• 法律圖書(shū)館

  • 新法規速遞

  • 應急響應&計算機司法鑒定(第2版)
    編號:18923
    書(shū)名:應急響應&計算機司法鑒定(第2版)
    作者:KEVIN MANDIA
    出版社:清華
    出版時(shí)間:2004年11月
    入庫時(shí)間:2005-5-30
    定價(jià):49.9
    該書(shū)暫缺

    圖書(shū)內容簡(jiǎn)介

    沒(méi)有圖書(shū)簡(jiǎn)介

    圖書(shū)目錄

    第1部分簡(jiǎn) 介
    第1章現實(shí)生活中的突發(fā)事件………………………………………………………………1
    1.1影響響應的因素………………………………………………………………………l
    1.2跨國犯罪………………………………………………………………2
    1.2.1 歡迎來(lái)到Invita………………………………………………………………2
    1.2.2 PathStar陰謀…………………………………………………………………3
    1.3傳統的黑客行為………………………………………………………………………4
    1.4小結……………………………………………………………………………………6
    第2章應急響應過(guò)程簡(jiǎn)介……………………………………………………………………7
    2.1計算機安全事件的意義………………………………………………………………7
    2.2應急響應的目標………………………………………………………………………8
    2.3應急響應小組參與人員………………………………………………………………8
    2.4應急響應方法………………………………………………………………………9
    2.4.1 事前準備……………………………………………………………………10
    2.4.2發(fā)現事件……………………………………………………………………ll
    2.4.3初始響應……………………………………………………………………12
    2.4.4制定響應策略………………………………………………………………13
    2.4.5調查事件……………………………………………………………………17
    2.4.6報告…………………………………………………………………………20
    2.4.7解決方案……………………………………………………………………21
    2.5小結…………………………………………………………………………………22
    2.6問(wèn)題…………………………………………………………………22
    第3章為應急響應做準備……………………………………………………………………24
    3.1 突發(fā)事件預防準備概述……………………………………………………………24
    3.2識別風(fēng)險……………………………………………………………………………25
    3.3單個(gè)主機的準備工作………………………………………………………………26
    3.3.1記錄關(guān)鍵文件的加密校驗和………………………………………………26
    3.3.2增加或者啟用安全審核日志記錄…………………………………………29
    3.3.3增強主機防御………………………………………………………………34
    3.3.4備份關(guān)鍵數據………………………………………………………………35
    3.3.5對用戶(hù)進(jìn)行基于主機的安全教育…………………………………………37
    3.4準備網(wǎng)絡(luò )……………………………………………………………………………37
    3.4.1 安裝防火墻和入侵偵測系統……………………………………………38
    3.4.2在路由器上使用訪(fǎng)問(wèn)控制列表……………………………………………38
    3.4.3創(chuàng )建有助于監視的網(wǎng)絡(luò )拓撲結構…………………………………………39
    3.4.4加密網(wǎng)絡(luò )流量………………………………………………………………40
    3.4.5要求身份驗證………………………………………………………………40
    3.5制訂恰當的策略和規程……………………………………………………………41
    3.5.1決定響應立場(chǎng)………………………………………………………………42
    3.5.2理解策略如何輔助調查措施………………………………………………44
    3.5.3制定可接受的使用策略……………………………………………………49
    3.5.4設計AUP…………………………………………………………………………………………51
    3.5.5制定應急響應規程…………………………………………………………52
    3.6創(chuàng )建響應工具包……………………………………………………………………53
    3.6.1 響應硬件……………………………………………………………………53
    3.6.2 響應軟件……………………………………………………………………54
    3.6.3 網(wǎng)絡(luò )監視平臺………………………………………………………………54
    3.6.4文檔…………………………………………………………………………55
    3.7建立應急響應小組…………………………………………………………………55
    3.7.1 決定小組的任務(wù)……………………………………………………………55
    3.7.2對小組進(jìn)行培訓……………………………………………………………56
    3.8 小結………………………………………………………………………………………………………………58
    3.9 問(wèn)題…………………………………………………………………………………58
    第4章應急響應……………………………………………………………………………59
    4.1初始響應階段概述…………………………………………………………………59
    4.1.1獲取初步資料………………………………………………………………60
    4.1.2應對措施備案………………………………………………………………60
    4.2建立突發(fā)事件通知程序……………………………………………………………60
    4.3記錄事發(fā)詳情………………………………………………………………………6l
