山东大学 网络空间安全 学院
《计算机取证学》课程教学大纲
编写人:王梅 审定人:程斌林
编制时间:2023.6.23
审定时间:2023.8.13
一、
课程基本信息:
课程名称 |
计算机取证学 |
||
英文名称 |
Computer
Forensics |
||
课程编码 |
Sd04630470 |
||
开课单位 |
网络空间安全学院 |
||
课程类别 |
□通识教育必修课程 □通识教育核心课程 □通识教育选修课程 □学科基础平台课程 □专业基础课程 □专业必修课程 þ专业选修课程 |
||
课程性质 |
□必修 þ选修 |
||
学分 |
2 |
学时 |
40 |
适用专业 |
密码科学与技术 |
||
先修课程 |
计算机网络、操作系统 |
||
课程网站 |
|
二、课程描述
(不超过200字,须提供中、英文对照描述)
计算机取证又称电子数据取证,是计算机领域与法律领域的一门交叉科学,通过运用计算机及其相关技术,对计算机犯罪行为进行分析,从而进行证据获取、保存、分析和出示的过程,目的是将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法,在打击计算机和网络犯罪中起着十分关键的作用。本课程的目的是使学生了解计算机取证的技术、流程、工具等,并以实战的方式进行探讨和实践,为我国电子刑侦事业储备高素质专业型人才。
Computer forensics,also named digital forensics,
is an interdisciplinary science in the field of computer and law. Computer
forensics focus on analyzing computer crimes by employing computer-related
techniques, so as to carry out the process of obtaining, preserving, analyzing
and presenting evidence. The purpose of computer forensics is to provide the
traces left on the computer by the criminal as effective litigation evidence to
the court, to bring the criminal suspects to justice. It plays a key role in
the fight against computer and cyber crime. The purpose
of computer forensics course is to make students understand the forensics technology, forensics
process and forensics tools, and to discuss and practice in a practical way, so
as to train and reserve high-quality professional talents for the cause of
electronic criminal investigation in China.
三、课程教学目标和教学要求
【教学目标】
思政培养目标:
帮助学生培养正确的价值取向,理解计算机取证和司法鉴定流程规范的重要性,培养学生敢于担责并勇于担责的工作作风;帮助学生树立以国为荣的自豪感,增强学生的从业信心和爱国热情;引导学生正确看待社会及司法问题,帮助学生培养良好的个人品格和家国情怀,鼓励弘扬公平和正义的社会正能量。
专业培养目标:
《计算机取证学》的课程目标是通过讲授、讨论和实践,使学生了解熟悉存储介质、网络基础、操作系统等相关专业基础知识, 引导学生掌握数据提取与恢复的方法和密码破解技术,了解数字取证的法律规则和标准体系的相关知识。重点掌握电子取证的原则、流程和技术,掌握取证日志分析、移动设备取证、恶意软件分析、多媒体取证的相关技术。具体专业培养目标如下:
1. 使学生掌握电子数据取证的基础知识体系,奠定应用相关知识、原理和方法对案件现场取证的基本能力和思维方法。
