惡意代碼取證

內(nèi)容概要

網(wǎng)絡(luò)犯罪是信息時(shí)代的產(chǎn)物。近年來隨著計(jì)算機(jī)以及互聯(lián)網(wǎng)的普及，尤其是各類金融業(yè)務(wù)通過因特網(wǎng)不斷得到拓展，全球的網(wǎng)絡(luò)犯罪案件迅速增長(zhǎng)。如何有效防范并打擊網(wǎng)絡(luò)犯罪不但是各國(guó)立法機(jī)關(guān)、司法機(jī)關(guān)及行政機(jī)關(guān)迫切要解決的問題，而且是計(jì)算機(jī)技術(shù)領(lǐng)域、法學(xué)及犯罪學(xué)研究領(lǐng)域中最引人關(guān)注的課題。    本書旨在提出一套完整的惡意軟件取證方法和流程，并以Windows和Linux兩種操作系統(tǒng)為平臺(tái)詳細(xì)介紹了惡意軟件取證過程的5個(gè)主要的階段：易失性數(shù)據(jù)取證保存和檢查、內(nèi)存檢查、硬盤檢查、惡意軟件靜態(tài)分析、惡意軟件動(dòng)態(tài)分析。本書可用作高等院校信息安全專業(yè)及計(jì)算機(jī)專業(yè)本科生、研究生的教材。同時(shí)，對(duì)于信息安全特別是網(wǎng)絡(luò)司法取證學(xué)界的廣大教師、研究人員以及公安網(wǎng)偵人員，本書同樣是不可多得的重要參考資料。

