50-《数据恢复与取证综合设计实验》-教学大纲-2015

《数据恢复与取证综合设计实验》课程教学大纲

课程英文名称：Comprehensive Experiment II of Data Recovery and Evidence Collection

课程代码： L0611015 学 时 数 ：24 学 分 数：1.5

课程类型： 必修课程

适用学科专业： 信息安全

先修课程：系统与数据恢复

执 笔 者：杨挺 编写日期： 2015.8.25 审 核 人： 周世杰

一、课程简介

数据恢复与电子证据取证技术是信息安全领域的重要组成部分。在国家安全、消费者保护、犯罪调查方面起着重要作用。本实验课程涉及了多方面的理论与实践学习，如数据恢复技术、电子证据取证和鉴定等技术。本课程是信息安全专业的必修课程。

Data recovery and electronic evidence forensics technology is an important component of information security. It play an important role in national security, protection of consumers and crime investigations . This course covers theoretical and practical aspects , such as data recovery technology, electronic evidence and forensic identification technologies. This course is a compulsory courses of Information Security.

二、课程目标

实验课程目标是使学生掌握当前主流操作系统环境下的数据恢复与电子证据的获取的基本技术。初步从多角度学习取证和鉴定的基本技术、程序和概念。建立对以科学验证的方式处理电子证据的能力。掌握识别、保存、传输、分析和鉴证电子证据的基本原理、技术手段和司法要求。

Objective of this experimental course is to enable students to master data recover and electronic evidence collection technology in the current mainstream operating system environment. Basic techniques, procedures and concepts of forensics and identification will be studied in this couse by various angles. Establish the ability to obtain electronic evidence scientifically. Students will master identification, preservation, transmission, analysis techniques, basic principles of forensic examination of electronic evidence, technical means and judicial requirements.

三、课程内容安排和要求

（一）教学内容、要求及教学方法

第一章 电子证据与取证综述 （4学时）

教学内容：了解常用文件系统结构和存储原理。了解电子取证模型、步骤、技术和相关司法要求。

教学要求：了解课程的基本架构和主要内容。理解数据存储和取证过程。了解硬件体系结构、计算机操作系统、数据获取、司法等多方面的想换知识。

教学方法：通过介绍数据存储和取证的发展历史、相关数据取证实例、分析出发讲述课程的意义和概念。

第二章 数据恢复与取证技术基础实验（4学时）

教学内容：学习磁盘硬盘基础知识，Winhax工具使用，完成硬盘复制，建立硬盘镜像。

教学要求：理解和掌握存储硬件、软件功能，了解工具的基本使用方法，按规定程序的要求完成和记录硬盘复制过程信息。

教学方法：主要通过实际操作完成复制过程，讲述操作步骤、按要求记录步骤信息。

第三章 获取Window系统的隐含信息实验（8学时）

教学内容：学生了解Windows文件存储方式，能够辨析文件操作时间节点，完成实验提供的数据分析。涉及的知识包括：FAT文件目录结构分析、NTFS MFT结构分析，隐含信息挖掘方法和相关分析工具的使用。

教学要求：掌握文件存储原理，掌握分析方法，具备文件处理的时间信息辨别能力。

教学方法：通过对隐含数据的分析，帮助学生掌握磁盘数据读取技术。

第四章 服务器取证基本流程实验（8学时）

教学内容：了解Unix日志，文件系统基本原理和常用分析步骤。学习账号分析、文件恢复、Max时间排序、日志信息分析等关键技术。

教学要求：了解文件存储、数据恢复、日志结构的基本原理，掌握基本分析流程、获取证据技术方法和基本工具的使用。

教学方法：通过案例，让学生理解取证过程的各种司法要求和取证思路。

（二）自学内容和要求

无

（三）实践性教学环节和要求

课程中每章内容均为实践性教学，需完成以下实验：

试验1：使用汇编程序获取MBS、DBS、FAT、FDT信息，生成、删除文件，使用Winhex恢复文件。

试验2：使用fdisk破坏磁盘分区，使用DiskGen恢复磁盘分区。该试验将帮助学生掌握使用软件进行磁盘的分区恢复技术。

试验3：使用WinHex进行NTFS的文件恢复练习。

实验4：硬盘开盘试验，掌握温切斯特硬盘结构，学习分解硬盘，恢复硬盘，了解开盘数据修复技术。

实验5：创建磁盘镜像实验，了解取证程序。

实验6：获取文件创建、删除、修改时间。

实验7：获取用户账号实验，分析登陆时间。

实验8：获取系统日志实验，了解取证技术与程序。

四、考核方式

课内实验（80％）+ 实验考试（20％）

五、建议教材及参考资料

（一）教材：

无指定教材，使用数据恢复与取证综合实验指导自编讲义。

（二）参考资料：

1. 计算机取证与司法鉴定(第2版)（21世纪高等学校规划教材·计算机应用），麦永浩，清华大学出版社，2014年

2. 信息犯罪与计算机取证，王永全，齐曼 等，北京大学出版社，2010年

3. 数据恢复技术，戴士剑，电子工业出版社，2010