本书是计算机取证与网络犯罪方面的经典教材。全书首先概述理论，讨论计算机相关术语和传统计算机犯罪。然后讨论当前的计算机犯罪，身份窃取与身份欺诈，恐怖主义及有组织犯罪，起诉途径及政府行为。接着探讨所涉及法律问题，计算机取证的术语与需求，如何搜索并获取证据，以及证据的处理及报告准备。

本书是计算机取证与网络犯罪方面的经典教材。全书首先概述理论，讨论计算机相关术语和传统计算机犯罪。然后讨论当前的计算机犯罪，身份窃取与身份欺诈，恐怖主义及有组织犯罪，起诉途径及政府行为。接着探讨所涉及法律问题，计算机取证的术语与需求，如何搜索并获取证据，以及证据的处理及报告准备。

Marjie T. Britz博士任克莱姆森（Clemson）大学的刑事司法学教授。她获杰克逊维尔州立大学法医学和警察管理学学士学位，密歇根州立大学刑事司法专业获理学硕士和哲学博士学位。在计算机犯罪、有组织犯罪、警察文化等方面发表了很多著作。在多个执法机构和相关组织任顾问并提供培训服务。此外，她曾在多个学术组织及业界担任编辑和监事会工作。 Marjie T. Britz博士任克莱姆森（Clemson）大学的刑事司法学教授。她获杰克逊维尔州立大学法医学和警察管理学学士学位，密歇根州立大学刑事司法专业获理学硕士和哲学博士学位。在计算机犯罪、有组织犯罪、警察文化等方面发表了很多著作。在多个执法机构和相关组织任顾问并提供培训服务。此外，她曾在多个学术组织及业界担任编辑和监事会工作。