作者簡(jiǎn)介

作者：(美)奎林娜(AquilinaJamesM.) Eoghan Casey Cameron H.Malin 等 譯者：彭國(guó)軍 陶芬James M．Aquilina是Sttoz Friedberg的行政主管兼代理常駐辯護(hù)律師，StrozFriedberg是一家專門從事計(jì)算機(jī)取證，電子數(shù)據(jù)的保存、分析和生產(chǎn)，計(jì)算機(jī)欺詐響應(yīng)，濫用響應(yīng)以及計(jì)算機(jī)安全的服務(wù)與咨詢公司。Aquilina先生為了公司的管理經(jīng)營(yíng)及其法律事務(wù)的處理而勞心勞力，另外全面負(fù)責(zé)整個(gè)洛杉磯辦事處的工作。他曾為政府部門、重要法律部門、公司管理和信息系統(tǒng)等部門指導(dǎo)、完成了很多數(shù)字取證和電子偵查任務(wù)，處理了很多刑事、民事、管理以及內(nèi)部的公司糾紛案件，如電子偽造、擦除、大面積刪除或其他形式的電子數(shù)據(jù)竊取，機(jī)密信息泄露，通過計(jì)算機(jī)盜竊商業(yè)機(jī)密和非法電子監(jiān)視等。他曾經(jīng)擔(dān)任第三方中立專家對(duì)電子證據(jù)進(jìn)行法院認(rèn)可的取證檢查。Aquilina先生還帶頭開展了該公司的在線欺詐和職權(quán)濫用調(diào)查，并定期組織技術(shù)和戰(zhàn)略磋商會(huì)議，以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受間諜軟件和其他入侵軟件、惡意軟件和惡意代碼、網(wǎng)絡(luò)欺詐以及其他形式的非法因特網(wǎng)活動(dòng)的侵害。他博學(xué)多知，對(duì)僵尸網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊以及其他自動(dòng)化網(wǎng)絡(luò)入侵等都有深入了解，這使他能為企業(yè)提供解決計(jì)算機(jī)欺詐和職權(quán)濫用事件等問題的咨詢和解決方案，以加強(qiáng)其基礎(chǔ)設(shè)施的保護(hù)。在加入Stroz Friedberg之前，Aquilina先生是美國(guó)加利福尼亞州中部地區(qū)聯(lián)邦檢察官辦公室刑事司的一名助理檢察官，在那里他主要負(fù)責(zé)網(wǎng)絡(luò)和知識(shí)產(chǎn)權(quán)犯罪科與計(jì)算機(jī)和電子通信方面相關(guān)的工作。他還擔(dān)任了洛杉磯電子犯罪特遣部隊(duì)成員和計(jì)算機(jī)入侵工作組（一個(gè)機(jī)構(gòu)間的網(wǎng)絡(luò)犯罪響應(yīng)組織）負(fù)責(zé)人。在擔(dān)任助理檢察官期間，．Aquilina先生負(fù)責(zé)調(diào)查并監(jiān)督與計(jì)算機(jī)入侵犯罪、拒絕服務(wù)攻擊敲詐、計(jì)算機(jī)和因特網(wǎng)欺詐、侵權(quán)犯罪、盜竊商業(yè)機(jī)密以及其他涉及盜竊和濫用個(gè)人職權(quán)等行為相關(guān)的起訴案件。Aquilina先生主持參與過很多著名的網(wǎng)絡(luò)犯罪調(diào)查案例，例如美國(guó)第一例起訴利用僵尸網(wǎng)絡(luò)進(jìn)行牟利的犯罪案例，“地下僵尸管理者”通過轉(zhuǎn)賣其所控制的受感染計(jì)算機(jī)大軍用以發(fā)動(dòng)攻擊、發(fā)送垃圾郵件或秘密安裝廣告軟件來牟利：他曾推進(jìn)陪審團(tuán)就第一起與數(shù)碼攝像機(jī)使用相關(guān)的刑事版權(quán)侵犯案件進(jìn)行定罪；他曾負(fù)責(zé)監(jiān)督指導(dǎo)政府對(duì)網(wǎng)絡(luò)犯罪打擊活動(dòng)[Opreation Cyberslam]（一項(xiàng)國(guó)際入侵犯罪調(diào)查，主要調(diào)查雇傭黑客針對(duì)在線商業(yè)競(jìng)爭(zhēng)者進(jìn)行計(jì)算機(jī)攻擊等犯罪行為）的起訴；他也曾協(xié)助美國(guó)洛杉磯相關(guān)檢察機(jī)關(guān)收集和分析當(dāng)?shù)乜植澜M織的相關(guān)電子證據(jù)。