出版時間:2009-1 出版社:科學(xué)出版社 作者:HarlanCarvey 頁數(shù):222 字?jǐn)?shù):320000
Tag標(biāo)簽:無
前言
自從1991年在美國召開的國際計算機(jī)專家會議上首次提出“計算機(jī)取證(Corn-puter Forensic)”術(shù)語以來,隨著互聯(lián)網(wǎng)的普及和計算機(jī)犯罪案件的增多,計算機(jī)取證一直是信息安全領(lǐng)域中的熱門話題,國際上幾乎每年都要召開以計算機(jī)取證為主題的學(xué)術(shù)會議,用于計算機(jī)取證的技術(shù)工具逐漸發(fā)展成為信息安全產(chǎn)業(yè)的一個特殊種類,甚至很快也有了諸如“國際計算機(jī)證據(jù)組織(IOCE)”之類的“非政府”組織。自然,近年有關(guān)計算機(jī)取證的專業(yè)書籍也出版不少,其中涉及基礎(chǔ)理論、取證技術(shù)和取證工具的專著先后被譯介到國內(nèi),這些工作對國內(nèi)計算機(jī)取證的研究和實踐都起到了十分重要的推動作用。 因而,當(dāng)王智慧先生將他與幾位朋友的譯著《Windows取證分析》的清樣送來之后,我是懷著幾分欣喜,利用兩個周末的余暇認(rèn)真奉讀的。所以如此,一是因為智慧本人一直致力于,也樂于、長于計算機(jī)取證工作,在理論功底和實踐經(jīng)驗上頗有見地并屢建奇功,能人他法眼的書籍自有不凡之處;二是因為對Windows的取證是現(xiàn)實生活中最常見,也最復(fù)雜的一項工作。據(jù)智慧介紹,原書作者Harlan Carvey曾在美國軍方長期從事信息安全工作,有過十多年的取證工作經(jīng)驗,并且有過《Windows取證和事件恢復(fù)》一書面世,頗受業(yè)內(nèi)人士推崇。有著這樣的專業(yè)背景,加上今年歲末難得的晴天暖陽,我的兩個周末是在愉快地閱讀中度過的?! ⊙诰碇畷r,正值滿月初升?;匚侗緯X得有三點特別的感受不得不說:一是知識內(nèi)容上的創(chuàng)新。初看書名,很容易會先人為主地把它看作作者舊作《Windows取證和事件恢復(fù)》的翻版。其實不然,正如作者在前言中聲明的,他不想將此書寫成舊作的續(xù)集,細(xì)讀本書中對開機(jī)取證、注冊表分析的深入解析和在文件分析、內(nèi)存分析、Root-kits分析方面的獨到體會,你會相信作者說到做到了。二是技術(shù)工具上的創(chuàng)意。本書介紹了不少現(xiàn)實可用的取證工具,這些工具能幫助讀者更好地理解和體會作者在書中提出和闡述的概念,而且這些工具并非對Encase之類的商業(yè)產(chǎn)品的簡單羅列,而是精選了不少當(dāng)下熱門的“活的”網(wǎng)上新寵,尤其可喜的是,有的工具就是作者本人的杰作,用自己的看家本領(lǐng)說事,應(yīng)該算是有創(chuàng)意。三是實踐經(jīng)驗上的創(chuàng)見。由于作者在此領(lǐng)域有十多年的工作經(jīng)驗,本書中列舉的實例很多是自身實踐的積累,不少實例是在其他同類書籍中找不到的。例如結(jié)合英國布萊爾政府Word格式文檔的信息泄露案例,作者介紹的與“對象鏈接嵌入技術(shù)(OLE)流”相關(guān)的信息痕跡與恢復(fù)經(jīng)驗,以及反復(fù)強調(diào)的可重復(fù)性和取證數(shù)據(jù)的自動化處理等體會,也都是其他著述鮮有涉獵的。 當(dāng)然,如果要說本書不夠過癮的地方,可能要算第6章“可執(zhí)行文件分析”部分,這本是當(dāng)前惡意軟件(間諜軟件)作惡的重要環(huán)節(jié)。由于涉及逆向工程技術(shù),作者的意見是可以就此另寫一本書,因而分析不深。另外,從理論上講,本書對分布式取證、自動化取證的后處理、數(shù)據(jù)挖掘和包括交換文件、休眠文件等在內(nèi)的內(nèi)存分析等熱點問題尚可再深入一些??紤]到本書專為實踐需要而寫,面面俱到反倒有些苛求和不妥。
內(nèi)容概要
本書的寫作源于實戰(zhàn)的需要,主要關(guān)注Windows取證分析這一技術(shù)領(lǐng)域,主要討論了Windows統(tǒng)開機(jī)和關(guān)機(jī)的不同時刻對證據(jù)數(shù)據(jù)收集和分析的技術(shù)問題,重點闡述了Windows內(nèi)存分析、注冊表分析、文件分析、可執(zhí)行文件分析,以及Rootkits等內(nèi)容。本書不僅為取證分析人員、調(diào)查人員和應(yīng)急響應(yīng)人員提供參考,也可為政府和公司的調(diào)查人員、司法官員及對Windows取證分析感興趣的讀者提供參考和幫助。
作者簡介
Harlan Carvey(CISSP),同時也是《Windows取證和事件恢復(fù)》(Windows Forensics and Incident Recovery)一書的作者。Harlan Carvey是硅谷北部和大都會地區(qū)的計算機(jī)取證與應(yīng)急響應(yīng)顧問,現(xiàn)在他為全美所有地區(qū)的客戶提供緊急事件響應(yīng)和計算機(jī)取證服務(wù)。Harlan的專業(yè)領(lǐng)域
書籍目錄