第1 章 计算机取证和网络犯罪的概述和简介 …1
1．1 简介 …1
1．2 网络空间和犯罪行为 …2
1．3 术语解释 …4
1．4 与计算机犯罪相关的传统问题 …5
1．4．1 物理和司法权问题 …6
1．4．2 无意义、刻板和无能印象 …6
1．4．3 检察官的不情愿 …8
1．4．4 缺乏报案 …8
1．4．5 资源匮乏 …9
1．4．6 法律上的矛盾 …12
1．5 问题延伸 …12
1．6 电子货币的出现：执法的新问题 …16
1．6．1 预付卡 …16
1．6．2 储值卡 …16
1．6．3 移动支付 …16
1．6．4 因特网支付服务 …17
1．6．5 数字贵金属 …17
1．7 小结 …17
讨论题 …18
推荐读物 …18
网络资源 …18
参考文献 …19
第2 章 计算机术语和历史 …22
2．1 计算机简史 …23
2．2 计算机语言 …25
2．3 计算机硬件 …25
2．3．1 输入设备 …25
2．3．2 输出设备 …26
2．3．3 硬盘和其他大规模存储设备 …27
2．4 计算机软件 …28
2．4．1 启动顺序 …28
2．4．2 操作系统 …28
2．5 超越DOS：现代操作系统 …29
2．5．1 微软Windows …29
2．5．2 UNIX …32
2．5．3 Linux …32
2．5．4 智能手机 …33
2．6 应用软件 …34
2．7 互联网简史 …35
2．8 网络语言 …36
2．9 网络世界 …39
2．10 贝尔大妈，司法部，反垄断 …40
2．11 带宽数据的传输速率 …40
2．12 因特网通信分类 …40
2．12．1 万维网 …40
2．12．2 新闻组/公告板(Usenet 组) …41
2．12．3 互联网实时聊天 …42
2．13 未来的问题和小结 …43
讨论题 …43
推荐读物 …44
网络资源 …44
参考文献 …44
第3 章 传统计算机犯罪：早期黑客和元件盗窃 …46
3．1 介绍 …46
3．2 传统问题 …46
3．3 认识和定义计算机犯罪 …48
3．4 三个偶然事件 …49
3．5 飞客：昨天的黑客 …53
3．5．1 什么是电话盗用 …53
3．5．2 关于电话盗用的战争 …54
3．6 黑客行为 …56
3．6．1 定义黑客行为 …56
3．6．2 黑客社区的演化 …56
3．6．3 当前动机 …57
3．6．4 当前网络犯罪的层次结构 …59
3．7 作为商品的计算机 …61
3．8 知识产权侵犯 …63
3．8．1 软件 …63
3．8．2 电影盗版 …65
3．9 小结 …65
讨论题 …65
推荐读物 …66
网络资源 …66
参考文献 …66
第4 章 当代计算机犯罪 …68
4．1 网络犯罪活动 …68
4．2 恶意软件 …70
4．2．1 病毒与蠕虫 …71
4．2．2 DoS 与DDoS 攻击 …73
4．2．3 僵尸网络与僵尸部队 …74
4．2．4 垃圾邮件 …75
4．2．5 勒索软件与信息绑架 …79
4．3 信息盗窃、数据操纵与网络入侵 …80
4．3．1 传统的专有信息盗窃方法 …80
4．3．2 商业秘密与版权 …81
4．3．3 政治间谍 …82
4．4 恐怖主义 …83
4．5 新传统犯罪――新瓶装旧酒 …85
4．5．1 刑事违禁品或非法材料的传播 …85
4．5．2 通信威胁与干扰 …91
4．5．3 网络欺诈 …93
4．5．4 电子赃物贩卖 …98
4．5．5 欺诈工具 …99
4．6 附带犯罪 …99
4．7 小结 …103
讨论题 …104
推荐读物 …104
网络资源 …104
参考文献 …105
第5 章 身份盗窃与身份欺诈 …108
5．1 引言 …108
5．2 身份盗窃/欺诈的分类 …109
5．2．1 身份假冒 …110
5．2．2 就业和/或边境入境盗窃 …112
5．2．3 犯罪记录身份盗窃/欺诈 …113
5．2．4 虚拟身份盗窃/欺诈 …113
5．2．5 信贷身份盗窃/欺诈 …114
5．2．6 受害者和与受害相关的损失 …117
5．2．7 未来的增长 …118
5．3 身份盗窃的物理方法 …119
5．3．1 邮件盗窃 …119
5．3．2 垃圾箱搜索 …120
5．3．3 计算机盗窃 …121
5．3．4 包操作 …122
5．3．5 儿童身份盗窃 …123
5．3．6 内部人员 …124
5．3．7 虚假或虚拟公司 …124
5．3．8 卡盗读、ATM 操纵和假机器…125
5．4 虚拟方法或通过互联网实施的方法 …125
5．4．1 网络钓鱼 …126
5．4．2 间谍软件与犯罪软件 …128
5．4．3 按键记录器与密码盗窃程序 …128
5．4．4 木马 …130
5．5 利用身份盗窃/欺诈进行的犯罪 …131
5．5．1 保险与贷款欺诈 …131
5．5．2 移民欺诈与边境穿越 …132
5．6 小结与建议 …134
讨论题 …136
推荐读物 …136
网络资源 …136
参考文献 …137
第6 章 恐怖主义与有组织犯罪 …140
6．1 恐怖主义 …140
6．1．1 恐怖主义的定义 …141
6．1．2 根据动机分类 …142
6．1．3 当代恐怖主义的根源 …143
6．1．4 戏剧般的恐怖主义 …144
6．1．5 网络恐怖主义的概念 …144
6．2 网络恐怖活动 …145
6．2．1 宣传、信息传播、招募和筹款 …146
6．2．2 培训 …147
6．2．3 研究与计划 …148
6．2．4 通信 …149
6．2．5 攻击机制 …150
6．3 恐怖主义与犯罪 …154
6．3．1 犯罪活动 …155
6．3．2 对恐怖主义行为的定罪…155
6．3．3 政府的努力 …156
6．3．4 本节小结 …156
6．4 有组织犯罪 …158
6．4．1 有组织犯罪的定义 …158
6．4．2 有组织犯罪与网络犯罪团伙的区别 …162
6．5 有组织犯罪和技术 …164
6．5．1 敲诈勒索 …164
6．5．2 货物抢劫和武装抢劫 …165
6．5．3 诈骗 …165
6．5．4 洗钱 …166
6．5．5 性交易 …167
6．5．6 骗局 …167
6．5．7 赃物买卖 …168
6．5．8 数字盗版和假冒商品 …169
6．5．9 偷渡 …171
6．6 应对当代有组织犯罪 …171
6．7 有组织犯罪与恐怖主义的交集 …172
讨论题 …174
推荐读物 …174
网络资源 …174
参考文献 …175
第7 章 起诉途径与政府努力 …179
7．1 引言 …179
7．2 传统法规 …180
7．3 计算机相关法规的演变 …181
7．3．1 1986 年的《计算机欺诈与滥用法案》 …182
7．3．2 1996 年的《国家基础信息设施保护法案》(NIIPA) …184
7．4 儿童色情作品法规的演变 …184
7．5 身份盗窃和财务隐私法规 …186
7．5．1 1998 年的《防止身份盗用及假冒法》 …186
7．5．2 1999 年的《金融服务现代化法案》 …186
7．5．3 2003 年的《公平准确信用交易法案》 …187
7．5．4 2004 年的《身份盗窃惩罚力度增强法案》 …188
7．5．5 2008 年的《身份盗窃惩罚及赔偿法案》 …188
7．5．6 保护个人信息的其他努力 …189
7．6 联邦政府资助项目与协作 …190
7．7 美国的执法行动与工具 …191
7．7．1 包嗅探器和键盘记录器…192
7．7．2 数据挖掘 …193
7．7．3 协作和专业协会 …196
7．8 国际努力 …198
7．8．1 经合组织(OECD)与欧洲委员会计算机犯罪专家特别委员会 …198
7．8．2 欧洲委员会(CoE)的《网络犯罪公约》 …200
7．9 小结 …202
讨论题 …203
推荐读物 …203
网络资源 …203
参考文献 …203
第8 章 第一修正案在计算机犯罪中的应用 …205
8．1 引言与总则 …205
8．2 通常意义上的淫秽 …206
8．3 传统的正派概念 …206
8．4 新兴法规和儿童对淫秽材料的可获取性 …208
8．5 将儿童色情作品判为非法的传统尝试 …209
8．6 判例法在传统儿童色情法规中的应用 …209
8．6．1 New York v． Ferber 案 …210
8．6．2 Osborne v． Ohio 案 …211
8．7 与技术相关的法规――法庭上的争辩 …212
8．7．1 《儿童色情防治法案》…213
8．7．2 Ashcroft v． Free Speech Coalition 案 …214
8．7．3 《结束当今儿童侵犯的检控补救及其他手段法》(PROTECT) …215
8．7．4 U．S． v． Williams 案 …216
8．8 互联网赌博 …216
8．8．1 2006 年的《非法互联网赌博强制法案》(UIGEA)…217
8．8．2 互联网赌博法规中的判例法 …217
8．8．3 国际合作的缺乏与WTO …218
8．9 将来的问题和小结 …219
讨论题 …220
推荐读物 …220
网络资源 …220
参考文献 …220
第9 章 第四修正案与其他法律问题 …223
9．1 第四修正案 …223
9．1．1 合理根据 …224
9．1．2 合理怀疑 …224
9．2 有证搜查与计算机 …225
9．2．1 特定性 …226
9．2．2 证据扣押 …227
9．2．3 第三方来源 …228
9．2．4 有证搜查使用中的其他问题 …229
9．3 无证搜查 …229
9．3．1 同意搜查 …230
9．3．2 紧急情况和突发状况 …230
9．3．3 逮捕附带搜查 …232
9．3．4 一目了然法则 …232
9．3．5 边境搜查 …233
9．3．6 其他无证搜查 …233
9．4 证据排除法则 …234
9．5 电子监控与隐私权 …235
9．6 私营与公共部门搜查 …236
9．7 将Ortega 原则应用到电子邮件：Simons 案与Monroe 案 …236
9．8 《电子通信隐私法案》与1980 年的《隐私保护法案》 …238
9．8．1 1986 年的《电子通信隐私法案》 …238
9．8．2 ECPA 的三个章节 …238
9．8．3 《隐私保护法案》 …240
9．8．4 ECPA 和PPA 中拦截的定义 …241
9．8．5 《通信协助法律执行法》 …242
9．8．6 对CALEA 的挑战 …243
9．8．7 《窃听法》在电子邮件拦截中的应用――U．S． v． Councilman 案 …243
9．9 《爱国者法案》 …244
9．9．1 总统权力的加强 …245
9．9．2 电子监控与刑事调查 …245
9．9．3 国家安全信函和第四修正案的其他问题 …247
9．10 其他隐私问题 …248
9．10．1 点对点或文件共享 …248
9．10．2 Internet 服务供应商用户记录 …249
9．10．3 网站 …249
9．10．4 移动电话 …249
9．11 其他法律问题 …251
9．11．1 邻近地区 …251
9．11．2 密探技术 …251
9．11．3 量刑指南 …251
9．12 小结 …252
讨论题 …252
推荐读物 …252
网络资源 …253
参考文献 …253
第10 章 计算机取证：技术与需求 …257
10．1 计算机取证――一门新兴学科 …258
10．2 计算机调查中的传统问题 …259
10．2．1 资源不足 …260
10．2．2 部门间缺乏沟通与合作 …260
10．2．3 过分依赖自动化程序和自封的专家 …260
10．2．4 报告欠缺 …261
10．2．5 证据破坏 …261
10．3 磁盘结构与数字证据 …262
10．3．1 磁盘结构与数据存储 …263
10．3．2 分区表 …265
10．3．3 文件系统 …266
10．3．4 固件――操作指令 …267
10．3．5 数据完整性 …269
10．4 推动计算机取证能力的发展 …269
10．5 最低空间需求 …271
10．6 最低硬件需求 …272
10．7 最低软件需求 …275
10．7．1 数据保存、复制和验证工具 …275
10．7．2 数据恢复/提取工具 …277
10．7．3 数据分析软件 …280
10．7．4 报告软件 …283
10．7．5 其他软件 …283
10．8 部分流行取证软件 …287
10．8．1 Guidance Software 公司 …287
10．8．2 Access Data 公司 …288
10．8．3 其他取证工具 …289
10．9 小结 …290
讨论题 …291
推荐读物 …291
网络资源 …291
参考文献 …292