    4.3.1初始響應檢查表……………………………………………………………6l
    4.3.2案例記錄……………………………………………………………………63
    4.4突發(fā)事件聲明……………………………………………………………………63
    4.5組建CSIRT…………………………………………………………………………64
    4.5.1突發(fā)事件升級處理…………………………………………………………64
    4.5.2執行突發(fā)事件通知…………………………………………………………65
    4.5.3審視突發(fā)事件并配備合適的資源…………………………………………66
    4.6執行例行調查步驟…………………………………………………………………68
    4.7約見(jiàn)………………………………………………………………………………………………………………68
    4.7.1獲得聯(lián)系信息………………………………………………………………69
    4.7.2約見(jiàn)系統管理員……………………………………………………………70
    4.7.3約見(jiàn)管理人員………………………………………………………………70
    4.7.4約見(jiàn)終端用戶(hù)………………………………………………………………71
    4.8制定響應策略………………………………………………………………………7l
    4.8.1應對策略注意事項…………………………………………………………72
    4.8.2策略驗證……………………………………………………………………72
    4.9小結………………………………………………………………………………………………………………73
    4.10問(wèn)題…………………………………………………………………………………73
    第2部分數據收集
    第5章Windows系統下的現場(chǎng)數據收集………………………………………………74
    5.1創(chuàng )建響應工具箱……………………………………………………………………74
    5.1.1常用響應工具………………………………………………………………75
    5.1.2準備工具箱…………………………………………………………………76
    5.2保存初始響應信息…………………………………………………………………77
    5.2.1應用netcat傳輸數據………………………………………………………77
    5.2.2使用cryptcat加密數據……………………………………………………79
    5.3獲取易失性數據……………………………………………………………………79
    5.3.1組織并備案調查過(guò)程………………………………………………………80
    5.3.2收集易失性數據……………………………………………………………8l
    5.3.3編寫(xiě)初始響應腳本…………………………………………………………89
    5.4進(jìn)行深入的現場(chǎng)響應………………………………………………………………90
    5.4.1 收集最易失的數據…………………………………………………………90
    5.4.2創(chuàng )建深入的調查工具箱……………………………………………………91
    5.4.3收集現場(chǎng)響應數據…………………………………………………………91
    5.5制作司法鑒定復件的必要性………………………………………………………97
    5.6 小結………………………………………………………………………………………………………………98
    5.7 問(wèn)題………………………………………………………………………………………………………………98
    第6章Unix系統下的現場(chǎng)數據收集………………………………………………………99
    6.1創(chuàng )建響應工具包………………………………………………………………………99
    6.2保存初始響應信息…………………………………………………………………100
    6.3在進(jìn)行司法鑒定復制之前獲得易失性數據………………………………………101
    6.3.1 收集數據…………………………………………………………………101
    6.3.2編寫(xiě)初始響應腳本………………………………………………………1 10
    6.4進(jìn)行深入的現場(chǎng)響應………………………………………………………………1 10
    6.4.1偵測可裝載內核模塊rootkit……………………………………………110
    6.4.2獲得現場(chǎng)系統日志………………………………………………………1 12
    6.4.3獲得重要的配置文件……………………………………………………1 13
    6.4.4查找系統中的非法嗅探器………………………………………………113
    6.4.5查看/Droc文件系統………………………………………………………1 16
    6.4.6轉儲系統內存……………………………………………………………1 19
    6.5.小結………………………………………………………………………………120
    6.6問(wèn)題……………………………………………………………………………………………………………121
    第7章 司法鑒定復件………………………………………………………………………122
    7.1 可作為呈堂作證的司法鑒定復件…………………………………………………122
    7.1.1司法鑒定復件……………………………………………………………123
    7.1.2合格的司法鑒定復件……………………………………………………123
    7.1.3被恢復的映像……………………………………………………………123
    7.1.4鏡像………………………………………………………………………………………………124
    7.2司法鑒定復制工具的要求…………………………………………………………125
    7.3制作硬盤(pán)的司法鑒定復件…………………………………………………………126
    7.3.1 用dd和dcfldd復制……………………………………………………127
    7.3.2用開(kāi)放數據復制工具進(jìn)行復制…………………………………………128
    7.4制作合格的司法鑒定硬盤(pán)復件……………………………………………………132
    7.4.1制作引導盤(pán)………………………………………………………………132
