读书笔记2（第二章）

2.1 计算机基础知识

现代计算机主要采用冯·诺依曼计算机理论，即采用二进制形式表示数据和指令。计算机系统由运算器，存储
器，控制器，输入设备和输出设备五大部分组成。

2.2 计算机硬件知识

计算机硬件系统主要有计算器，控制器，存储器和I/O控制系统等功能部件组成，其中取证最为关注的是各种存储介质。存储器分为内存和外存两种。

2.3 存储介质基础知识

2.3.1 机械硬盘

硬盘有机械硬盘(HDD)和固态硬盘(SSD)之分。机械硬盘即是传统普通硬盘，主要由：盘片，磁头，盘片转轴及控制电机，磁头控制器，数据转换器，接口，缓存等几个部分组成。
磁头可沿盘片的半径方向运动，加上盘片每分钟几千转的高速旋转，磁头就可以定位在盘片的指定位置上进行数据的读写操作。信息通过离磁性表面很近的磁头，由电磁流来改变极性方式被电磁流写到磁盘上，信息可以通过相反的方式读取。硬盘作为精密设备，尘埃是其大敌，所以进入硬盘的空气必须过滤。

2.3.2 闪存

是一种电子式可清除程序化只读存储器的形式，允许在操作中被多次擦或写的存储器。闪存是一种特殊的、以宏块抹写的EPROM，因此闪存的优势在于写入大量数据时的高速度。早期的闪存进行一次抹除，就会清除掉整颗芯片上的数据。闪存存储介质主要有u盘，SD卡，XD卡，记忆棒，固态硬盘。

2.3.3 存储器指标

2.3.3.1 存储器容量
越大越好
2.3.3.2 数据传输率
越高越好
2.3.3.3 数据接口
包括IDE、SCCI、serialATA、SAS、USB

2.4 网络基础知识

2.4.1 网络的分类

根据作用范围分类： 广域网，城域网，局域网
根据物理布局分类的拓扑结构：总线结构、星型结构和环状结构

2.4.2 网络体系结构

2.4.2.1 OSI参考模型
OSI参考模型：该体系结构标准定义了网络互连的七层框架（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）
2.4.2.2 TCP/IP协议
TCP/IP传输协议：应用层、传输层、网络层和数据链路层。

2.4.3网络协议

2.4.3.1 TCP协议
通信双方在通信前会进行三次握手预先建立一条完整的连接，通信双方只会通过此连接传递信息
2.4.3.2 UDP协议
无连接的不可靠数据传输服务，不会对数据进行分组，封装和排序，无法确保数据是否完整到达目的端。
2.4.3.3 IP协议
IP地址是IP协议实现其功能的一个重要因素。
2.4.3.4 HTTP协议
超文本传输协议

2.5操作系统

2.5.1主要操作系统简介

2.5.1.1 Windows
2.2.1.2 Mac OS
2.5.1.3 UNIXLinux
2.5.1.4 Android
2.5.1.5 iOS
2.5.1.6 Windows Phone

2.6数据组织

2.6.1数据组织的常识

以常用的硬盘为例
2.6.1.1低级格式化
低级格式化就是将磁盘内容重新清空，恢复出厂时的状态，划分出的柱面和磁道，再将磁道划分为若干个扇区，每个扇区又划分出标识部分ID、间隔区GAP和数据区DATA等。低级格式化是高级格式化之前的一件工作，它不仅能在DOS环境来完成，也能在Windows NT系统下完成。低级格式化只能针对一块硬盘而不能支持单独的某一个分区。每块硬盘在出厂时，已由硬盘生产商进行低级格式化，因此通常使用者无需再进行低级格式化操作。
2.6.1.2分区
便于硬盘的规划和文件管理，通常要进行逻辑分区
2.6.1.3高级格式化
高级格式化，又称逻辑格式化，它是指根据用户选定的文件系统（如FAT12、FAT16、FAT32、NTFS、EXT2、EXT3等），在磁盘的特定区域写入特定数据，以达到初始化磁盘或磁盘分区、清除原磁盘或磁盘分区中所有文件的一个操作。
高级格式化包括对主引导记录中分区表相应区域的重写、根据用户选定的文件系统，在分区中划出一片用于存放文件分配表、目录表等用于文件管理的磁盘空间，以便用户使用该分区管理文件。
2.6.1.4松弛区
可能包含了先前文件遗留下来的信息，可能是有用的证据。
2.6.1.5未分配空间
可能有重要数据，通过特定技术可还原硬盘原有分区乃至所有未被覆盖信息。