第11 章 计算机相关证据的搜查与扣押 …294
11．1 数字证据查找方面的传统问题 …294
11．2 搜查前准备 …295
11．2．1 搜查令的准备与申请 …297
11．2．2 计划制定与人员召集 …300
11．2．3 工具包的准备 …302
11．2．4 传统设备 …303
11．2．5 计算机相关设备与材料 …304
11．3 现场活动 …305
11．3．1 敲门、告知与记录 …306
11．3．2 犯罪现场保护 …306
11．3．3 确定是否需要其他协助 …307
11．3．4 现场处理 …307
11．3．5 查找证据 …312
11．3．6 证据扣押与记录 …314
11．3．7 装袋与贴标 …316
11．3．8 询问证人 …318
11．3．9 离开现场并将证据运到实验室 …319
11．4 小结 …320
讨论题 …320
推荐读物 …320
网络资源 …321
参考文献 …321
第12 章 证据处理与报告准备 …322
12．1 数据分析方面 …328
12．1．1 建立干净的取证环境 …329
12．1．2 确保分析工具的合法性与功能 …330
12．1．3 物理检查 …330
12．1．4 映像创建与验证 …330
12．1．5 使用跳线清除CMOS 密码 …332
12．1．6 芯片短路 …332
12．1．7 取出电池 …332
12．1．8 密码恢复 …333
12．1．9 映像验证 …334
12．1．10 逻辑检查 …334
12．1．11 文件恢复 …335
12．1．12 文件列表 …336
12．1．13 检查未分配空间中的数据残留 …337
12．1．14 文件解锁 …337
12．1．15 用户数据文件检查 …338

