第1章　Windows取证

1.1　企业计算机取证分析师

1.2　Windows取证

1.3　人、程序和工具

1.4　计算机取证：当前和未来

1.5　补充参考资源

第2章　处理数字犯罪现场

2.1　确认现场

2.2　执行远程调查

2.3　保护现场

2.4　记录现场

2.5　处理物理证据现场

2.6　处理数字证据现场

2.7　保管链

2.8　最佳证据

2.9　与执法机关共事

2.10　补充参考资源

第3章　Windows取证基础

3.1　历史和版本

3.1.1　MS-DOS

3.1.2 Windows 1.x、2.x和3.x

3.1.3 Windows NT和Windows 2000

3.1.4 Windows 95/98/Me

3.1.5 Windows XP/2003

3.2　非易失性存储器

3.2.1　软盘

3.2.2　磁带

3.2.3 CD和DVD

3.2.4 USB闪存驱动器

3.2.5　硬盘

3.3　补充参考资源

第4章　分区和文件系统

4.1　主引导记录

4.2 Windows文件系统

4.2.1 FAT

4.2.2 VFAT

4.2.3 NTFS

4.3　补充参考资源

第5章 目录结构和特殊文件

5.1 Windows NT/2000/XP

5.1.1 目录

5.1.2　文件

5.2　Windows 9x

5.2.1 目录

5.2.2　文件

5.3　补充参考资源

第6章 注册表

6.1 历史

6.2　注册表基础知识

6.3　注册表分析

6.3.1　常规注册表键

6.3.2　文件夹位置

6.3.3 自启动项目

6.3.4　智能表单

6.4　高级注册表分析

6.5　补充参考资源

第7章　取证分析

第8章　系统联机分析

8.1 隐秘分析

8.1.1　系统状态分析

8.1.2　监控

8.2　公开分析

8.2.1　基于GUI的公开分析

8.2.2　本地命令行分析

8.2.3　远程命令行分析

8.2.4　基本信息收集

8.2.5　系统状态信息

8.2.6　运行程序的信息

8.2.7 主存分析

8.3　补充参考资源

第9章　取证复制

9.1　硬盘复制

9.1.1　原地复制

9.1.2　直连复制

9.2　日志文件复制

9.3　补充参考资源

第10章　文件系统分析

10.1　搜索

10.1.1　索引搜索

10.1.2　按位搜索

10.1.3　搜索方法

10.2　散列分析

10.2.1　正散列分析

10.2.2　反散列分析

10.3　文件恢复

10.4　特殊文件

10.4.1　打印队列文件

10.4.2　Windows快捷方式

10.4.3　分页文件

10.5　补充参考资源

第11章 日志文件分析

11.1　事件日志

11.1.1　应用程序日志

11.1.2　系统日志

11.1.3　安全日志

11.2　因特网日志

11.2.1 HTTP日志

11.2.2　FTP日志

11.2.3 SMTP日志

11.3　补充参考资源

第12章　因特网使用分析

12.1 网络活动

12.1.1　IE浏览器

12.1.2　Firefox

12.1.3　工具栏历史

12.1.4　网络、代理和DNS历史记录

12.2　对等网络

12.2.1　Gnutella客户端

12.2.2　Limewire

12.2.3　FastTrack客户端

12.2.4　Overnet、eMule、eDonkey 2000客户端

12.3 即时消息

12.3.1　AOL Instant Messenger

12.3.2　Microsoft Messenger

12.4　补充参考资源

第13章　电子邮件调查

13.1 Outlook/Outlook Express

13.1.1　Outlook Express

13.1.2　Outlook

13.2　Lotus Notes

13.2.1　获取

13.2.2　访问控制与日志记录

13.2.3　分析

13.2.4　地址簿

13.3　补充参考资源

附录1 保管链表格的样例

附录2　主引导记录的结构

附录3　分区类型

附录4　FAT32引导扇区的结构

附录5　NTFS引导扇区结构

附录6　NTFS元文件

附录7　常见的安全标识符