欲从事数字犯罪的“黑客”们必须了解的知识——黑客必读！

数字取证技术经典名著——每一位数字取证技术工作者必读的书<o:p></o:p>

随着计算机的应用和普及，利用计算机和网络或以计算机和网络作为攻击目标的犯罪活动日益猖獗。数字取证是从存储数据的介质提取数字形式的证据，并将其用于刑事或民事诉讼的技术，它在对抗数字化犯罪中具有关键性作用。该技术已经受到了广泛的关注，而且在技术上已经取得了一定的成果。从图书市场来看，国内外都有相关书籍出版，但是侧重点各有不同。在这里，我向大家介绍一本超级经典的剖析数字取证技术底层原理——文件系统分析的书。<o:p></o:p>

书      名：File System Forensic Analysis

作      者：Brian Carrier

出版时间：2005年4月

更多信息：http://www.pearsoned.co.uk/Bookshop/detail.asp?item=100000000074992<o:p></o:p>

文件系统分析终极指南：关键概念和常用技巧<o:p></o:p>

大多数数字证据都存储在计算机的文件系统中，然而，对一个数字取证工作者来说，理解文件系统的工作原理却是最具技术挑战性的，因为目前这方面的文档还很少。安全专家Brian Carrier为所有想要理解和希望证实文件系统分析是如何被执行的读者们撰写了一本终极指南。<o:p></o:p>

作者以计算机数字取证技术基础开篇，然后对当代的卷和文件系统（发现藏在证据背后的至关重要的信息、恢复被删除的数据）给予了权威的、易于理解的阐释。本书还还描述了数据结构、分析了disk image示例、提供了高级的调查情节，而且使用了当今最有价值的开源文件系统分析工具，其中还包括作者本人开发的工具。<o:p></o:p>

本书包含的主题如下：<o:p></o:p>

* 保留数字化犯罪现场，为"dead analysis"拷贝硬盘；<o:p></o:p>

*鉴别磁盘的HPA（Host Protected Area）中的隐藏数据；<o:p></o:p>

* 读取源数据：直接对BIOS进行访问、错误处理等；<o:p></o:p>

* 利用关键的概念、数据结构和特殊技术对DOS/Apple/GPT等平台、BSD卷标、Sun 卷目录表等进行了分析；<o:p></o:p>

* 对RAID和磁盘延伸（disk spanning）等多磁盘卷标目录进行了分析；<o:p></o:p>

* 利用关键概念、数据结构和特殊技术对FAT、NTFS、 Ext2、 Ext3、 UFS1和UFS2等类型的文件系统进行了分析； <o:p></o:p>

* 发现证据：文件元数据、恢复被删除的文件、数据隐藏位置等；<o:p></o:p>

* 利用The Sleuth Kit (TSK)、Autopsy Forensic Browser等相关的开源工具。<o:p></o:p>

如果提到文件系统分析，没有哪一本书能够比本书提供更多的细节和专家意见。无论你是一位数字取证技术专家、突发事件处理团队中的成员、法律执行官员、团体安全专家还是一位审计者，本书对于你来说是一本数字取证方面的必不可少的参考资料，无论你使用何种分析工具。<o:p></o:p>

关于作者：Brian Carrier曾经发明了多种主流的计算机取证工具，包括Sleuth Kit (正式名称为@stake Sleuth Kit)和Autopsy Forensic Browser。曾经在多个尖端会议和著名杂志上公开展示了取证工具的相关图片。他现在正在Purdue大学修读计算机科学和数字取证专业的博士学位，而且他还是CERIAS（Center for Education and Research in Information Assurance and Security）的一位辅助研究员。<o:p></o:p>

本书自2005年出版以来，深受读者好评，Amazon全五星评价（至少20条评论），截至2007.6月，该书已经在美国印刷了5次。图灵公司有意引进这本书，但是现在距这本书的出版时间已经有3年了，在这3年里，数字取证技术已经有了很大的发展，不知道这本书中是否有需要更新的内容。恳请熟悉这本书中相关内容的朋友能给个建议，万分感谢！<o:p>
</o:p>