前言


在互联网环境下，数据(data)既是客观存在的事实，也是用户的观察结果，更体现了客观事件之间的逻辑关系。在人类进入信息社会的今天，传统人类社会空间与网络信息空间深度融合，数据用来表示客观事物原始素材的这一属性显得更为重要，判断数据的真伪成为辨别事物真实性的一个极其重要的依据。然而，哪里有数据，哪里就存在数据被攻击(如篡改、删除、非授权获取等)的可能。电子数据取证的目的就是采用技术手段，在合法合规的前提下，寻找和还原数据真相的过程。

电子数据取证技术的应用较为广泛，目前涉及网络攻击窃密、反欺诈调查、内部审计、失泄密痕迹发现、恶意网站查处、信用盗窃、网络赌博、经济诈骗等事件或案件。从实现技术看，电子数据取证涉及计算机技术、
网络技术、法律知识、调查或侦查等领域，是一门综合学科，重点需要掌握电子数据取证的常用技术和规范； 从取证范围来看，凡是能够产生、存储和传输电子数据的设备、系统、人员等都是取证的对象； 从取证过程来看，涉及电子数据证据的搜集、发现、固定、提取、分析、检验、记录和展示等环节。为此，本书组织了电子数据取证基础知识、Windows操作系统取证技术、macOS取证技术、UNIX/Linux操作系统取证技术、移动终端取证技术和网络取证技术等章节，系统介绍电子数据取证技术的相关内容。
本书介绍的内容，主要强调技术层面。但在具体实践中，作为电子数据证据的合法性同样需要引起读者的重视： 一是电子数据证据的来源是合法的，即取得电子数据证据的主体是合法的以及取得电子数据证据的程序是合法的，以侵犯他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或取得的电子数据证据(例如，通过非法入侵他人手机，盗窃或抢夺他人计算机，偷拍、偷录等方式取得的电子数据等)，不能作为认定案件事实的依据； 二是电子数据证据呈现的形式是合法的，即当事人提供的证据符合电子数据证据的类型，以及电子数据证据应当提供原始数据或对数据原始性的有效证明(如SHA值)。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及个人信息保护等法律法规的实施，对电子数据取证合法性的认识和重视必须引起读者的注意。
在本书的编写过程中得到许多同事和同行的无私帮助和支持，在项目申请和出版过程中得到了清华大学出版社编辑老师的关心和帮助。奇安信科技集团股份有限公司皮浩、杨卓远、李毅、母东升、王晓明等技术人员参与了本书内容的编写，并提供了大量原始资料。
本书的编写参考了大量的文献资料，尤其是国内外技术专家著作、著名安全企业的技术手册等，因工作疏忽有些未能在参考文献中标明，在此一并表示衷心的感谢。同时，向由于疏漏未能在参考文献中列出的文献作者及网站内容版权所有者表示歉意和感谢。
由于作者水平有限，书中难免有不足之处，敬请读者提出宝贵意见。
作者2022年于南京