第一部分:基本思想
前两章我们列出基本框架并介绍本书余下部分的基本思想。用户活动同系统活动的冲突在哪里?计算机架构同实现的冲突在哪里?数据保存了多长时间,为什么?为什么时间的概念如此的重要?第一章"取证与发现的宗旨“是最简单也是最重要的有争议性的一章。在相对较高的层次介绍了挥发度、分层和信任等取证的主要思想。请读者在我们后面的章节中介绍进阶内容之前姑且对一些东西暂时不要怀疑。
第二章“时间机器”以文件系统(MACtimes)、网络流量统计和域名服务等为例介绍了时间线的概念。我们理解时间的来源和存储媒介,并举例说明为什么 我如此强调从主机而不是网络发现的时间线索。同时介绍我们别具一格(out-of-the-box)的思维的第一个例子。
极富经验的读者可能打算略过第一部分,但是我们强烈建议略读一遍,因为我们靠这些概念来引出本书随后的内容。