計(jì)算機(jī)取證

內(nèi)容概要

　　本書以重構(gòu)過去事件為重點(diǎn)，目的是發(fā)現(xiàn)問題、分析問題、解決問題。本書分三部分，第一部分計(jì)算機(jī)對(duì)所涉及的基本概念進(jìn)行介紹，包括以后章節(jié)中所用到的一些基本技術(shù)。第二部分計(jì)算機(jī)對(duì)文件系統(tǒng)、進(jìn)程和操作系統(tǒng)的抽象進(jìn)行了探討。第三部分計(jì)算機(jī)主要對(duì)文件、進(jìn)程和操作系統(tǒng)抽象之外的部分進(jìn)行探討?！　”緯嫦蚰切┫肷钊肓私庥?jì)算機(jī)系統(tǒng)的工作原理，以及想學(xué)習(xí)計(jì)算機(jī)入侵和系統(tǒng)分析技術(shù)的讀者，適合計(jì)算機(jī)系統(tǒng)管理員、安全專家、開發(fā)人員等參考。

作者簡介

作者：(美)法默 (美)溫瑪 譯者：何涇沙 等

書籍目錄

譯者序前言第一部分 基本概念　第1章 計(jì)算機(jī)取證宗旨　　1.1 引言　　1.2 突顯異?；顒?dòng)　　1.3 易失性順序　　1.4 層與假象　　1.5 信息的可信度　　1.6 被刪除信息的固化　　1.7 數(shù)字考古學(xué)與地質(zhì)學(xué)　第2章 時(shí)間機(jī)器　　2.1 引言　　2.2 故障的第一個(gè)特征　　2.3 MAC時(shí)間介紹　　2.4 MAC時(shí)間的局限性　　2.5 Argus:情況變得更為復(fù)雜　　2.6 淘金：在隱蔽的地方尋找時(shí)間信息　　2.7 DNS和時(shí)間　　2.8 日志文件系統(tǒng)和MAC時(shí)間　　2.9 時(shí)間的缺陷　　2.10 結(jié)論第二部分 探討系統(tǒng)抽象　第3章 文件系統(tǒng)基礎(chǔ)　　3.1 引言　　3.2 文件系統(tǒng)的字母表　　3.3 UNIX文件組織結(jié)構(gòu)　　3.4 UNIX文件名　　3.5 UNIX路徑名　　3.6 UNIX文件類型　　3.7 首次揭密——文件系統(tǒng)內(nèi)部情況　　3.8 UNIX文件系統(tǒng)布局　　3.9 揭開秘密——深入探索文件系統(tǒng)　　3.10 模糊區(qū)——隱藏在文件系統(tǒng)接口之下的威脅　　3.11 結(jié)論　第4章 文件系統(tǒng)分析　　4.1 引言　　4.2 初次接觸　　4.3 準(zhǔn)備分析被入侵的文件系統(tǒng)　　4.4 捕獲被入侵的文件系統(tǒng)信息　　4.5 通過網(wǎng)絡(luò)發(fā)送磁盤鏡像　　4.6 在分析的機(jī)器上掛載磁盤鏡像　　4.7 現(xiàn)存文件的：MAC時(shí)間信息　　4.8 現(xiàn)存文件的詳細(xì)分析　　4.9 掩蓋現(xiàn)存文件分析　　4.10 插曲：當(dāng)一個(gè)文件被刪除時(shí)，將會(huì)發(fā)生什么？　　4.11 被刪除文件的MAC時(shí)間信息　　4.12 被刪除文件的詳細(xì)分析　　4.13 利用索引節(jié)點(diǎn)號(hào)發(fā)現(xiàn)異常文件　　4.14 追蹤一個(gè)被刪除文件的原始位置　　4.15 通過被刪除文件的索引節(jié)點(diǎn)號(hào)來追蹤被刪除的文件　　4.16 回到入侵的另外一個(gè)分支　　4.17 喪失無辜　　4.18 結(jié)論　第5章 系統(tǒng)與破壞　　5.1 引言　　5.2 標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)　　5.3 UNIX系統(tǒng)從啟動(dòng)到關(guān)閉的生命周期　　5.4 案例研究：系統(tǒng)啟動(dòng)的復(fù)雜性　　5.5 內(nèi)核配置機(jī)制　　5.6 使用內(nèi)核安全等級(jí)來保護(hù)計(jì)算機(jī)取證信息　　5.7 典型的進(jìn)程和系統(tǒng)狀態(tài)工具　　5.8 進(jìn)程和系統(tǒng)狀態(tài)工具是如何工作的　　5.9 