圖書(shū)內容簡(jiǎn)介

沒(méi)有圖書(shū)簡(jiǎn)介

圖書(shū)目錄

第1部分簡(jiǎn) 介
第1章現實(shí)生活中的突發(fā)事件………………………………………………………………1
1．1影響響應的因素………………………………………………………………………l
1．2跨國犯罪………………………………………………………………2
1．2．1 歡迎來(lái)到Invita………………………………………………………………2
1．2．2 PathStar陰謀…………………………………………………………………3
1．3傳統的黑客行為………………………………………………………………………4
1．4小結……………………………………………………………………………………6
第2章應急響應過(guò)程簡(jiǎn)介……………………………………………………………………7
2．1計算機安全事件的意義………………………………………………………………7
2．2應急響應的目標………………………………………………………………………8
2．3應急響應小組參與人員………………………………………………………………8
2．4應急響應方法………………………………………………………………………9
2．4．1 事前準備……………………………………………………………………10
2．4．2發(fā)現事件……………………………………………………………………ll
2．4．3初始響應……………………………………………………………………12
2．4．4制定響應策略………………………………………………………………13
2．4．5調查事件……………………………………………………………………17
2．4．6報告…………………………………………………………………………20
2．4．7解決方案……………………………………………………………………21
2．5小結…………………………………………………………………………………22
2．6問(wèn)題…………………………………………………………………22
第3章為應急響應做準備……………………………………………………………………24
3．1 突發(fā)事件預防準備概述……………………………………………………………24
3．2識別風(fēng)險……………………………………………………………………………25
3．3單個(gè)主機的準備工作………………………………………………………………26
3．3．1記錄關(guān)鍵文件的加密校驗和………………………………………………26
3．3．2增加或者啟用安全審核日志記錄…………………………………………29
3．3．3增強主機防御………………………………………………………………34
3．3．4備份關(guān)鍵數據………………………………………………………………35
3．3．5對用戶(hù)進(jìn)行基于主機的安全教育…………………………………………37
3．4準備網(wǎng)絡(luò )……………………………………………………………………………37
3．4．1 安裝防火墻和入侵偵測系統……………………………………………38
3．4．2在路由器上使用訪(fǎng)問(wèn)控制列表……………………………………………38
3．4．3創(chuàng )建有助于監視的網(wǎng)絡(luò )拓撲結構…………………………………………39
3．4．4加密網(wǎng)絡(luò )流量………………………………………………………………40
3．4．5要求身份驗證………………………………………………………………40
3．5制訂恰當的策略和規程……………………………………………………………41
3．5．1決定響應立場(chǎng)………………………………………………………………42
3．5．2理解策略如何輔助調查措施………………………………………………44
3．5．3制定可接受的使用策略……………………………………………………49
3．5．4設計AUP…………………………………………………………………………………………51
3．5．5制定應急響應規程…………………………………………………………52
3．6創(chuàng )建響應工具包……………………………………………………………………53
3．6．1 響應硬件……………………………………………………………………53
3．6．2 響應軟件……………………………………………………………………54
3．6．3 網(wǎng)絡(luò )監視平臺………………………………………………………………54
3．6．4文檔…………………………………………………………………………55
3．7建立應急響應小組…………………………………………………………………55
3．7．1 決定小組的任務(wù)……………………………………………………………55
3．7．2對小組進(jìn)行培訓……………………………………………………………56
3．8 小結………………………………………………………………………………………………………………58
3．9 問(wèn)題…………………………………………………………………………………58
第4章應急響應……………………………………………………………………………59
4．1初始響應階段概述…………………………………………………………………59
4．1．1獲取初步資料………………………………………………………………60
4．1．2應對措施備案………………………………………………………………60
4．2建立突發(fā)事件通知程序……………………………………………………………60
4．3記錄事發(fā)詳情………………………………………………………………………6l
4．3．1初始響應檢查表……………………………………………………………6l
4．3．2案例記錄……………………………………………………………………63
4．4突發(fā)事件聲明……………………………………………………………………63
4．5組建CSIRT…………………………………………………………………………64
4．5．1突發(fā)事件升級處理…………………………………………………………64
4．5．2執行突發(fā)事件通知…………………………………………………………65
4．5．3審視突發(fā)事件并配備合適的資源…………………………………………66
4．6執行例行調查步驟…………………………………………………………………68
4．7約見(jiàn)………………………………………………………………………………………………………………68
4．7．1獲得聯(lián)系信息………………………………………………………………69
4．7．2約見(jiàn)系統管理員……………………………………………………………70