12．1．16 证据的输出 …339
12．1．17 对可执行程序的检查 …339
12．1．18 互联网活动证据 …340
12．2 非Windows 操作系统 …343
12．2．1 Macintosh 操作系统 …343
12．2．2 Linux/UNIX 操作系统 …344
12．3 智能手机与GPS 取证 …345
12．3．1 智能手机 …345
12．3．2 流行产品举例 …346
12．3．3 导航系统 …347
12．4 报告准备与最终文档 …348
12．5 小结 …349
讨论题 …349
推荐读物 …349
网络资源 …350
参考文献 …350
第13 章 结论与将来的问题 …352
13．1 传统问题与建议 …352
13．1．1 制定与技术无关的法律 …353
13．1．2 建立Internet 用户问责机制 …353
13．1．3 提高公众认识与研究能力 …353
13．1．4 增加跨部门与部门内合作 …354
13．1．5 加强调查机构与私营企业之间的合作关系 …354
13．1．6 加强国际合作 …355
13．1．7 资格认证或专业技术的标准化 …355
13．1．8 其他 …356
13．2 其他Internet 犯罪方法 …356
13．3 未来趋势与新的关注点 …359
13．3．1 无线通信 …359
13．3．2 数据隐藏：远程存储、加密等 …360
13．3．3 对行为准则与虚拟色情的管控规定 …361
13．3．4 数据挖掘与互操作性的增强 …362
13．4 小结 …363
讨论题 …364
网络资源 …364
参考文献 …364
参考文献 …365

