Windows取證分析

前言

　　自從1991年在美國(guó)召開的國(guó)際計(jì)算機(jī)專家會(huì)議上首次提出“計(jì)算機(jī)取證（Corn-puter Forensic）”術(shù)語(yǔ)以來(lái)，隨著互聯(lián)網(wǎng)的普及和計(jì)算機(jī)犯罪案件的增多，計(jì)算機(jī)取證一直是信息安全領(lǐng)域中的熱門話題，國(guó)際上幾乎每年都要召開以計(jì)算機(jī)取證為主題的學(xué)術(shù)會(huì)議，用于計(jì)算機(jī)取證的技術(shù)工具逐漸發(fā)展成為信息安全產(chǎn)業(yè)的一個(gè)特殊種類，甚至很快也有了諸如“國(guó)際計(jì)算機(jī)證據(jù)組織（IOCE）”之類的“非政府”組織。自然，近年有關(guān)計(jì)算機(jī)取證的專業(yè)書籍也出版不少，其中涉及基礎(chǔ)理論、取證技術(shù)和取證工具的專著先后被譯介到國(guó)內(nèi)，這些工作對(duì)國(guó)內(nèi)計(jì)算機(jī)取證的研究和實(shí)踐都起到了十分重要的推動(dòng)作用?！　∫蚨?，當(dāng)王智慧先生將他與幾位朋友的譯著《Windows取證分析》的清樣送來(lái)之后，我是懷著幾分欣喜，利用兩個(gè)周末的余暇認(rèn)真奉讀的。所以如此，一是因?yàn)橹腔郾救艘恢敝铝τ?，也?lè)于、長(zhǎng)于計(jì)算機(jī)取證工作，在理論功底和實(shí)踐經(jīng)驗(yàn)上頗有見地并屢建奇功，能人他法眼的書籍自有不凡之處；二是因?yàn)閷?duì)Windows的取證是現(xiàn)實(shí)生活中最常見，也最復(fù)雜的一項(xiàng)工作。據(jù)智慧介紹，原書作者Harlan Carvey曾在美國(guó)軍方長(zhǎng)期從事信息安全工作，有過(guò)十多年的取證工作經(jīng)驗(yàn)，并且有過(guò)《Windows取證和事件恢復(fù)》一書面世，頗受業(yè)內(nèi)人士推崇。有著這樣的專業(yè)背景，加上今年歲末難得的晴天暖陽(yáng)，我的兩個(gè)周末是在愉快地閱讀中度過(guò)的?！　⊙诰碇畷r(shí)，正值滿月初升?；匚侗緯?，覺(jué)得有三點(diǎn)特別的感受不得不說(shuō)：一是知識(shí)內(nèi)容上的創(chuàng)新。初看書名，很容易會(huì)先人為主地把它看作作者舊作《Windows取證和事件恢復(fù)》的翻版。其實(shí)不然，正如作者在前言中聲明的，他不想將此書寫成舊作的續(xù)集，細(xì)讀本書中對(duì)開機(jī)取證、注冊(cè)表分析的深入解析和在文件分析、內(nèi)存分析、Root-kits分析方面的獨(dú)到體會(huì)，你會(huì)相信作者說(shuō)到做到了。二是技術(shù)工具上的創(chuàng)意。本書介紹了不少現(xiàn)實(shí)可用的取證工具，這些工具能幫助讀者更好地理解和體會(huì)作者在書中提出和闡述的概念，而且這些工具并非對(duì)Encase之類的商業(yè)產(chǎn)品的簡(jiǎn)單羅列，而是精選了不少當(dāng)下熱門的“活的”網(wǎng)上新寵，尤其可喜的是，有的工具就是作者本人的杰作，用自己的看家本領(lǐng)說(shuō)事，應(yīng)該算是有創(chuàng)意。三是實(shí)踐經(jīng)驗(yàn)上的創(chuàng)見。由于作者在此領(lǐng)域有十多年的工作經(jīng)驗(yàn)，本書中列舉的實(shí)例很多是自身實(shí)踐的積累，不少實(shí)例是在其他同類書籍中找不到的。例如結(jié)合英國(guó)布萊爾政府Word格式文檔的信息泄露案例，作者介紹的與“對(duì)象鏈接嵌入技術(shù)（OLE）流”相關(guān)的信息痕跡與恢復(fù)經(jīng)驗(yàn)，以及反復(fù)強(qiáng)調(diào)的可重復(fù)性和取證數(shù)據(jù)的自動(dòng)化處理等體會(huì)，也都是其他著述鮮有涉獵的?！　‘?dāng)然，如果要說(shuō)本書不夠過(guò)癮的地方，可能要算第6章“可執(zhí)行文件分析”部分，這本是當(dāng)前惡意軟件（間諜軟件）作惡的重要環(huán)節(jié)。由于涉及逆向工程技術(shù)，作者的意見是可以就此另寫一本書，因而分析不深。另外，從理論上講，本書對(duì)分布式取證、自動(dòng)化取證的后處理、數(shù)據(jù)挖掘和包括交換文件、休眠文件等在內(nèi)的內(nèi)存分析等熱點(diǎn)問(wèn)題尚可再深入一些?？紤]到本書專為實(shí)踐需要而寫，面面俱到反倒有些苛求和不妥。