在其于美國(guó)聯(lián)邦檢察官辦公室工作期間，Aquilina先生同時(shí)也任職于重大欺詐和恐怖主義，有組織犯罪科，調(diào)查和審判了很多復(fù)雜案件，例如他曾審判過一起重大的國(guó)稅局稅務(wù)官和會(huì)計(jì)師聯(lián)合腐敗案件；他曾起訴法國(guó)里昂信貸銀行欺詐一家現(xiàn)己解散的保險(xiǎn)公司的賠償，并為之昭雪：他還以勒索和綁架罪審判過一個(gè)亞美尼亞有組織犯罪集團(tuán)。隨著2001年9月11日襲擊事件的發(fā)生，Aquilina先生開始協(xié)助聯(lián)邦調(diào)查局緊急行動(dòng)中心法律科的組建和運(yùn)作。Aquilina先生在從事公共服務(wù)之前，曾在紐約的Richards、Spears、Kibbe＆Orbe律師事務(wù)所工作，當(dāng)時(shí)主要負(fù)責(zé)解決聯(lián)邦白領(lǐng)工作問題和紐約州的刑事、管理問題。Aquilina先生也曾擔(dān)任過十分受人尊敬的加利福尼亞州南部的美國(guó)地方法院法官Irma E．Gonzalez的法律助理。他是喬治敦大學(xué)的優(yōu)秀學(xué)士，美國(guó)加利福尼亞大學(xué)伯克利分校法學(xué)院的法學(xué)博士，當(dāng)時(shí)他還是理查德厄斯金的學(xué)術(shù)研究員，擔(dān)任了《加利福尼亞州法律審查》（califomiaLawReview）的文章編輯和執(zhí)行委員會(huì)成員。他目前擔(dān)任國(guó)際電子商務(wù)顧問理事會(huì)（電子商務(wù)理事會(huì)）網(wǎng)絡(luò)法律問題的名譽(yù)理事會(huì)會(huì)員，該組織提供CEH（道德黑客認(rèn)證）和CHFI（黑客法醫(yī)調(diào)查員認(rèn)證）認(rèn)證，引領(lǐng)世界各地的安全行業(yè)專家。Eoghan Casey是一位事件響應(yīng)和數(shù)字取證分析專家，經(jīng)常在大面積的調(diào)查范圍（包括國(guó)際范圍內(nèi)的網(wǎng)絡(luò)入侵）內(nèi)開展安全漏洞響應(yīng)和數(shù)字證據(jù)分析工作。他在數(shù)字取證方面有豐富的經(jīng)驗(yàn)，能夠根據(jù)安全漏洞響應(yīng)確定計(jì)算機(jī)入侵的起源、性質(zhì)和范圍，并利用取證與安全技術(shù)來維護(hù)受害網(wǎng)絡(luò)的安全。他曾研究過數(shù)百種數(shù)字取證過程中可獲得的證據(jù)，包括電子郵件和文件服務(wù)器、手持設(shè)備、備份磁帶、數(shù)據(jù)庫(kù)系統(tǒng)和網(wǎng)絡(luò)日志等。Casey先生是其研究領(lǐng)域的權(quán)威，經(jīng)常在美國(guó)和國(guó)外相關(guān)專業(yè)雜志或會(huì)議上撰寫相關(guān)論文并發(fā)表演講，如數(shù)字取證研究研討會(huì)、高科技犯罪調(diào)查協(xié)會(huì)、搜索、IT安全和Infragard等會(huì)議。他曾編寫了一本十分流行的教科書：《數(shù)字取證和計(jì)算機(jī)犯罪：取證科學(xué)、計(jì)算機(jī)與網(wǎng)絡(luò)》（學(xué)術(shù)出版社，2004年）。他還是《計(jì)算機(jī)犯罪調(diào)查手冊(cè)》的編輯，并且合著過《兒童剝削和色情調(diào)查》一書。Casey先生現(xiàn)在擔(dān)任國(guó)際期刊《調(diào)查取證》的總編輯，該期刊按季度出版數(shù)字取證和事件響應(yīng)方面的文章。作為Stroz Friedberg的數(shù)字取證調(diào)查總指導(dǎo)，Casey與其他人一起管理該公司在計(jì)算機(jī)取證、計(jì)算機(jī)犯罪響應(yīng)和緊急事件響應(yīng)領(lǐng)域的技術(shù)業(yè)務(wù)。此外，他還積極參與待審民事和刑事案件的作證，并提交專家報(bào)告以為計(jì)算機(jī)和網(wǎng)絡(luò)犯罪案件的審判而向大陪審團(tuán)作證。Casey先生還帶頭開展Stroz Friedberg公司外部和內(nèi)部的各種取證培訓(xùn)項(xiàng)目并擔(dān)任培訓(xùn)負(fù)責(zé)人。