4．7．3約見(jiàn)管理人員………………………………………………………………70
4．7．4約見(jiàn)終端用戶(hù)………………………………………………………………71
4．8制定響應策略………………………………………………………………………7l
4．8．1應對策略注意事項…………………………………………………………72
4．8．2策略驗證……………………………………………………………………72
4．9小結………………………………………………………………………………………………………………73
4．10問(wèn)題…………………………………………………………………………………73
第2部分數據收集
第5章Windows系統下的現場(chǎng)數據收集………………………………………………74
5．1創(chuàng )建響應工具箱……………………………………………………………………74
5．1．1常用響應工具………………………………………………………………75
5．1．2準備工具箱…………………………………………………………………76
5．2保存初始響應信息…………………………………………………………………77
5．2．1應用netcat傳輸數據………………………………………………………77
5．2．2使用cryptcat加密數據……………………………………………………79
5．3獲取易失性數據……………………………………………………………………79
5．3．1組織并備案調查過(guò)程………………………………………………………80
5．3．2收集易失性數據……………………………………………………………8l
5．3．3編寫(xiě)初始響應腳本…………………………………………………………89
5．4進(jìn)行深入的現場(chǎng)響應………………………………………………………………90
5．4．1 收集最易失的數據…………………………………………………………90
5．4．2創(chuàng )建深入的調查工具箱……………………………………………………91
5．4．3收集現場(chǎng)響應數據…………………………………………………………91
5．5制作司法鑒定復件的必要性………………………………………………………97
5．6 小結………………………………………………………………………………………………………………98
5．7 問(wèn)題………………………………………………………………………………………………………………98
第6章Unix系統下的現場(chǎng)數據收集………………………………………………………99
6．1創(chuàng )建響應工具包………………………………………………………………………99
6．2保存初始響應信息…………………………………………………………………100
6．3在進(jìn)行司法鑒定復制之前獲得易失性數據………………………………………101
6．3．1 收集數據…………………………………………………………………101
6．3．2編寫(xiě)初始響應腳本………………………………………………………1 10
6．4進(jìn)行深入的現場(chǎng)響應………………………………………………………………1 10
6．4．1偵測可裝載內核模塊rootkit……………………………………………110
6．4．2獲得現場(chǎng)系統日志………………………………………………………1 12
6．4．3獲得重要的配置文件……………………………………………………1 13
6．4．4查找系統中的非法嗅探器………………………………………………113
6．4．5查看／Droc文件系統………………………………………………………1 16
6．4．6轉儲系統內存……………………………………………………………1 19
6．5.小結………………………………………………………………………………120
6．6問(wèn)題……………………………………………………………………………………………………………121
第7章 司法鑒定復件………………………………………………………………………122
7．1 可作為呈堂作證的司法鑒定復件…………………………………………………122
7．1．1司法鑒定復件……………………………………………………………123
7．1．2合格的司法鑒定復件……………………………………………………123
7．1．3被恢復的映像……………………………………………………………123
7．1．4鏡像………………………………………………………………………………………………124
7．2司法鑒定復制工具的要求…………………………………………………………125
7．3制作硬盤(pán)的司法鑒定復件…………………………………………………………126
7．3．1 用dd和dcfldd復制……………………………………………………127
7．3．2用開(kāi)放數據復制工具進(jìn)行復制…………………………………………128
7．4制作合格的司法鑒定硬盤(pán)復件……………………………………………………132
7．4．1制作引導盤(pán)………………………………………………………………132
7．4．2用SafeBack制作合格的司法鑒定復件…………………………………134
7．4．3用EnCase制作合格的司法鑒定復件……………………………………136
7．5 小結……………………………………………………………………………………………… 1 39
7．6 I司題………………………………………………………………………………140
第8章收集網(wǎng)絡(luò )證據………………………………………………………………………141
8．1 網(wǎng)絡(luò )證據……………………………………………………………………………141
8．2網(wǎng)絡(luò )監視的目的……………………………………………………………………141
8．3網(wǎng)絡(luò )監視的類(lèi)型……………………………………………………………………142
8．3．1事件監視…………………………………………………………………142
8．3．2陷阱跟蹤監視……………………………………………………………142
8．3．3全內容監視………………………………………………………………143
8．4安裝網(wǎng)絡(luò )監視系統…………………………………………………………………144
8．4．1確定監視的目標…………………………………………………………144
8．4．2選擇合適的硬件…………………………………………………………145
8．4．3選擇合適的軟件…………………………………………………………147
8．4．4部署網(wǎng)絡(luò )監視器…………………………………………………………150
