| 摘要 | 第1-9页 |
| ABSTRACT | 第9-11页 |
| 第一章 绪论 | 第11-19页 |
| ·研究背景 | 第11-13页 |
| ·国内外相关研究的现状和发展趋势 | 第13-16页 |
| ·论文的研究目的和意义 | 第16-17页 |
| ·论文的主要工作 | 第17页 |
| ·论文的内容安排 | 第17-19页 |
| 第二章 日志取证与数据恢复技术概述 | 第19-35页 |
| ·计算机取证与日志取证研究 | 第19-22页 |
| ·日志取证相关技术和步骤 | 第19-21页 |
| ·日志研究的国内外概况 | 第21-22页 |
| ·日志取证尚存在的困难和问题 | 第22页 |
| ·数据恢复技术概述 | 第22-34页 |
| ·文件数据块的磁盘存储模型介绍 | 第22-25页 |
| ·目前流行的文件雕复方法介绍 | 第25-31页 |
| ·关于日志文件恢复的相关研究成果 | 第31-33页 |
| ·进一步研究的问题 | 第33-34页 |
| ·结论 | 第34-35页 |
| 第三章 基于内容特征的EVT 文件雕复 | 第35-58页 |
| ·日志文件介绍 | 第35-44页 |
| ·日志文件的特点 | 第36-37页 |
| ·Windows NT 系统日志 | 第37-38页 |
| ·日志文件基本文件结构 | 第38-42页 |
| ·日志文件的组织形式 | 第42-43页 |
| ·关于日志记录常见问题的分析 | 第43-44页 |
| ·基于内容特征的EVT 文件雕复 | 第44-54页 |
| ·文件头\文件尾\文件尾偏移验证方法 | 第45-47页 |
| ·文件头\尾间数据重叠发生验证方法 | 第47-49页 |
| ·熵差验证查找分片方法 | 第49-51页 |
| ·文件分片重组验证方法 | 第51-54页 |
| ·实验比较与分析 | 第54-57页 |
| ·实验准备 | 第54-55页 |
| ·实验结果 | 第55-57页 |
| ·结论 | 第57-58页 |
| 第四章 Windows Vista 系统日志文件恢复 | 第58-70页 |
| ·事件日志服务 | 第58-60页 |
| ·UNIX 的Syslog 日志服务 | 第58页 |
| ·Microsoft Windows NT 日志服务 | 第58-59页 |
| ·Micorsoft Windows Vista 日志服务 | 第59-60页 |
| ·Vista 日志文件格式分析 | 第60-65页 |
| ·文件头 | 第60-61页 |
| ·数据块 | 第61-62页 |
| ·日志事件记录 | 第62-63页 |
| ·二进制XML 数据流 | 第63-65页 |
| ·Vista 日志文件恢复与格式转换 | 第65-68页 |
| ·基于文件头/块数目/块验证的文件雕复 | 第65-67页 |
| ·基于Chunk 的块验证/搜索/重组方法 | 第67页 |
| ·单条日志记录的提取方法及二进制XML 流格式解析 | 第67-68页 |
| ·实验比较与分析 | 第68-69页 |
| ·结论 | 第69-70页 |
| 第五章 总结与展望 | 第70-72页 |
| ·本文工作总结 | 第70-71页 |
| ·今后的工作展望 | 第71-72页 |
| 致谢 | 第72-73页 |
| 参考文献 | 第73-78页 |
| 附录 | 第78页 |