2.6.2分区结构

2.6.3文件系统

硬盘上的数据都是以文件的形式进行储存的。
2.6.3.1FAT文件系统
DOS/Windows系列操作系统中使用的一种文件系统的总称。
2.6.3.2NTFS文件系统
随着WIndows NT操作系统的诞生而产生的文件系统。

2.7数制

2.7.1数制常识

2.7.1.1数值的基本概念
（1）数码：十进制有十个数码：0、1、2、3、4、5、6、7、8、9
（2）基数：十进制基数为10
（3）位权：如十进制的137：1的位权就是100，3的位权就是10，7的位权就是1
其他进制以此类推
2.7.1.2常见的进制
如二进制，十进制，十六进制等。

2.7.2数制之间的转换

略

2.8数据的存储单位

数据在计算机中的存储，都是以二进制为基础的。存储单位有比特、字节、字、字长、存储单元、地址等。

2.9数据的获取

2.9.1数据获取

最好直接镜像

2.9.2数字校验

用来确保数据的真实性和有效性，MD5、SHA、CRC是目前最常用的哈希算法。
2.9.2.1数据的固定
计算哈希值，一旦内容被改变，其哈希值必然改变。
2.9.2.2哈希比对
就是对比哈希值。

2.10文件过滤

（1）基于文件拓展名的过滤
（2）基于关键词和通配符的过滤
（3）基于哈希值的文件过滤

2.11数据搜索

2.11.1字节顺序

字节顺序是指占内存多于一个字节类型的数据在内存中的存放顺序，通常有小端、大端两种字节顺序。小端字节序指低字节数据存放在内存低地址处，高字节数据存放在内存高地址处；大端字节序是高字节数据存放在低地址处，低字节数据存放在高地址处。

2.11.2编码与解码

2.11.2.1编码与解码的概念
（1）字符
（2）字符集
（3）字符编码
2.11.2.2常用编码
（1）ASCII字符集
（2）Unicode编码
（3）url编码

2.11.3关键词搜索

2.11.3.1字符串匹配
2.11.3.2正则表达式
正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。一些常用的正则表达式

https://www.cnblogs.com/dreamingbaobei/p/9717234.html

2.12数据恢复原理

数据恢复技术分为逻辑恢复技术和物理修复技术，其中物理修复技术又分为固件层修复和物理层修复两种。

2.12.1逻辑数据恢复原理

2.12.1.1FAT文件系统
FAT文件删除时，文件或文件夹所对应目录项的第一个字节会被标记为“已删除对象”，然后该目录项不再显示给用户。FAT表中所记录的分配给该文件或文件夹的所有簇的状态值全部改变为“未分配”。但是DATA区中该文件或文件夹的实际数据并未发生改变。
2.12.1.2NTFS文件系统
与FAT文件相同，只要原文件数据所在的簇还为被分配给新的文件，对象的实际数据就仍保留在硬盘上原来的储存空间里，仍是可恢复的，直到这些簇被新的文件或文件夹占用。

2.12.2物理修复原理

2.12.2.1固件修复
对固件进行重写或者修改，来恢复其功能。
2.12.2.2物理故障修复
就是修硬盘
2.12.2.3芯片级修复
闪存级别的修复，如u盘就修u盘，修不了就将其闪存芯片吹焊下来，直接读取芯片数据，将内容解码。

2.13数据分析

2.13.1数字时间原理

2.13.1.1时间的基本知识
略
2.13.1.2时间的定义
略

2.13.2文件挖掘

一个从未知的二进制数据中获取有效的可理解的数据的过程。

2.13.3网络数据分析

2.13.3.1本机嗅探
直接分析本机网卡上的网络传输数据。
2.13.3.2网络嗅探
监听其他主机。

2.14密码破解

就是密码学的范畴了。

2.14.1密码学基础

2.14.1.1密码学分类
分为密码编码学和密码分析学
2.14.1.2术语
加密、解密、明文、密钥、公钥、私钥
2.14.1.2密码破解的基础理论
密码破解的基础理论就是要了解各种密码的加密算法，像DES、RSA、MD5、SHA1、ASE等加密算法都是公开的，有些就连密钥也会公开，得益于计算机的穷举能力，有一些密码的破解已经成为可能。

2.14.2解密原理与方法

密码加密主要用于登录口令和文件加密。
解密方法有暴力破解，字典，漏洞，社会工程学攻击等