2. 使学生掌握电子数据取证相关的法律法规、标准体系、指南等相关内容, 以及电子数据取证主要技术,具备能够熟练应用相关电子数据取证技术的能力。
3. 使学生在电子数据取证操作过程中,了解并熟练掌握电子数据取证的主要原则、流程和工具,能够将所学知识应用于实际取证现场。掌握取证日志分析、移动设备取证、恶意软件分析、多媒体取证等常用现代化取证技术。
【教学要求】根据所授课程教学目标,填写对应支撑的毕业要求(从毕业要求12条中选出2-5条)
毕业要求 |
指标点 |
课程教学目标 |
2.问题分析 |
能够应用数学、自然科学和工程科学的基本原理,准确识别、表达、并通过文献研究分析网络空间安全相关领域的复杂工程问题,以获得有效结论。 |
1. 使学生掌握电子数据取证的基础知识体系,奠定应用相关知识、原理和方法对案件现场取证的基本能力和思维方法。 |
3. 设计/开发解决方案 |
能够应用网络空间基础理论、密码学、网络安全、系统安全、软件安全等专业知识,设计针对网络空间安全及相关领域复杂工程问题的解决方案,设计、开发、实现满足特定需求的软硬件系统、模块,并能够在设计环节中体现较强的创新意识,考虑社会、健康、安全、法律、文化以及环境等因素。 |
2. 具备能够熟练应用相关电子数据取证技术的能力 3.能够将所学知识应用于实际取证现场。掌握取证日志分析、移动设备取证、恶意软件分析、多媒体取证等常用现代化取证技术。 |
6.工程与社会 |
能够基于密码工程领域相关背景知识进行合理分析,评价密码工 程实践和复杂工程问题解决方案对社会、健康、安全、法律以及文化的影响,并理解应承担的社会责任。 |
2. 使学生掌握电子数据取证相关的法律法规、标准体系、指南等相关内容 3. 使学生在电子数据取证操作过程中,了解并熟练掌握电子数据取证的主要原则、流程和工具,能够将所学知识应用于实际取证现场。 |
四、课程教学内容及学时分配
%%%%%%%%%%%% 理论课程
%%%%%%%%%%%%%%
第一章 电子取证概述 (2学时)
【教学目标和要求】 了解信息犯罪的基本情况,明确电子取证的用途;了解电子取证人员的素质要求。
【教学内容】 电子取证基本概念、法律法规、取证目标、证据特点等基本知识。
【教学和学习建议】介绍信息犯罪的危害,鼓励学生搜集有关信息犯罪的资料。
【教学/考核难点重点】电子取证与数据恢复、应急响应、公证、司法鉴定等概念的区别。
【思政结合点】介绍信息犯罪的基本情况以及电子取证的发展、用途,帮助学生培养正确的价值取向,树立以国为荣的自豪感,增强学生的从业信心和爱国热情。
第二章 取证基础知识(10学时)
第一节 计算机系统基础知识(3学时)
【教学目标和要求】熟练掌握计算机基础知识;了解计算机发展历程;掌握计算机工作原理;掌握存储介质的分类及存储原理;掌握数据接口的分类及主要特点。
【教学内容】计算机基础知识、计算机硬件基础、存储介质基础
【教学和学习建议】复习计算机相关基础知识,例如数据存储单位。
【教学/考核难点重点】存储介质的分类以及每种存储介质的存储原理、数据接口的分类及主要特点。
第二节 计算机网络基础知识(3学时)
【教学目标和要求】掌握计算机网络基础概念,能够区分常见的服务器和操作系统,并能够根据场景配置合适的服务器。
【教学内容】计算机网络基本概念及组成、拓扑结构,OSI七层模型和TCP/IP五层模型,常见服务器及操作系统。
【教学和学习建议】复习计算机网络,通过图片、视频、动画等多媒体形式进行学习。
【教学/考核难点重点】计算机网络的基本组成,及常见网络协议。
第三节 数据及取证基础(4学时)
【教学目标和要求】掌握数据组织的基础知识,能够熟练进行不同数制之间的转换,掌握数据取证格式及常用技术。
【教学内容】数据组织、数制、数据获取、文件过滤、数据恢复、数据分析、网络嗅探、密码破解。
【教学和学习建议】复习操作系、密码学等基础知识。
【教学/考核难点重点】数据组织基本概念、分类,以及如何运用工具进行电子数据取证。
第四章 电子数据法律法规 (2学时)
【教学目标和要求】 了解电子数据的法律法规和标准体系。
【教学内容】 电子数据的法律规则;我国关于电子数据的相关立法;电子证据与其他证据的区别;电子数据审查;电子数据取证的标准体系。
【教学和学习建议】鼓励学生通过多种途径搜集电子数据立法相关资料,通过案例分析等方式感受其不同。
