EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的法律执行部门在使用它。它提供良好的基于Windows的界面，左边是case文件的目录结构，右边是用户访问目录的证据文件的列表。 EnCase能调查Windows，Macintosh，Linux，Unix或DOS机器的硬盘，把硬盘中的文件镜像成只读的证据文件，这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同，EnCase会计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构，采用Windows GUI 显示文件的内容，允许调查员使用多个工具完成多个任务。 在检查一个硬盘驱动时，EnCase深入操作系统底层查看所有的数据——包括file slack，未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面，EnCase可以由多种标准如时间戳或文件扩展名来排序。此外，EnCase可以比较已知扩展名的文件签名，使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示，并可打印出来。

计算机使用痕迹分析与取证系统，期刊论文，系统安全

电子取证现状及发展趋势，计算机取证，系统安全

数据恢复 数据搜索 计算机取证 系统日志 信息安全 文件系统

计算机取证研究的是如何为调查计算机犯罪提供彻底、有效和安全的技术.其关键是确保证据的真实性、可靠性、完整性和符合法律规定.介绍了计算机取证的过程以及取证软件的原理和实现,并且给出完整的取证实例.从理论和实现两个方面讨论了现有取证技术的局限性和面临的挑战,并展望其未来的发展方向.由于计算机犯罪手段的变化和其他技术的引入,现有的取证工作将向着深入和综合的方向发展.

讲计算机取证，和司法取证，安全圈朋友们可以看看，就像应该提前熟悉刑法一样

作者：Debra Littlejohn Shinder； 语言：英文； 内容：网络犯罪、取证、网络安全、数据证据、案例

一、 填空题（每空1分，共32分） 1、计算机证据的来源有（　主机系统　）、（网络方面 ）、（其它数字设备 ） 2、存储设备与服务器的连接方式通常有（ DAS ）、（ NAS ）、（SAN ） …… 二 选择题（每空2分，共20分） 1、WinXP主要的文件系统是（ B ） A.FAT-16 B.NTFS C.FAT32 D.FAT-12 …… 三、名词解释（每小题4分，共20分） 1、计算机取证 …… 四、简答题（每小题4分，共28分） 1、列举几例有关计算机的犯罪 ……

一、实验项目名称 FTK Imager——证据获取 二、实验目的 掌握 FTK Imager的使用 三、实验任务 1、熟悉FTK Imager的使用 2、使用FTK Imager制作一个物理磁盘镜像，并计算出该盘的MD5. 3、制作一个逻辑磁盘镜像，查看逻辑磁盘中的文件内容，查询已经删除的文件，并恢复它。 4、挂载一个逻辑/物理磁盘，查询其内容，查看当前电脑是否多出相应的磁盘，并尝试打开它。 5、数据恢复，对已经删除的数据进行恢复。 6、制作DD镜像和E01镜像，比较两种镜像的不同出。

计算机取证与司法鉴定-教材课件汇总完整版ppt全套课件最全教学教程整本书电子教案全书教案合集最新课件汇编.pptx