內(nèi)容概要

本書的寫作源于實(shí)戰(zhàn)的需要，主要關(guān)注Windows取證分析這一技術(shù)領(lǐng)域，主要討論了Windows統(tǒng)開機(jī)和關(guān)機(jī)的不同時(shí)刻對(duì)證據(jù)數(shù)據(jù)收集和分析的技術(shù)問(wèn)題，重點(diǎn)闡述了Windows內(nèi)存分析、注冊(cè)表分析、文件分析、可執(zhí)行文件分析，以及Rootkits等內(nèi)容。本書不僅為取證分析人員、調(diào)查人員和應(yīng)急響應(yīng)人員提供參考，也可為政府和公司的調(diào)查人員、司法官員及對(duì)Windows取證分析感興趣的讀者提供參考和幫助。

作者簡(jiǎn)介

Harlan Carvey（CISSP），同時(shí)也是《Windows取證和事件恢復(fù)》（Windows Forensics and Incident Recovery）一書的作者。Harlan Carvey是硅谷北部和大都會(huì)地區(qū)的計(jì)算機(jī)取證與應(yīng)急響應(yīng)顧問(wèn)，現(xiàn)在他為全美所有地區(qū)的客戶提供緊急事件響應(yīng)和計(jì)算機(jī)取證服務(wù)。Harlan的專業(yè)領(lǐng)域

書籍目錄

前言第1章  開機(jī)取證：數(shù)據(jù)收集  引言  開機(jī)取證（Live Response）    諾卡德交換原理    易變信息的次序    何時(shí)進(jìn)行開機(jī)取證  收集什么數(shù)據(jù)    系統(tǒng)時(shí)間    當(dāng)前登錄用戶    打開的文件    網(wǎng)絡(luò)信息（緩存的NetBIOS名字列表）    網(wǎng)絡(luò)連接    進(jìn)程信息    進(jìn)程到端口的映射    進(jìn)程內(nèi)存    網(wǎng)絡(luò)狀態(tài)    剪貼板內(nèi)容    服務(wù)/驅(qū)動(dòng)信息    命令行歷史    映射的驅(qū)動(dòng)器    共享  非易變信息    注冊(cè)表設(shè)置    事件日志    設(shè)備和其他信息    有關(guān)怎樣挑選工具    開機(jī)取證方法    本地開機(jī)取證方法    遠(yuǎn)程取證方法    混合方法  小結(jié)  參考資料  快速解決方案  常見問(wèn)題第2章  開機(jī)取證：數(shù)據(jù)分析  引言  數(shù)據(jù)分析    案例一    案例二    敏捷分析    擴(kuò)大范圍    應(yīng)對(duì)    防范  小結(jié)  參考資料  快速解決方案  常見問(wèn)題第3章  Windows內(nèi)存分析  引言  內(nèi)存分析簡(jiǎn)史  獲取物理內(nèi)存鏡像    基于硬件的方案    利用火線接口    崩潰轉(zhuǎn)儲(chǔ)    利用虛擬機(jī)    休眠文件    DD  分析物理內(nèi)存鏡像    進(jìn)程基礎(chǔ)    分析內(nèi)存鏡像    分析進(jìn)程內(nèi)存    提取進(jìn)程可執(zhí)行文件鏡像    內(nèi)存鏡像分析和頁(yè)交換文件    根據(jù)內(nèi)存鏡像判斷操作系統(tǒng)類型    分析內(nèi)存池    獲取進(jìn)程內(nèi)存  小結(jié)  參考資料  快速解決方案  常見問(wèn)題第4章  注冊(cè)表分析  引言  注冊(cè)表內(nèi)部結(jié)構(gòu)    配置單元文件內(nèi)的注冊(cè)表結(jié)構(gòu)    注冊(cè)表作為日志文件    監(jiān)視注冊(cè)表變化  注冊(cè)表分析    系統(tǒng)信息    自動(dòng)啟動(dòng)位置    枚舉注冊(cè)表白動(dòng)啟動(dòng)位置    USB移動(dòng)存儲(chǔ)設(shè)備    Mounted Dcvices    查找用戶    追蹤用戶活動(dòng)    Windows XP系統(tǒng)還原點(diǎn)  小結(jié)  光盤內(nèi)容  參考資料  快速解決方案  常見問(wèn)題第5章  文件分析  引言  事件日志    理解事件    事件日志文件格式    事件日志頭部    事件記錄結(jié)構(gòu)    Vista事件日志    IIS 日志    因特網(wǎng)瀏覽器歷史    其他日志文件    回收站    系統(tǒng)還原點(diǎn)    Prefetch文件    快捷方式文件  文件元數(shù)據(jù)    Word文檔    PDF文檔    圖像文件    義件特征分析    NTFS分支數(shù)據(jù)流  其他分析方法  小結(jié)  參考資料  快速解決方案  常見問(wèn)題第6章  可執(zhí)行文件分析  引言  靜態(tài)分析    記錄文件信息    分析可執(zhí)行文件  動(dòng)態(tài)分析    測(cè)試環(huán)境    一次性系統(tǒng)    工具    流稗  小結(jié)  參考資料  快速解決方案  常見問(wèn)題第7章  Rootkits及其檢測(cè)  引言  Rootkits  Rootkit檢測(cè)    開機(jī)柃測(cè)    GMER    Helios    MS Strider GhostBuster    F-Secure BlackLight    Sophos Anti-Rootkit    AntiRootkit.com    后期檢測(cè)    預(yù)防  小結(jié)  參考資料  快速解決方案  常見問(wèn)題