【教学/考核难点重点】国内外立法现状、区分电子证据与其他证据。
【课程思政结合点】通过介绍电子数据法律法规和标准体系,引导学生正确看待社会及司法问题,帮助学生培养良好的个人品格和家国情怀,鼓励弘扬公平和正义的社会正能量。
第五章 电子数据取证原则与流程 (4学时)
【教学目标和要求】 掌握电子数据取证的基本原则和电子数据取证的流程。
【教学内容】 电子数据取证基本原则;电子数据取证的流程;典型的电子数据取证流程
【教学和学习建议】建议通过实践掌握电子数据取证的流程。
【教学/考核难点重点】电子取证的基本流程。
【课程思政结合点】通过学习电子数据取证的原则和流程,学生理解计算机取证和司法鉴定流程规范的重要性,培养学生敢于担责并勇于担责的工作作风。
第六章 电子数据取证工具 (2学时)
【教学目标和要求】 了解不同种类的电子数据取证工具,能够根据场景选用合适的工具,掌握并熟练运用不同工具进行电子数据取证。
【教学内容】 取证硬件;取证软件;开源和免费取证软件;电子数据取证工具的未来发展趋势。
【教学和学习建议】建议增强对学生动手能力的培养,通过实验掌握各种取证工具的使用方法。
【教学/考核难点重点】各种开源和免费取证软件的使用。
第七章 Windows取证 (2学时)
【教学目标和要求】掌握对Windows系统的取证技术。
【教学内容】 Windows时间取证、LNK文件、浏览器取证、注册表取证、回收站取证、电子邮件取证、社交应用取证、内存取证、日志取证、反取证。
【教学和学习建议】建议通过实际操作掌握Windows取证技术。
【教学/考核难点重点】Windows取证的实际操作。
第八章 Mac&Linux取证 (2学时)
【教学目标和要求】 掌握对Mac OS和Linux系统的取证技术。
【教学内容】 Mac OS取证;Linux取证;对不同系统取证的区别。
【教学和学习建议】建议通过实际操作掌握Mac OS和Linux取证技术。
【教学/考核难点重点】Mac OS和Linux取证的实际操作。
%%%%%%%%%%%% 实验课程
%%%%%%%%%%%%%%
第一章 电子取证基础技术 (6学时)
【教学目标和要求】 掌握创建案例、计算机存储和处理数据等。
【教学内容】 创建案例;计算机存储和处理数据;电子数据校验。
【教学和学习建议】通过实际操作实验了解电子取证入门基本技术。
【教学/考核难点重点】理解计算机存储和处理原理。
第二章 文件系统和文件签名 (6学时)
【教学目标和要求】 掌握FAT文件系统、NTFS文件系统及文件签名主要原理。
【教学内容】 FAT文件系统检验分析和数据恢复;NTFS文件系统数据恢复;神奇的文件。
【教学和学习建议】通过实际操作掌握不同文件系统取证技术。
【教学/考核难点重点】掌握不同文件系统数据恢复技术。
第三章
分区恢复和移动取证(4学时)
【教学目标和要求】 掌握硬盘分区恢复技术以及GPS和SIM卡取证操作。
【教学内容】 用Winhex恢复硬盘分区;分析GPS设备中存储的信息;分析SIM卡中存储的信息。
【教学和学习建议】通过实际操作实验掌握硬盘恢复和移动取证技术。
【教学/考核难点重点】使用合适工具进行移动取证。
五、考核及成绩评定方式
【考核方式】:包括作业、实验报告、期末考试(笔试、半开卷)
【成绩评定】:作业占20%,实验报告占30%,期末考试占50%
【考试大纲】
考试目的 |
√1.考察学生掌握和应用知识的能力 2.评价教师教学质量 3.分级教学 4.招生 |
|||||||||
考试对象 |
年级:大三 专业:密码科学与技术 |
卷面总分 |
100 |
|||||||
考试方式 |
1.闭卷 2.开卷 3.上机 4.综述 5.论文 6.设计 7.其它( 半开卷 ) |
|||||||||
考试方法 |
√1.笔试 2.口试 3.实际操作 4.其它(
) |
|||||||||
试卷来源 |
1.试题库 2.试卷库 3.校内统一命题 4.校外教师命题 √5.任课教师命题 |
|||||||||
试题难易度 |
1.较容易( 30 )% 2. 中等难度( 55 )%
3.较大难度( 15 )% |
|||||||||
编 题 计 划 |
内 容% |
记忆 |
理解 分析 |
综合 应用 |
提高 扩展 |
合计 |
||||
第一章