在Casey到Stroz Friedberg公司工作之前，他曾作為顧問在許多涉及與兇殺、剝削兒童和其他類型案件相關(guān)的網(wǎng)上犯罪活動(dòng)和數(shù)字證據(jù)的刑事調(diào)查中協(xié)助執(zhí)法部門辦案。Casev于1999年至2002年間曾在耶魯大學(xué)擔(dān)任信息安全主管，并在后續(xù)咨詢工作中負(fù)責(zé)脆弱性評(píng)估，處理關(guān)鍵安全漏洞，部署和維護(hù)入侵檢測(cè)系統(tǒng)、防火墻和重要的公共基礎(chǔ)設(shè)施，制定相關(guān)政策、規(guī)程和教育項(xiàng)目。自1996年以來。Casey先生一直通過在線和實(shí)地訓(xùn)練的方式提供培訓(xùn)服務(wù)，其課程涵蓋了數(shù)字取證、事故響應(yīng)和入侵調(diào)查。Casey先生于1991—1995年間還曾在美國(guó)航天局的極端紫外線探測(cè)衛(wèi)星項(xiàng)目中擔(dān)任高級(jí)研究助理和衛(wèi)星操作員，負(fù)責(zé)編寫與自動(dòng)執(zhí)行日常、安全性要求很高的衛(wèi)星操縱流程相關(guān)的計(jì)算機(jī)程序，建立并維護(hù)一個(gè)Sybase的sQL數(shù)據(jù)庫(kù)。Casey先生畢業(yè)于加州大學(xué)伯克利分校的機(jī)械工程專業(yè)，并獲得紐約大學(xué)教育傳播與技術(shù)專業(yè)碩士學(xué)位。Cameron H．Malin是聯(lián)邦調(diào)查局分配給美國(guó)加利福尼亞州洛杉磯的網(wǎng)絡(luò)重案組的特別代理，主要負(fù)責(zé)調(diào)查計(jì)算機(jī)入侵和惡意代碼等問題。Malin先生是一位通過國(guó)際電子商務(wù)顧問理事會(huì)（電子商務(wù)理事會(huì)）認(rèn)證的道德黑客（CEH認(rèn)證），是一位通過國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)（“（ISC）2”）認(rèn)證的信息系統(tǒng)安裝專家（CISSP），還是一位通過SANS研究機(jī)構(gòu)認(rèn)證的資深逆向工程惡意軟件分析專家、資深系統(tǒng)入侵分析員、資深故障處理員和資深取證分析員。Malin先生目前是數(shù)字取證國(guó)際期刊（UDE）的編委會(huì)成員和信息保障技術(shù)分析中心（IATAC）的主題專欄專家。就職于美國(guó)聯(lián)邦調(diào)查局之前，Malin曾是佛羅里達(dá)州邁阿密的國(guó)家檢察官助理（ASA）和美國(guó)司法部長(zhǎng)特別助理，專門從事計(jì)算機(jī)犯罪的起訴。在其作為國(guó)家檢察官助理的任職期間，Malin先生也擔(dān)任了喬治華盛頓大學(xué)的碩士課程《計(jì)算機(jī)欺詐調(diào)查》的助理教授。本書中由Cameron Matin所提及的相關(guān)技術(shù)、工具、方法、觀點(diǎn)和意見都僅代表其個(gè)人意見，并不代表美國(guó)司法部、聯(lián)邦調(diào)查局，甚至美國(guó)政府。聯(lián)邦政府或者任何聯(lián)邦機(jī)構(gòu)不以任何方式對(duì)此書或其內(nèi)容進(jìn)行支持。譯者簡(jiǎn)介：彭國(guó)軍，男，1979年11月生，湖北荊州人。武漢大學(xué)計(jì)算機(jī)學(xué)院教師、信息安全博士。2001年起從事惡意軟件及防護(hù)技術(shù)研究，曾協(xié)助公安機(jī)關(guān)進(jìn)行多起網(wǎng)絡(luò)犯罪案件的取證工作；2004年主編信息安全專業(yè)本科教材《計(jì)算機(jī)病毒分析與對(duì)抗》（“十一五”規(guī)劃教材），參編和翻譯的著作包括《計(jì)算機(jī)網(wǎng)絡(luò)管理實(shí)用教程》、《信息安全原理與實(shí)踐》等。主持多個(gè)省部級(jí)網(wǎng)絡(luò)與安全科研項(xiàng)目，并參與多個(gè)國(guó)家“863”項(xiàng)目與國(guó)家自然科學(xué)基金項(xiàng)目。目前已發(fā)表信息安全方向科研與教學(xué)論文近20篇，各類安全技術(shù)文章近20篇。研究方向包括惡意代碼、網(wǎng)絡(luò)攻防、軟件可信等。

