾器的分類
第四節 預置過濾
第五節 複合過濾
第六節 嵌套過濾
第七節 搜索過濾
第八節 過濾器的共享
第四章 FTK關鍵字擅襄
第一節 搜索在證據檢驗中發揮的作用
第二節 FTK預處理中的設置
一、dtscarch文本索引
二、光學字符識別(OCR)
第三節 FTK搜索功能的應用
一、FTK實時文本搜索
二、實時十六進制搜索
三、實時正則表達式搜索
四、索引搜索
五、TRl正則表達式的應用指南
六、索引搜索數字組合的正則表達式應用
七、FTK中關鍵詞搜索與其他功能的聯動
八、如何能夠高效找到目標信息
第五章 FTK數據挖掘與元挖掘
第一節 什麼是數據挖掘
一、數據丟失或損壞的原因
二、數據挖掘中可能涉及的因素
三、文件簽名與數據挖掘
四、數據挖掘與數據恢復
五、FTK中對數據挖掘的處理和管理
第二節 FTK中的數據挖掘模塊及其應用
一、數據挖掘處理設置
二、FTK中數據挖掘工具
三、管理數據挖掘工具
四、數據挖掘結果解析
五、高級數據挖掘技巧及應用——手動挖掘模式
六、FTK挖掘優勢
第三節 FTK中的元挖掘
第六章 電子郵件檢測分析
第一節 概述
一、電子郵件的內容以及地址格式
二、主流電子郵件客戶端
三、FTK所適用的電子郵件類型
第二節 如何利用FTK來分析電子郵件
一、電子郵件數據分析選項卡頁面布局
二、FTK解析電子郵件樹分項解釋
三、其他標籤頁
四、文件列表
五、導出電子郵件
第七章 Internet/啊天軟件分析
第一節 FTK Internet/聊天軟件預處理相關選項
一、展開複合文件
二、數據挖掘選項
三、 Process Internet Browser History for Visualization
第二節 Internet信息展示
第三節 聊天軟件檢材分析
第八章 FTK可視化及社會化分析
第一節 什麼是可視化
一、運行可視化分析
二、可視化分析的界面
第二節 時間線
一、基礎時間線
二、設置基礎時間線
第三節 可視化文件數據
一、配置可視化文件數據
二、根據文件擴展名創建可視化視圖
三、文件種類分布可視化
四、文件數據列表
第四節 郵件數據可視化分析
一、選定郵件時間線
二、查看郵件統計
三、查看郵件細節列表
四、在郵件可視化中分析郵件域
五、可視化中分析單獨郵件
六、將郵件分析結果加入到FTK分析中
七、使用細節化時間線
第五節 可視化瀏覽歷史文件數據
第六節 可視化其他種類數據
第七節 可視化熱點圖
第八節 社會化分析
一、使用社會化分析
二、社會化分析選項
第九節 可視化中的定位信息
一、定位功能使用需求
二、查看帶有EXIF信息的數據
三、查看IP地址地理位置數據
第九章 內存分櫥與打印文件分析
第一節 內存分析概述
一、Windows操作系統下的hiberfil.sys與pagefile.sys文件
二、hiberfil.sys文件
三、pagefile.sys又件
四、模擬案例分析
第二節 打印文件的分析與取證
一、假打印文件的形成過程
二、Windows系統中假脫機打印文件存放的位置
三、假脫機打印文件的特性
第十章 利用FTK對手機鏡像進行分析
第一節 利用FTK對手機鏡像文件分析的目的
第二節 FTK處理手機鏡像文件示例
一、加載方式
二、典型手機鏡像文件加載示例
附錄:為FTK建立良好的運行環境
參考文獻
- ↑ 什麼是知識?,搜狐,2016-08-13
- ↑ 理性,是解決絕大多數問題的關鍵,搜狐,2017-03-28