　　序

　　“向邻居看齐。”许多年轻读者可能从来没有听过这个说法。它通常指与邻居保持相同的社会和物质水平。但在这里，可能意味着计算机取证分析师和专家们不断试图跟上计算机和我们所有的电子产品技术的发展。在早先的出版物中，Britz 博士提出了计算机犯罪和计算机取证调查技术的基础教育，她再次将其涵盖到本书中。虽然，其中的一些技巧和准则现在看起来有些过时，但是，缺乏计算机及计算机相关的“智能”设备(手机、GPS，演变成“电脑”的智能手机等)如何工作的基本知识，研究者将会被拒之门外。Britz博士的计算机取证技术和历史章节向新用户介绍所有相关信息，并向所有不同水平用户阐明标准化技术。这样的说明只是众多原因之一，本书中设置了标准。

　　文中包含有关网络和计算机调查适用法律的全面讨论。当我们“在云中”时，必须考虑法律和司法辖区，但是网络犯罪并不关心其中的任何一个。调查人员必须具备资料，以便进行适当的调查，本科生必须吸收基础知识，这样的学术研究可能会持续下去。本书以清晰、简洁的方式提供这样的信息，适当介绍了(美国)州和联邦立法、第一和第四修正案以及国际努力情况。

　　除了法律，本书给我们带来最新的信息技术和实践，这是调查人员必须了解和掌握的，以便开展高科技调查和分析。如果计算机专家不紧跟技术发展，他们将在数月之内、而不是几年后被甩下。试想这么短的时间内，所有的智能设备变得如此丰富。本书帮助分析师和调查人员达到与技术发展曲线保持同步的速度。此外，它提供了一个可供领域内新人理解的框架。