進(jìn)程和系統(tǒng)狀態(tài)工具的局限性　　5.10 用rootkit軟件進(jìn)行破壞　　5.11 命令級(jí)破壞　　5.12 命令級(jí)的隱蔽和檢測　　5.13 庫級(jí)破壞　　5.14 內(nèi)核級(jí)破壞　　5.15 內(nèi)核rootkit的安裝　　5.16 內(nèi)核rootkit的操作　　5.17 內(nèi)核rootkit的檢測與隱藏　　5.18 結(jié)論　第6章 惡意攻擊軟件分析基礎(chǔ)　　6.1 引言　　6.2 動(dòng)態(tài)程序分析的危險(xiǎn)　　6.3 硬件虛擬機(jī)的程序限制　　6.4 軟件虛擬機(jī)的程序限制　　6.5 軟件虛擬機(jī)限制的危險(xiǎn)性　　6.6 Jails和chroot()的程序限制　　6.7 系統(tǒng)調(diào)用監(jiān)控程序的動(dòng)態(tài)分析　　6.8 系統(tǒng)調(diào)用審查程序的限制　　6.9 系統(tǒng)調(diào)用哄騙程序的限制　　6.10 系統(tǒng)調(diào)用限制的危險(xiǎn)　　6.11 庫調(diào)用監(jiān)控的動(dòng)態(tài)分析　　6.12 庫調(diào)用程序的限制　　6.13 庫調(diào)用限制的危險(xiǎn)　　6.14 機(jī)器指令級(jí)的動(dòng)態(tài)分析　　6.15 靜態(tài)分析與逆向工程　　6.16 小程序存在許多問題　　6.17 惡意攻擊軟件分析對(duì)策　　6.18 結(jié)論第三部分 超越抽象　第7章 被刪除文件信息的持久性　　7.1 引言　　7.2 被刪除信息持久性舉例　　7.3 測量被刪除文件內(nèi)容的持久性　　7.4 測量被刪除文件MAC時(shí)間的持久性　　7.5 被刪除文件MAC時(shí)間的強(qiáng)力持久性　　7.6 被刪除文件MAC時(shí)間信息的長期持久性　　7.7 用戶活動(dòng)對(duì)被刪除文件的：MAC時(shí)間信息的影響　　7.8 被刪除文件信息的可信度　　7.9 為什么被刪除文件信息能夠保持不變　　7.10 結(jié)論　第8章 超越進(jìn)程　　8.1 引言　　8.2 虛擬內(nèi)存的基礎(chǔ)知識(shí)　　8.3 內(nèi)存頁的基礎(chǔ)知識(shí)　　8.4 文件和內(nèi)存頁　　8.5 匿名內(nèi)存頁　　8.6 捕獲內(nèi)存　　8.7 savecore命令　　8.8 靜態(tài)分析：從文件中識(shí)別內(nèi)存　　8.9 在無密鑰的情況下恢復(fù)加密文件的內(nèi)容　　8.10 文件系統(tǒng)塊VS.內(nèi)存分頁技術(shù)　　8.11 識(shí)別內(nèi)存中的文件　　8.12 動(dòng)態(tài)分析：內(nèi)存數(shù)據(jù)的持久性　　8.13 內(nèi)存中文件的持久性　　8.14 非文件或匿名數(shù)據(jù)的持久性　　8.15 交換分區(qū)的持久性　　8.16 引導(dǎo)進(jìn)程內(nèi)存的持久性　　8.17 內(nèi)存數(shù)據(jù)的可信度和堅(jiān)韌性　　8.18 結(jié)論附錄A Coroner's工具包及其相關(guān)軟件附錄B 數(shù)據(jù)收集和易失性順序參考文獻(xiàn)

編輯推薦

　　Dan Farmer，撰寫過許多計(jì)算機(jī)安全方面的程序和論文。他目前在Elemental Security公司任首席技術(shù)執(zhí)行官，該公司是一家計(jì)算機(jī)安全軟件公司。Wietse Venema曾經(jīng)編寫了一些得到廣泛應(yīng)用的軟件，包括TCP包裝軟件以及Postfix郵件系統(tǒng)。他目前在IBM研究部門任研究員。兩位作者還合作編寫了很多國際領(lǐng)先的信息安全和取證方面的軟件程序包，包括SATAN網(wǎng)絡(luò)安全掃描程序以及Coroners工具包。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    計(jì)算機(jī)取證 PDF格式下載

---