电子取证概述 |
5 |
5 |
5 |
|
15 |
|||||
第二章
取证基础知识 |
5 |
5 |
5 |
|
15 |
|||||
第三章 数据及取证基础 |
5 |
5 |
5 |
|
15 |
|||||
第四章 电子数据法律法规 |
|
5 |
5 |
|
10 |
|||||
第五章 电子数据取证原则与流程 |
|
5 |
5 |
|
10 |
|||||
第六章 电子数据取证工具 |
|
|
5 |
|
5 |
|||||
第七章 Windows取证 |
|
5 |
5 |
5 |
15 |
|||||
第八章 Mac&Linux取证 |
|
5 |
5 |
5 |
15 |
|||||
合 计 |
15 |
35 |
40 |
10 |
100 |
|||||
1.微机阅卷
2.流水阅卷 √3.任课教师阅卷 |
|
|
|
|
|
|||||
阅卷方法: |
√1.百分制 2.五级制
3.二级制 |
|||||||||
记分方式: |
√1.百分制 2.五级制
3.二级制 |
|||||||||
|
||||||||||
【实验成绩评定】
编号 |
实验教学目标 |
考查点 |
占比 |
优 |
良 |
中 |
及格 |
不及格 |
1 |
实验1-3:创建案例;计算机存储和处理数据;电子数据校验 |
掌握创建案例、计算机存储和处理数据 |
30% |
1.按时正确完成全部实验工作; 2.按时提交实验报告。 |
1.完成全部实验工作; 2. 按时提交实验报告。 |
1.基本完成实验工作; 2. 按时提交实验报告。 |
1.部分完成实验工作; 2.提交实验报告。 |
未完成实验工作或未提交实验报告。 |
2 |
实验4-6:FAT文件系统检验分析和数据恢复;NTFS文件系统数据恢复;神奇的文件 |
掌握FAT文件系统、NTFS文件系统及文件签名主要原理 |
40% |
1.按时正确完成全部实验工作; 2.按时提交实验报告。 |
1.完成全部实验工作; 2. 按时提交实验报告。 |
1.基本完成实验工作; 2. 按时提交实验报告。 |
1.部分完成实验工作; 2.提交实验报告。 |
未完成实验工作或未提交实验报告。 |
3 |
实验7-9:用Winhex恢复硬盘分区;分析GPS设备中存储的信息;分析SIM卡中存储的信息 |
掌握硬盘分区恢复技术以及GPS和SIM卡取证操作 |
30% |
1.按时正确完成全部实验工作; 2.按时提交实验报告。 |
1.完成全部实验工作; 2. 按时提交实验报告。 |
1.基本完成实验工作; 2. 按时提交实验报告。 |
1.部分完成实验工作; 2.提交实验报告。 |
未完成实验工作或未提交实验报告。 |
【教学目标达成与评价】
课程教学目标 |
支撑依据 |
考查方式与考查点 |
占比 |
目标1. 使学生掌握电子数据取证的基础知识体系,奠定应用相关知识、原理和方法对案件现场取证的基本能力和思维方法。 |
通过课堂讲授和案例讲解等方式,使学生掌握取证的基础知识,综合运用取证知识分析和解决取证问题。 |
测验及期末考试:电子取证定义、存储介质、数据接口、数据组织, |
100% |
目标2. 使学生掌握电子数据取证相关的法律法规、标准体系、指南等相关内容, 以及电子数据取证主要技术,具备能够熟练应用相关电子数据取证技术的能力。 |
通过课堂讲授和案例讲解等方式,使学生了解电子数据相关法律法规,并学会综合使用取证技术 |
测验及期末考试:立法现状、电子证据、电子取证原则与流程 |
100% |
目标3. 使学生在电子数据取证操作过程中,了解并熟练掌握电子数据取证的主要原则、流程和工具,能够将所学知识应用于实际取证现场。掌握取证日志分析、移动设备取证、恶意软件分析、多媒体取证等常用现代化取证技术。 |
通过课堂讲授和案例讲解等方式,使学生学会在不同的场景中综合使用取证技术进行取证工作 |
测验及期末考试:取证工具、Windows取证、Mac OS & Linux取证 |
100% |
六、教材及参考资料
【教材】
书名:电子数据取证
作者:刘浩阳 李锦 刘晓宇
出版社:清华大学出版社
出版时间:2015-11
(原书第2版)
【参考书】
2、计算机取证与司法鉴定(第三版). 麦永浩,邹锦沛,许榕生,戴士剑
3、电子数据取证. [加]林晓东(著);陈晶 郭永健 张俊 何琨 等译.