| 摘要 | 第1-9页 |
| ABSTRACT | 第9-11页 |
| 第1章 绪论 | 第11-17页 |
| ·计算机取证的发展现状 | 第12-13页 |
| ·计算机在线取证工具的介绍 | 第13-16页 |
| ·Incident Response Collection Report | 第14页 |
| ·First responders evidence disk | 第14页 |
| ·Windows Forensics Toolchest | 第14-15页 |
| ·EnCase | 第15-16页 |
| ·计算机在线取证工具测试的重要性 | 第16-17页 |
| 第2章 Rootkit 木马技术 | 第17-23页 |
| ·Windows 内核 | 第17-18页 |
| ·Rootkit 隐藏技术 | 第18-23页 |
| ·更改程序的执行路径 | 第18-21页 |
| ·DKOM 方法 | 第21-23页 |
| 第3章 计算机在线取证调查的流程 | 第23-27页 |
| ·计算机在线取证调查的原则 | 第23-24页 |
| ·计算机在线取证调查的良好习惯 | 第24页 |
| ·计算机在线取证的一般流程 | 第24-27页 |
| 第4章 测试工具的设计和开发 | 第27-41页 |
| ·基于KPCR 的内存镜像分析工具的设计和开发 | 第27-34页 |
| ·物理内存镜像分析的现状 | 第27-28页 |
| ·基于字符串查找的内存分析方法的缺点 | 第28页 |
| ·基于KPCR 的内存分析工具的设计和开发 | 第28-34页 |
| ·硬盘搜索工具的开发 | 第34-41页 |
| ·FAT32 和NTFS 文件系统的主要数据结构 | 第34-37页 |
| ·硬盘字符串搜索工具的设计和开发 | 第37-41页 |
| 第5章 计算机在线取证工具的测试和分析 | 第41-60页 |
| ·计算机在线取证工具的测试指标 | 第41-42页 |
| ·测试平台的搭建 | 第42-43页 |
| ·测试中使用的Rootkit 木马 | 第43-44页 |
| ·Rootkit 种类和兼容性问题 | 第43-44页 |
| ·Rootkit 的安装 | 第44页 |
| ·测试过程和结果 | 第44-56页 |
| ·EnCase 硬盘字符串搜索的正确性测试 | 第56-60页 |
| 第6章 测试结果分析 | 第60-67页 |
| ·测试结论 | 第60-61页 |
| ·测试结果分析 | 第61-67页 |
| ·Rootkit 对取证结果正确性的影响分析 | 第61-64页 |
| ·取证工具对内存影响的分析 | 第64-65页 |
| ·其它取证结果的分析 | 第65-66页 |
| ·一种计算机在线取证的新思路 | 第66-67页 |
| 第7章 总结 | 第67-68页 |
| 参考文献 | 第68-72页 |
| 致谢 | 第72-73页 |
| 在学期间主要科研成果 | 第73页 |
| 一、发表学术论文 | 第73页 |
| 二、其它科研成果 | 第73页 |