前言第1章 開機(jī)取證:數(shù)據(jù)收集 引言 開機(jī)取證(Live Response) 諾卡德交換原理 易變信息的次序 何時進(jìn)行開機(jī)取證 收集什么數(shù)據(jù) 系統(tǒng)時間 當(dāng)前登錄用戶 打開的文件 網(wǎng)絡(luò)信息(緩存的NetBIOS名字列表) 網(wǎng)絡(luò)連接 進(jìn)程信息 進(jìn)程到端口的映射 進(jìn)程內(nèi)存 網(wǎng)絡(luò)狀態(tài) 剪貼板內(nèi)容 服務(wù)/驅(qū)動信息 命令行歷史 映射的驅(qū)動器 共享 非易變信息 注冊表設(shè)置 事件日志 設(shè)備和其他信息 有關(guān)怎樣挑選工具 開機(jī)取證方法 本地開機(jī)取證方法 遠(yuǎn)程取證方法 混合方法 小結(jié) 參考資料 快速解決方案 常見問題第2章 開機(jī)取證:數(shù)據(jù)分析 引言 數(shù)據(jù)分析 案例一 案例二 敏捷分析 擴(kuò)大范圍 應(yīng)對 防范 小結(jié) 參考資料 快速解決方案 常見問題第3章 Windows內(nèi)存分析 引言 內(nèi)存分析簡史 獲取物理內(nèi)存鏡像 基于硬件的方案 利用火線接口 崩潰轉(zhuǎn)儲 利用虛擬機(jī) 休眠文件 DD 分析物理內(nèi)存鏡像 進(jìn)程基礎(chǔ) 分析內(nèi)存鏡像 分析進(jìn)程內(nèi)存 提取進(jìn)程可執(zhí)行文件鏡像 內(nèi)存鏡像分析和頁交換文件 根據(jù)內(nèi)存鏡像判斷操作系統(tǒng)類型 分析內(nèi)存池 獲取進(jìn)程內(nèi)存 小結(jié) 參考資料 快速解決方案 常見問題第4章 注冊表分析 引言 注冊表內(nèi)部結(jié)構(gòu) 配置單元文件內(nèi)的注冊表結(jié)構(gòu) 注冊表作為日志文件 監(jiān)視注冊表變化 注冊表分析 系統(tǒng)信息 自動啟動位置 枚舉注冊表白動啟動位置 USB移動存儲設(shè)備 Mounted Dcvices 查找用戶 追蹤用戶活動 Windows XP系統(tǒng)還原點 小結(jié) 光盤內(nèi)容 參考資料 快速解決方案 常見問題第5章 文件分析 引言 事件日志 理解事件 事件日志文件格式 事件日志頭部 事件記錄結(jié)構(gòu) Vista事件日志 IIS 日志 因特網(wǎng)瀏覽器歷史 其他日志文件 回收站 系統(tǒng)還原點 Prefetch文件 快捷方式文件 文件元數(shù)據(jù) Word文檔 PDF文檔 圖像文件 義件特征分析 NTFS分支數(shù)據(jù)流 其他分析方法 小結(jié) 參考資料 快速解決方案 常見問題第6章 可執(zhí)行文件分析 引言 靜態(tài)分析 記錄文件信息 分析可執(zhí)行文件 動態(tài)分析 測試環(huán)境 一次性系統(tǒng) 工具 流稗 小結(jié) 參考資料 快速解決方案 常見問題第7章 Rootkits及其檢測 引言 Rootkits Rootkit檢測 開機(jī)柃測 GMER Helios MS Strider GhostBuster F-Secure BlackLight Sophos Anti-Rootkit AntiRootkit.com 后期檢測 預(yù)防 小結(jié) 參考資料 快速解決方案 常見問題
章節(jié)摘錄
第1章 開機(jī)取證:數(shù)據(jù)收集 引言 傳統(tǒng)調(diào)查過程中,傳統(tǒng)的方法是現(xiàn)場調(diào)查人員直接關(guān)閉計算機(jī),然后取得系統(tǒng)硬盤的按位鏡像。這種方法簡單實用,但是在當(dāng)前很多實際的調(diào)查過程中卻不再適用。調(diào)查人員和應(yīng)急響應(yīng)人員發(fā)現(xiàn)有些案例中面臨的問題,不能通過硬盤鏡像找到答案。例如,在一些通過即時聊天過程誘騙的兒童失蹤案中,如何最好地處理證據(jù)就是這樣一種情形,這種情形在與一些司法官員的交流中也得到了證實?! ≡搯栴}并不是僅困擾司法人員。很多案件中,最佳的證據(jù)和信息源存在于計算機(jī)內(nèi)存中(網(wǎng)絡(luò)連接、即時聊天客戶端的內(nèi)容、即時聊天進(jìn)程的內(nèi)存數(shù)據(jù)等),因為一些即時聊天程序客戶端并不自動保存聊天記錄信息。另外一些案件中,調(diào)查人員需要知道系統(tǒng)中是否有木馬或者惡意程序的運行,敏感的數(shù)據(jù)文件是否從該系統(tǒng)中被復(fù)制,在系統(tǒng)運行的時候,到底發(fā)生了哪些行為。技術(shù)支持人員通過IDS或者防火墻發(fā)現(xiàn)異常/問題流量的時候,經(jīng)常直接關(guān)閉產(chǎn)生這些流量數(shù)據(jù)的系統(tǒng),而不管流量數(shù)據(jù)產(chǎn)生的原因。類似這些情況,調(diào)查人員都需要進(jìn)行開機(jī)取證(live response)——在系統(tǒng)運行的時候收集數(shù)據(jù)。開機(jī)取證措施也會有一些負(fù)面影響,本章將討論這些問題。
圖書封面
圖書標(biāo)簽Tags
無
評論、評分、閱讀與下載