8．4．5評價(jià)網(wǎng)絡(luò )監視器…………………………………………………………151
8．5執行陷阱跟蹤………………………………………………………………………152
8．5．1用tcpdump進(jìn)行陷阱跟蹤………………………………………………153
8．5．2用WinDump進(jìn)行陷阱跟蹤………………………………………………155
8．5．3創(chuàng )建陷阱跟蹤輸出文件…………………………………………………155
8．6用tcpdump進(jìn)行全內容監視………………………………………………………156
8．6．1過(guò)濾全內容數據…………………………………………………………157
8．6．2保存全內容數據文件……………………………………………………157
8．7收集網(wǎng)絡(luò )日志文件…………………………………………………………………158
8．8小結……………………………………………………………………………………………………………159
8．9問(wèn)題…………………………………………………………………………………159
第9章證據處理……………………………………………………………………………161
9．1 證據…………………………………………………………………………………161
9．1．1最優(yōu)證據規則……………………………………………………………162
9．1．2原始證據…………………………………………………………………162
9．2 tie據處理……………………………………………………………………………162
9．2．1證據鑒定…………………………………………………………………163
9．2．2保管鏈……………………………………………………………………163
9．2．3證據確認…………………………………………………………………164
9．3證據處理程序概述…………………………………………………………………165
9．3．1證據系統描述……………………………………………………………165
9．3．2數碼照片…………………………………………………………………167
9．3．3證據標簽…………………………………………………………………167
9．3．4證據標記…………………………………………………………………169
9．3．5證據存儲…………………………………………………………………169
9．3．6 i,JE據日志…………………………………………………………………17 1
9．3．7 32作副本…………………………………………………………………172
9．3．8證據備份…………………………………………………………………172
9．3．9證據處置…………………………………………………………………173
9．3．10 i~據管理員審核…………………………………………………………173
9．4小結……………………………………………………………………………………………………………174
9．5 I司題…………………………………………………………………………………174
第3部分數據分析
第1 0章計算機系統存儲基礎……………………………………………………………175
10．1硬盤(pán)與接口………………………………………………………………………175
10．1．1快速發(fā)展的ATA標準……………………………………………………176
10．1．2 SCSI……………………………………………………………………………179
10．2準備硬盤(pán)…………………………………………………………………………182
10．2．1擦除存儲介質(zhì)……………………………………………………………182
10．2．2磁盤(pán)的分區和格式化……………………………………………………183
10．3文件系統和存儲層介紹…………………………………………………………186
10．3．1物理層……………………………………………………………………187
10．3．2數據分類(lèi)層………………………………………………………………1 87
10．3．3分配單元層………………………………………………………………1 88
10．3．4存儲空間管理層…………………………………………………………189
10．3．5信息分類(lèi)層和應用級存儲層……………………………………………190
10．4 小結…………………………………………………………………………………………………………190
10．5 問(wèn)題………………………………………………………………………………191
第1 1章數據分析技術(shù)………………………………………………………………………192
11．1 司法鑒定分析的準備工作………………………………………………………192
1 1．2恢復司法鑒定復件………………………………………………………………193
11．2．1恢復硬盤(pán)的司法鑒定復件………………………………………………193
11．2．2恢復硬盤(pán)的合格司法鑒定復件…………………………………………195
11．3在Linux下準備分析用的司法鑒定復件…………………………………………199
11．3．1檢查司法鑒定復件文件…………………………………………………201
11．3．2聯(lián)系司法鑒定復件文件與Linux環(huán)回設備……………………………202
1 1．4用司法鑒定套件檢查映像文件…………………………………………………204
11．4．1在EnCase中檢查司法鑒定復件………………………………………204
11．4．2在Forensic Toolkit中檢查司法鑒定復件………………………………205
11．5將合格的司法鑒定復件轉換成司法鑒定復件…………………………………207
11．6在Windows系統中恢復被刪除的文件…………………………………………209
11．6．1使用基于Windows系統的工具來(lái)恢復FAT文件系統中的文件………209
11．6．2使用Linux 32具來(lái)恢復FAT文件系統中的文件………………………209
11．6．3使用文件恢復的圖形用戶(hù)界面：Autopsy………………………………213
11．6．4使用Foremost恢復丟失的文件…………………………………………216
11．6．5在Unix系統中恢復被刪除的文件………………………………………218
11．7恢復未分配空間、自由空間和松弛空間………………………………………223
11．8生成文件列表……………………………………………………………………225
11．8．1列出文件的元數據………………………………………………………225
1 1．8．2識別已知系統文件………………………………………………………228