章節(jié)摘錄

　　第1章　開機(jī)取證：數(shù)據(jù)收集　　引言　　傳統(tǒng)調(diào)查過(guò)程中，傳統(tǒng)的方法是現(xiàn)場(chǎng)調(diào)查人員直接關(guān)閉計(jì)算機(jī)，然后取得系統(tǒng)硬盤的按位鏡像。這種方法簡(jiǎn)單實(shí)用，但是在當(dāng)前很多實(shí)際的調(diào)查過(guò)程中卻不再適用。調(diào)查人員和應(yīng)急響應(yīng)人員發(fā)現(xiàn)有些案例中面臨的問(wèn)題，不能通過(guò)硬盤鏡像找到答案。例如，在一些通過(guò)即時(shí)聊天過(guò)程誘騙的兒童失蹤案中，如何最好地處理證據(jù)就是這樣一種情形，這種情形在與一些司法官員的交流中也得到了證實(shí)?！　≡搯?wèn)題并不是僅困擾司法人員。很多案件中，最佳的證據(jù)和信息源存在于計(jì)算機(jī)內(nèi)存中（網(wǎng)絡(luò)連接、即時(shí)聊天客戶端的內(nèi)容、即時(shí)聊天進(jìn)程的內(nèi)存數(shù)據(jù)等），因?yàn)橐恍┘磿r(shí)聊天程序客戶端并不自動(dòng)保存聊天記錄信息。另外一些案件中，調(diào)查人員需要知道系統(tǒng)中是否有木馬或者惡意程序的運(yùn)行，敏感的數(shù)據(jù)文件是否從該系統(tǒng)中被復(fù)制，在系統(tǒng)運(yùn)行的時(shí)候，到底發(fā)生了哪些行為。技術(shù)支持人員通過(guò)IDS或者防火墻發(fā)現(xiàn)異常／問(wèn)題流量的時(shí)候，經(jīng)常直接關(guān)閉產(chǎn)生這些流量數(shù)據(jù)的系統(tǒng)，而不管流量數(shù)據(jù)產(chǎn)生的原因。類似這些情況，調(diào)查人員都需要進(jìn)行開機(jī)取證（live response）——在系統(tǒng)運(yùn)行的時(shí)候收集數(shù)據(jù)。開機(jī)取證措施也會(huì)有一些負(fù)面影響，本章將討論這些問(wèn)題。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Windows取證分析 PDF格式下載

---