書籍目錄

第1章　惡意軟件事件響應(yīng)：易失性數(shù)據(jù)收集與實(shí)時(shí)Windows系統(tǒng)檢查  引言  建立實(shí)時(shí)響應(yīng)工具包    測(cè)試和驗(yàn)證您的工具  易失性數(shù)據(jù)收集方法    易失性數(shù)據(jù)的保存    搜集目標(biāo)系統(tǒng)詳細(xì)信息    識(shí)別登錄到當(dāng)前系統(tǒng)的用戶    檢查網(wǎng)絡(luò)連接和活動(dòng)    搜集進(jìn)程信息    關(guān)聯(lián)開放端口及其活動(dòng)進(jìn)程（和程序）    檢查服務(wù)和驅(qū)動(dòng)程序    檢查打開的文件    收集命令的歷史記錄    識(shí)別共享    檢查計(jì)劃任務(wù)    收集剪貼板內(nèi)容  從實(shí)時(shí)Windows系統(tǒng)收集非易失性數(shù)據(jù)    在實(shí)時(shí)Windows系統(tǒng)中對(duì)存儲(chǔ)媒介進(jìn)行司法復(fù)制    對(duì)實(shí)時(shí)Windows系統(tǒng)的特定數(shù)據(jù)進(jìn)行司法保存  適用于Windows的事件響應(yīng)工具套件    Windows Forensic Toolchest    從實(shí)時(shí)Windows系統(tǒng)中檢查和提取惡意軟件  小結(jié)第2章　惡意軟件事件響應(yīng)：易失性數(shù)據(jù)收集與實(shí)時(shí)Linux系統(tǒng)檢查  引言  易失性數(shù)據(jù)收集方法    Linux上的事件響應(yīng)工具集    實(shí)時(shí)UNIX系統(tǒng)的完整內(nèi)存轉(zhuǎn)儲(chǔ)    在實(shí)時(shí)UNIX系統(tǒng)上保存進(jìn)程內(nèi)存信息    獲取目標(biāo)系統(tǒng)的詳細(xì)信息    識(shí)別出登錄到系統(tǒng)的用戶    檢查網(wǎng)絡(luò)連接    收集進(jìn)程信息    ／proc目錄中的易失性數(shù)據(jù)    打開的文件和附屬資源    檢查已加載的模塊    收集命令行歷史信息    識(shí)別出已安裝的共享驅(qū)動(dòng)器    確定計(jì)劃任務(wù)  實(shí)時(shí)Linux系統(tǒng)中的非易失性數(shù)據(jù)收集    對(duì)實(shí)時(shí)Linux系統(tǒng)中的存儲(chǔ)介質(zhì)的取證拷貝    對(duì)實(shí)時(shí)Linux系統(tǒng)中的指定數(shù)據(jù)進(jìn)行取證保存    評(píng)估安全配置    評(píng)估主機(jī)的信任關(guān)系    收集登錄日志和系統(tǒng)日志信息　小結(jié)第3章  內(nèi)存取證：分析物理內(nèi)存和進(jìn)程內(nèi)存獲取取證線索  引言  內(nèi)存取證方法學(xué)  傳統(tǒng)內(nèi)存分析方法  Windows內(nèi)存取證工具    深入分析內(nèi)存映像    活動(dòng)的、未活動(dòng)的和隱藏的進(jìn)程  Windows內(nèi)存取證工具機(jī)理    虛擬內(nèi)存地址    進(jìn)程和線程    恢復(fù)提取可執(zhí)行文件  提取進(jìn)程內(nèi)存數(shù)據(jù)  進(jìn)程內(nèi)存數(shù)據(jù)的導(dǎo)出和Windows系統(tǒng)實(shí)時(shí)分析    對(duì)實(shí)時(shí)運(yùn)行的進(jìn)程進(jìn)行安全評(píng)估    捕獲進(jìn)程并分析內(nèi)存  Linux內(nèi)存取證分析工具    進(jìn)程元數(shù)據(jù)  Linux內(nèi)存取證分析工具機(jī)理    定位內(nèi)存數(shù)據(jù)結(jié)構(gòu)    進(jìn)程    其他內(nèi)存數(shù)據(jù)結(jié)構(gòu)  在Linux系統(tǒng)上導(dǎo)出進(jìn)程內(nèi)存并進(jìn)行分析    系統(tǒng)上的進(jìn)程活動(dòng)    用ps搜集進(jìn)程信息    利用lsof識(shí)別進(jìn)程活動(dòng)    在／proc中定位可疑進(jìn)程　……第4章　事后取證：從Windows系統(tǒng)中搜索并撮惡意軟件以及相關(guān)線索第5章　事后取證：從Linux系統(tǒng)中搜索并撮惡意軟件以及相關(guān)線索第6章　法律規(guī)范第7章　文件識(shí)別和構(gòu)型：Windows系統(tǒng)中可疑文件的初步分析　第8章　文件識(shí)別和構(gòu)型：Linux系統(tǒng)上可疑文件的初步分析　第9章　Windows平臺(tái)下可疑軟件分析第10章　Linux平臺(tái)下可疑程序分析

