《网络取证（从数据到电子证据）》以一起侵犯知识产权案的调查取证过程为线索，详细地介绍了将原始的二进制数据一步一步转化成证据的原理和方法。作者阿尔伯特·J.马塞拉、弗雷德里克·吉罗索还以时间的不一致性为例，说明网络取证调查人员除需要具备扎实的理论基础外，在调查中还应具有怀疑和探究精神，只有这样，才能成功应对庭审质证。同时，作者在书中还提出了一种明智的取证调查策略，可以作为网络取证调查人员进行取证调查时的行动参考。

第1章 数据基础

 基数2的编码系统：二进制和字符编码

 两态通信

 电和磁

 构建块：数据的来源

 拓展数据构建块

 超越基数2

 美国信息交换标准码

 字符编码：处理文本数据的基础

 扩展ASCII编码和Unicode编码

第2章 二进制到十进制

 ASCII

 作为计算器的计算机

 为什么进制转换在取证中是十分重要的？

 数据表示

 二进制到十进制的转换

 进制转换分析

 取证案例：数学的应用

 十进制到二进制：重新审查

第3章 十六进制的力量

 十六进制是什么？

 位、字节与半字节

 半字节和比特

 二进制到十六进制的转换

 二进制（十六进制）编辑器

 干草堆里的针

第4章 文件

 文件、文件结构和文件格式

 文件扩展名

 更改文件扩展名以逃避调查

 文件和十六进制编辑器

 文件签名

 ASCII不是文本或十六进制

 文件签名的价值

 复杂文件：复合、压缩和加密文件

 为什么复合文件会存在？

 压缩文件

 取证和加密文件

 密码文件结构

第5章 引导过程和主引导记录（MBR）

 引导启动过程

 引导过程的主要功能

 取证镜像和证据收集

 BIOS

 BIOS小结

 BIOS设置实用程序

 主引导记录（MBR）

 分区表

 硬盘分区

第6章 字节序与分区表

 字节序的种类

 字节序

 字节序的词源

 MBR中的分区表

第7章 卷与分区

 技术回顾

 柱面、磁头、扇区和逻辑块寻址

 卷与分区

第8章 FAT12／16文件系统

 技术回顾

 文件系统

 元数据

 文件分配表（FAT）文件系统

 松弛空间

 十六进制复习笔记

 目录项

 FAT

 簇大小如何确定

 扩展簇大小

 目录项和FAT

 FAT文件系统的限制

 目录项的限制

第9章 NTFS及其他文件系统

 新技术文件系统

 分区引导记录

 MFT

 NTFS文件系统小结

 exFAT

 其他文件系统概念

第10章 网络取证：明智的调查策略

 取证过程

 明智的取证调查策略

 时间

第11章 时间取证

 时间是什么？

 网络时间协议

 时间戳

 时间追踪

 时钟模型和时间边界：时间取证基础

 MS-DOS的32位时间戳：日期和时间

 日期确定

 时间确定

 时间的不精确性

第12章 调查案件结束

 明智的取证调查策略

 步骤五：调查（续）

 步骤六：通报发现

 一份优秀的网络取证报告的特征

 报告内容

 步骤七：保留和管理证据

 步骤八：调查总结和结论

 调查人员作为专家证人的任务

第13章 网络取证过程总结

 二进制

 二进制一十进制——ASCII码

 数据与编码

 十六进制

 从原始数据到文件

 存取文件

 字节序

 分区

 文件系统

 时间

 调查过程

附录A ABC公司的取证调查

附录B 术语表

致谢