本书是一本电子数据取证的入门书籍，系统介绍如何应用Python编程语言进行电子数据取证软件开发。第1章和第2章介绍Python基本知识和如何建立一个取证开发环境。第3章到第11章针对电子数字取证的各种需求，详细阐述指导性的解决方法，涵盖哈希计算、关键字搜索、元数据提取、网络分析、自然语言处理以及利用云的多进程等专题，并提供大量的源代码实例供读者学习、改进并应用到实际案例，第12章回顾了全书内容，并就未来的发展进行了探讨。 　　Chet HosmerWetStone技术公司的联合创始人，30年来一直致力于研发先进的软件解决方案，推出了许多获奖的产品。张俊，男，博士研究生，湖北警官学院信息技术系副教授，主讲《密码学（双语）》和《计算机取证》。湖北三真司法鉴定中心计算机取证国家司法鉴定人。研究近500个涉及计算机和网络犯罪的案例，参与近200个案件的犯罪调查，多次作为专家证人出庭。前公安机关网络安全保卫大队大队长。现湖北警官学院电子数据取证重点实验室和香港大学联合实验室研究员。湖北省信息网络安全协会常务理事。公安部国际合作局中南亚国家警察培训计划讲座专家，湖北省公安厅网络犯罪调查专家组成员和网络警察职业训练计划教官，公安部第一研究所计算机网络犯罪技术研修班讲座专家。作为主持人或主要研究人员获得国家863项目和多项公安部、湖北省公安厅和湖北省教育厅的研究课题/项目资助。在计算机科学，警察技术，网络信息安全，武汉大学学报（英文版），湖北警官学院学报等发表论文多篇。 第1章　为何使用Python进行取证11.1　本章简介11.2　网络空间犯罪调查的挑战11.3　Python编程环境如何有助于应对这些挑战31.3.1　Python的全球支持41.3.2　开源和平台独立性51.3.3　生命周期定位51.3.4　入门的成本和限制51.4　Python与多伯特（Daubert）证据标准51.5　本书的组织结构61.6　章节回顾71.7　问题小结71.8　补充资料7第2章　建立一个Python取证环境82.1　本章简介82.2　搭建一个Python取证环境82.3　正确的环境92.4　选择一个Python版本102.5　在Windows上安装Python102.6　Python包和模块152.6.1　Python标准库152.7　标准库包含什么172.7.1　内建函数172.7.2　hex()和bin()172.7.3　range()182.7.4　其他的内建函数192.7.5　内建常量202.7.6　内建类型212.7.7　内建异常222.7.8　文件和目录访问222.7.9　数据压缩和归档232.7.10?文件格式232.7.11?加密服务232.7.12?操作系统服务232.7.13?标准库小结242.8　第三方包和模块242.8.1　自然语言工具包（NLTK）242.8.2　Twisted matrix （TWISTED）252.9　集成开发环境252.9.1　有哪些选择252.9.2　运行于Ubuntu Linux上的Python302.10?移动设备上的Python322.10.1　iOS中的Python应用322.10.2　Windows 8 Phone342.11　虚拟机352.12　章节回顾352.13　问题小结352.14　接下来讲什么362.15　补充资料36第3章　第一个Python取证应用程序373.1　本章简介373.2　命名惯例和其他考虑373.2.1　常量383.2.2　本地变量名383.2.3　全局变量名383.2.4　函数名383.2.5　对象名383.2.6　模块383.2.7　类名383.3　第一个应用程序“单向文件系统哈希”383.3.1　背景393.3.2　基本需求403.3.3　设计中的考虑413.3.4　程序结构423.4　代码遍历443.4.1　检查Main-代码遍历443.4.2　ParseCommandLine(?)463.4.3　ValidatingDirectoryWritable483.4.4　WalkPath493.4.5　HashFile503.4.6　CSVWriter533.4.7　pfish.py完整代码清单533.4.8　_pfish.py完整代码清单543.5　结果展示613.6　章节回顾653.7　问题小结653.8　接下来讲什么663.9　补充资料66第4章　使用Python进行取证搜索和索引674.1　本章简介674.2　关键字上下文搜索684.2.1　如何用Python轻松完成694.2.2　基本需求704.2.3　设计考虑714.3　代码遍历734.3.1　分析Main——代码遍历734.3.2　分析_p-search函数——代码遍历744.3.3　分析ParseCommandLine 744.3.4　分析ValidateFileRead(theFile)764.3.5　分析SearchWords函数764.4　结果展示804.5　索引834.6　编写isWordProbable844.7　p-search完整代码清单864.7.1　p-search.py864.7.2　_p-search.py874.8　章节回顾934.9　问题小结934.10?补充资料93第5章　证据提取（JPEG和TIFF）945.1　本章简介945.2　Python图像库（PIL）955.3　代码遍历1055.3.1　Main程序1055.3.2　logging类1055.3.3　cvs处理器1055.3.4　命令行解析器1065.3.5　EXIF和GPS处理器1065.3.6　检查代码1065.3.7　完整代码清单1145.3.8　程序的执行1215.4　章节回顾1235.5　问题小结1245.6　补充资料124第6章　时间取证1256.1　本章简介1256.2　给这个环节添加时间1266.3　时间模块1276.4　网络时间协议1326.5　获得和安装ntp库ntplib1326.6　全世界的NTP服务器1346.7　NTP客户端创建脚本1356.8　章节回顾1376.9　问题小结1376.10?补充资料137第7章　在电子取证中使用自然语言工具1387.1　什么是自然语言处理1387.1.1　基于对话的系统1387.1.2　语料库1397.2　安装自然语言工具包和相关的库1397.3　使用语料库1407.4　用NLTK进行实验1407.5　从因特网上创建语料库1457.6　NLTKQuery应用程序1467.6.1　NLTKQuery.py1467.6.2　_classNLTKQuery.py1487.6.3　_NLTKQuery.py1507.6.4　NLTKQuery例子的执行1507.6.5　NLTK跟踪执行1517.7　章节回顾1537.8　问题小结1537.9　补充资料153第8章　网络取证：第1部分1548.1　网络调查基础1548.1.1　什么是套接字1548.1.2　最简单使用套接字的网络客户端