11．9準備用于查找字符串的驅動(dòng)器…………………………………………………228
11．10小結……………………………………………………………………………233
11．1l 問(wèn)題………………………………………………………………………………233
第1 2章調查Windows系統………………………………………………………………235
12．1 Windows系統中的證據存放位置………………………………………………235
12．2調查Windows……………………………………………………………………236
12．2．1檢查所有相關(guān)日志………………………………………………………236
12．2．2進(jìn)行關(guān)鍵字搜索…………………………………………………………243
12．2．3檢查相關(guān)文件……………………………………………………………244
12．2．4識別未授權的用戶(hù)賬戶(hù)或用戶(hù)組………………………………………258
12．2．6識別惡意進(jìn)程……………………………………………………………259
12．2．7查找異�；螂[藏的文件…………………………………………………260
12．2．8檢查未授權的訪(fǎng)問(wèn)點(diǎn)……………………………………………………261
12．2．9檢查由計劃程序服務(wù)所運行的任務(wù)……………………………………264
12．2．10分析信任關(guān)系…………………………………………………………265
12．2．1 1檢查安全標識符………………………………………………………266
12．3文件審核和信息竊取……………………………………………………………266
12．4對離職雇員的處理………………………………………………………………268
12．4．1檢查搜索內容和使用過(guò)的文件…………………………………………268
12．4．2在硬盤(pán)上進(jìn)行字符串搜索………………………………………………269
12．5小結…………………………………………………………………………………………………………269
12．6問(wèn)題………………………………………………………………………………269
第1 3章調查Unix系統……………………………………………………………………270
13．1 Unix調查步驟概述………………………………………………………………270
13．2審查相關(guān)日志……………………………………………………………………271
13．2．1 網(wǎng)絡(luò )日志…………………………………………………………………271
13．2．2主機日志記錄……………………………………………………………274
13．2．3用戶(hù)操作日志……………………………………………………………275
13．3搜索關(guān)鍵字………………………………………………………………………276
13．3．1使用grep進(jìn)行字符串搜索………………………………………………277
13．3．2使用find命令進(jìn)行文件搜索……………………………………………278
13．4審查相關(guān)文件……………………………………………………………………278
13．4．1事件時(shí)間和時(shí)間／日期戳…………………………………………………279
13．4．2特殊文件…………………………………………………………………280
13．5識別未經(jīng)授權的用戶(hù)賬戶(hù)或用戶(hù)組……………………………………………284
13．5．1用戶(hù)賬戶(hù)調查……………………………………………………………284
13．5．2組賬戶(hù)調查………………………………………………………………284
13．6識別惡意進(jìn)程……………………………………………………………………285
1 3．7檢查未經(jīng)授權的訪(fǎng)問(wèn)點(diǎn)…………………………………………………………286
13．8分析信任關(guān)系……………………………………………………………………286
13．9檢測可加載木馬程序的內核模塊………………………………………………287
13．9．1現場(chǎng)系統上的LKM……………………………………………………287
13．9．2 LKM元素………………………………………………………………288
13．9．3 LKM檢測工具…………………………………………………………289
13．10小結…………………………………………………………………………………………………………292
13．1 1 問(wèn)題………………………………………………………………………………292
第1 4章 網(wǎng)絡(luò )通信分析……………………………………………………………………293
14．1 尋找基于網(wǎng)絡(luò )的證據……………………………………………………………293
14．1．1 網(wǎng)絡(luò )通信分析工具………………………………………………………293
14．1．2檢查用tcpdump收集的網(wǎng)絡(luò )通信………………………………………294
14．2用tcptrace生成會(huì )話(huà)數據…………………………………………………………295
14．2．1分析捕獲文件……………………………………………………………295
14．2．2解釋tcptrace輸出………………………………………………………297
14．2．3用Snort提取事件數據…………………………………………………298
14．2．4檢查SYN數據包………………………………………………………298
14．2．5解釋Snort輸出…………………………………………………………302
14．3用tcpflow重組會(huì )話(huà)………………………………………………………………302
14．3．1 FTP會(huì )話(huà)………………………………………………………………………………………．303
14．3．2解釋tcpflow輸出………………………………………………………303
14．3．3查看SSH會(huì )話(huà)……………………………………………………………307
14．4用Ethereal重組會(huì )話(huà)……………………………………………………………309
14．5改進(jìn)tcpdump過(guò)濾器……………………………………………………………311
14．6小結…………………………………………………………………………………………………………3 12
14．7 問(wèn)題………………………………………………………………………………3 1 2
