| 摘要 | 第3-5页 |
| ABSTRACT | 第5-6页 |
| 第一章 绪论 | 第10-16页 |
| 1.1 计算机犯罪与信息安全 | 第10-11页 |
| 1.1.1 计算机犯罪发展及现状 | 第10页 |
| 1.1.2 计算机犯罪的定义及特点 | 第10-11页 |
| 1.2 论文选题背景及意义 | 第11-15页 |
| 1.2.1 计算机取证技术及其现状 | 第11-14页 |
| 1.2.2 计算机取证相关产品及其不足 | 第14-15页 |
| 1.3 本文主要贡献 | 第15页 |
| 1.4 本章小结 | 第15-16页 |
| 第二章 数据恢复技术 | 第16-34页 |
| 2.1 磁盘数据组织方式 | 第16-18页 |
| 2.1.1 硬盘内部结构 | 第16-17页 |
| 2.1.2 硬盘的分区与引导 | 第17-18页 |
| 2.1.3 硬盘的格式化 | 第18页 |
| 2.2 FAT32 文件系统下的数据恢复 | 第18-25页 |
| 2.2.1 FAT32 文件系统解析 | 第18-23页 |
| 2.2.2 FAT32 文件系统下文件删除与恢复 | 第23-24页 |
| 2.2.3 FAT32 文件系统格式化后的数据恢复 | 第24-25页 |
| 2.3 NTFS 文件系统下的数据恢复 | 第25-33页 |
| 2.3.1 NTFS 文件系统解析 | 第25-30页 |
| 2.3.2 NTFS 文件系统下文件删除与恢复 | 第30-31页 |
| 2.3.3 NTFS 文件系统格式化后的数据恢复 | 第31-33页 |
| 2.4 本章小结 | 第33-34页 |
| 第三章 改进的磁盘全文搜索取证技术 | 第34-43页 |
| 3.1 硬盘扇区读写技术 | 第34-35页 |
| 3.2 改进的硬盘扇区快速搜索算法 | 第35-38页 |
| 3.2.1 常用模式匹配算法及其改进 | 第35-37页 |
| 3.2.2 匹配算法比较实验 | 第37-38页 |
| 3.3 字符串编码转换 | 第38-39页 |
| 3.4 硬盘全文搜索取证系统 | 第39-42页 |
| 3.5 本章小结 | 第42-43页 |
| 第四章 硬盘全文搜索取证的典型应用 | 第43-63页 |
| 4.1 电子邮件取证 | 第43-50页 |
| 4.1.1 电子邮件概述 | 第43-46页 |
| 4.1.2 常用邮件软件客户端取证 | 第46-50页 |
| 4.2 打印机脱机文件取证 | 第50-53页 |
| 4.3 USB 大容量存储设备使用痕迹分析 | 第53-61页 |
| 4.3.1 USB 大容量存储设备概述 | 第54-58页 |
| 4.3.2 USB 存储设备使用痕迹分析 | 第58-61页 |
| 4.4 本章小结 | 第61-63页 |
| 第五章 计算机取证模型及其可信度研究 | 第63-72页 |
| 5.1 计算机取证模型概述 | 第63-66页 |
| 5.1.1 基本过程模型 | 第63页 |
| 5.1.2 事件响应过程模型 | 第63-64页 |
| 5.1.3 法律执行过程模型 | 第64页 |
| 5.1.4 过程抽象模型 | 第64页 |
| 5.1.5 综合取证模型 | 第64-65页 |
| 5.1.6 增强计算机取证模型 | 第65页 |
| 5.1.7 其他过程模型 | 第65页 |
| 5.1.8 基于瀑布流的改进过程模型 | 第65-66页 |
| 5.2 计算机取证模型的可信度形式化证明 | 第66-71页 |
| 5.2.1 取证模型可信度定义 | 第66-67页 |
| 5.2.2 可信度相关理论准备 | 第67-68页 |
| 5.2.3 取证过程的形式化抽象 | 第68-69页 |
| 5.2.4 可信度的计算及证明 | 第69-71页 |
| 5.3 本章小结 | 第71-72页 |
| 第六章 全文总结 | 第72-73页 |
| 6.1 课题完成情况 | 第72页 |
| 6.2 下一步工作展望 | 第72-73页 |
| 参考文献 | 第73-76页 |
| 符号与标记(附录1) | 第76-77页 |
| 相关数据结构与代码(附录2) | 第77-83页 |
| 1、磁盘扇区的读取 | 第77-78页 |
| 2、FAT32 分区数据结构 | 第78-79页 |
| 3、NTFS 分区数据结构 | 第79-80页 |
| 4、查找关键字所在扇区 | 第80-81页 |
| 5、SHD 文件结构 | 第81-83页 |
| 致谢 | 第83-84页 |
| 攻读硕士学位期间已发表或已录用的论文 | 第84-87页 |
| 上海交通大学硕士学位论文答辩决议书 | 第87页 |