章節(jié)摘錄

插圖：73．起草者充分地討論這些設(shè)備是否應(yīng)該限制為專為犯罪而設(shè)計(jì)的設(shè)備（因此不包括多功能設(shè)備）。這樣考慮太過狹窄，可能導(dǎo)致在犯罪訴訟中舉證困難，不能實(shí)際適用或僅適用于少數(shù)案例。包含所有設(shè)備的方案（即使它們是合法生產(chǎn)和分配的）也被拒絕。只有主觀因素有意進(jìn)行計(jì)算機(jī)犯罪才會(huì)實(shí)行懲罰，這種在資金犯罪中常使用的方式未獲通過。對(duì)該協(xié)議一種合理的折中方法是根據(jù)各實(shí)例（實(shí)例中設(shè)備是客觀設(shè)計(jì)且是專為犯罪行為設(shè)計(jì)的，因此多重功能的設(shè)備不被包括在其中）限定其范圍。74．第一段a．ii將生產(chǎn)、銷售、獲得使用權(quán)、進(jìn)口、分發(fā)或獲取電腦密碼及類似的數(shù)據(jù)以使系統(tǒng)的某部分可以訪問使用的行為定義為犯罪。75．第一段b舉出了占有第一段a．i，a．ii列舉的條目的犯罪行為。締約方允許通過法律來要求擁有這類物品的數(shù)目必須達(dá)到一定限度。擁有的數(shù)量直接體現(xiàn)了犯罪意圖，因此締約方需要謹(jǐn)慎決定所要求的條目數(shù)目。76．犯罪需要證明它是故意且是非授權(quán)的。為了避免對(duì)設(shè)備在生產(chǎn)和投放市場(chǎng)的合法用途的錯(cuò)判，如系統(tǒng)對(duì)攻擊發(fā)起的反擊，需要對(duì)犯罪進(jìn)行更加嚴(yán)格的定義。除了一般意圖，也需要對(duì)特殊意圖以確定設(shè)備用于犯罪的目的，見協(xié)議的第2～5章。77．第二段中清楚的指出用于授權(quán)測(cè)試或保護(hù)計(jì)算機(jī)系統(tǒng)的工具并不在條款的保護(hù)之下。這一概念已被標(biāo)志為“沒有權(quán)限”。例如，企業(yè)用來控制信息可靠性和測(cè)試系統(tǒng)安全的測(cè)試設(shè)備和網(wǎng)絡(luò)分析設(shè)備，這些用于合法目的的會(huì)被認(rèn)為“擁有權(quán)限”。

編輯推薦

《惡意代碼取證》特色：第一本詳細(xì)描述惡意代碼取證技術(shù)的作品，獲得2008 Bejtlich最佳圖書獎(jiǎng)（Winner of Best Book Bejtlich Read in 2008），《惡意代碼取證》作者參與了許多惡意入侵案件的調(diào)查審理工作，具有豐富的實(shí)踐經(jīng)驗(yàn)，全書結(jié)合實(shí)例對(duì)相關(guān)的技術(shù)和工具進(jìn)行說明，同時(shí)給出相關(guān)法律思考、法律后果及必要的治理方法。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    惡意代碼取證 PDF格式下載

---