前言

在计算机应用领域，数据是指所有输入到计算机并被计算机程序处理的符号的介质和总称，是用于输入计算机进行处理并具有一定意义的数字、字母、符号和模拟量等的通称。为此，可以将“数据”(data)定义为任何以电子或其他方式对“信息”(information)的记录，即数据指专门在计算机中存储和处理的信息。通常情况下，在计算机领域所讲的数据就是电子数据，即电子化的数据。而专门提到的“电子数据”(electronic data)多具有法律语境，具有法律上的证据属性，即电子数据是一类独立的证据种类。

数据是一种非常重要的资产，既然是资产就具有相应的价值，就需要进行保护，就需要考虑其机密性、完整性和可用性。一方面，需要考虑主体对这些数据客体进行操作时的责任，也就是需要对数据客体的操作进行审计，是谁从哪里在什么时间采用什么方式访问了特定的数据; 另一方面，需要考虑主体对数据的操作能力，即哪些用户在什么权限范围内能够操作数据，即用户对数据的可操控性; 还有，当存在两个以上的用户需要对同一个数据进行操作(如“交易”)时，需要保证操作的可确认性，即不可否认性或抗抵赖性。如此等等，都需要用证据来说话，这就是电子数据取证的价值。

作为一门课程或一个学科研究方向，电子数据取证的对象和内容非常宽泛，其知识图谱在随着技术的发展同步迭代。为了便于教学，也便于读者对电子数据取证有一个较为整体的认识，本书结合《电子数据取证技术》一书中所设置的电子数据取证技术概述、电子数据取证的基本规则、电子数据取证基础知识、Windows操作系统取证技术、macOS取证技术、UNIX/Linux操作系统取证技术、移动终端取证技术和网络取证技术8章内容，重新设计了实验实训的章节安排。本书共分为电子数据取证工具、电子数据取证基础实训、Windows操作系统取证实训、智能终端取证实训和网络取证实训共5章内容，并精心设计了29个完整的实训场景。这29个实训场景不但基本涵盖了《电子数据取证技术》8章内容的知识点，而且紧密联系实际，坚持问题导向和能力、兴趣培养，起到引导和举一反三的作用。对于精心设计的29个实训场景，每个场景都具有代表性和具体应用中的指导性，发挥了知识点和操作手册的双重作用。为便于实验实训的开展，每个实训都提供了预备知识、实验目的与条件、实验过程和实验小结等完整的内容。

在本书的编写过程中得到了许多同事和同行的无私帮助和支持。本书为“十三五”江苏省高等学校重点立项教材，在项目申请和出版过程中得到了清华大学出版社编辑老师的关心和帮助，在此深表感谢。

本书的编写参考了大量的文献资料，尤其是国内外技术专家、著名安全企业的技术手册，在此一并表示衷心的感谢！

由于作者水平有限，书中难免有不足之处，敬请读者提出宝贵意见。


作者2022年于南京