第1 5章黑客工具研究……………………………………………………………………3 17
15．1 I具分析的目的…………………………………………………………………317
15．2文件編譯方式……………………………………………………………………3 17
15．2．1靜態(tài)鏈接的程序…………………………………………………………318
15．2．2動(dòng)態(tài)鏈接的程序…………………………………………………………318
15．2．3用調試選項編譯程序……………………………………………………3 19
15．2．4精簡(jiǎn)化的程序……………………………………………………………320
15．2．5用UPX壓縮的程序……………………………………………………320
15．2．6編譯技術(shù)和文件分析……………………………………………………322
15．3黑客工具的靜態(tài)分析……………………………………………………………324
15．3．1確定文件類(lèi)型……………………………………………………………325
15．3．2檢查ASCII和Unicode字符串…………………………………………326
15．3．3在線(xiàn)研究…………………………………………………………………328
15．3．4檢查源代碼………………………………………………………………329
15．4黑客工具的動(dòng)態(tài)分析……………………………………………………………329
15．4．1創(chuàng )建沙箱環(huán)境……………………………………………………………329
15．4．2 Unix系統上的動(dòng)態(tài)分析…………………………………………………331
15．4．3 Windows系統下的動(dòng)態(tài)分析……………………………………………339
15．5小結…………………………………………………………………………………………………………343
15．6 問(wèn)題………………………………………………………………343
第1 6章研究路由器………………………………………………………………………344
16．1 在關(guān)機之前獲得易失性數據……………………………………………………344
16．1．1建立路由器連接…………………………………………………………345
16．1．2 i~錄系統時(shí)問(wèn)……………………………………………………………345
16．1．3判斷登錄到路由器的人…………………………………………………345
16．1．4確定路由器的正常運行時(shí)間……………………………………………346
16．1．5判斷偵聽(tīng)套接字…………………………………………………………347
16．1．6保存路由器的配置………………………………………………………348
16．1．7查看路由表………………………………………………………………349
16．1．8檢查接口配置……………………………………………………………350
16．1．9查看ARP緩存…………………………………………………………350
16．2尋找證據…………………………………………………………………………351
16．2．1處理直接威脅事件………………………………………………………35 1
16．2．2處理路由表操縱事件……………………………………………………353
16．2．3處理信息失竊事件………………………………………………………353
16．2．4處理拒絕服務(wù)攻擊………………………………………………………354
16．3用路由器作為響應工具…………………………………………………………355
16．3．1 tN解訪(fǎng)問(wèn)控制列表………………………………………………………355
16．3．2用路由器進(jìn)行監測………………………………………………………357
16．3．3 D向應DDoS攻擊…………………………………………………………358
16．4小結…………………………………………………………………………………………………………359
16．5問(wèn)題………………………………………………………………………………359
第1 7章撰寫(xiě)計算機司法鑒定報告…………………………………………………………360
17．1什么是計算機司法鑒定報告……………………………………………………360
17．1．1什么是鑒定報告…………………………………………………………360
17．1．2報告的目標………………………………………………………………361
17．2撰寫(xiě)報告的指導方針……………………………………………………………362
17．2．1迅速并清楚地記錄調查步驟……………………………………………363
17．2．2了解分析目的……………………………………………………………363
17．2．3組織報告…………………………………………………………………364
17．2．4使用模板…………………………………………………………………364
17．2．5使用一致的標識符………………………………………………………365
17．2．6使用附件和附錄…………………………………………………………365
17．2．7讓同事閱讀報告…………………………………………………………365
17．2．8使用MD5哈�！�………………………………………………………366
17．2．9包括元數據………………………………………………………………366
17．3計算機司法鑒定報告模板………………………………………………………367
17．3．1 執行摘要…………………………………………………………………368
17．3．2 目標………………………………………………………………………368
17．3．3經(jīng)過(guò)分析的計算機證據…………………………………………………369
17．3．4相關(guān)調查結果……………………………………………………………370
17．3．5支持性細節………………………………………………………………370
17．3．6調查線(xiàn)索…………………………………………………………………372
17．3．7附加的報告部分…………………………………………………………373
17．4小結…………………………………………………………………………………………………………374
17．5 問(wèn)題…………………………………………………………………………………………………………374
第4部分附 錄
附錄A問(wèn)題解答……………………………………………………………………………375
附錄B應急響應表格………………………………………………………………………393
總計400頁(yè)