    7.4.2用SafeBack制作合格的司法鑒定復件…………………………………134
    7.4.3用EnCase制作合格的司法鑒定復件……………………………………136
    7.5 小結……………………………………………………………………………………………… 1 39
    7.6 I司題………………………………………………………………………………140
    第8章收集網(wǎng)絡(luò )證據………………………………………………………………………141
    8.1 網(wǎng)絡(luò )證據……………………………………………………………………………141
    8.2網(wǎng)絡(luò )監視的目的……………………………………………………………………141
    8.3網(wǎng)絡(luò )監視的類(lèi)型……………………………………………………………………142
    8.3.1事件監視…………………………………………………………………142
    8.3.2陷阱跟蹤監視……………………………………………………………142
    8.3.3全內容監視………………………………………………………………143
    8.4安裝網(wǎng)絡(luò )監視系統…………………………………………………………………144
    8.4.1確定監視的目標…………………………………………………………144
    8.4.2選擇合適的硬件…………………………………………………………145
    8.4.3選擇合適的軟件…………………………………………………………147
    8.4.4部署網(wǎng)絡(luò )監視器…………………………………………………………150
    8.4.5評價(jià)網(wǎng)絡(luò )監視器…………………………………………………………151
    8.5執行陷阱跟蹤………………………………………………………………………152
    8.5.1用tcpdump進(jìn)行陷阱跟蹤………………………………………………153
    8.5.2用WinDump進(jìn)行陷阱跟蹤………………………………………………155
    8.5.3創(chuàng )建陷阱跟蹤輸出文件…………………………………………………155
    8.6用tcpdump進(jìn)行全內容監視………………………………………………………156
    8.6.1過(guò)濾全內容數據…………………………………………………………157
    8.6.2保存全內容數據文件……………………………………………………157
    8.7收集網(wǎng)絡(luò )日志文件…………………………………………………………………158
    8.8小結……………………………………………………………………………………………………………159
    8.9問(wèn)題…………………………………………………………………………………159
    第9章證據處理……………………………………………………………………………161
    9.1 證據…………………………………………………………………………………161
    9.1.1最優(yōu)證據規則……………………………………………………………162
    9.1.2原始證據…………………………………………………………………162
    9.2 tie據處理……………………………………………………………………………162
    9.2.1證據鑒定…………………………………………………………………163
    9.2.2保管鏈……………………………………………………………………163
    9.2.3證據確認…………………………………………………………………164
    9.3證據處理程序概述…………………………………………………………………165
    9.3.1證據系統描述……………………………………………………………165
    9.3.2數碼照片…………………………………………………………………167
    9.3.3證據標簽…………………………………………………………………167
    9.3.4證據標記…………………………………………………………………169
    9.3.5證據存儲…………………………………………………………………169
    9.3.6 i,JE據日志…………………………………………………………………17 1
    9.3.7 32作副本…………………………………………………………………172
    9.3.8證據備份…………………………………………………………………172
    9.3.9證據處置…………………………………………………………………173
    9.3.10 i~據管理員審核…………………………………………………………173
    9.4小結……………………………………………………………………………………………………………174
    9.5 I司題…………………………………………………………………………………174
    第3部分數據分析
    第1 0章計算機系統存儲基礎……………………………………………………………175
    10.1硬盤(pán)與接口………………………………………………………………………175
    10.1.1快速發(fā)展的ATA標準……………………………………………………176
    10.1.2 SCSI……………………………………………………………………………179
    10.2準備硬盤(pán)…………………………………………………………………………182
    10.2.1擦除存儲介質(zhì)……………………………………………………………182
    10.2.2磁盤(pán)的分區和格式化……………………………………………………183
    10.3文件系統和存儲層介紹…………………………………………………………186
    10.3.1物理層……………………………………………………………………187
    10.3.2數據分類(lèi)層………………………………………………………………1 87
    10.3.3分配單元層………………………………………………………………1 88
    10.3.4存儲空間管理層…………………………………………………………189
    10.3.5信息分類(lèi)層和應用級存儲層……………………………………………190
    10.4 小結…………………………………………………………………………………………………………190
    10.5 問(wèn)題………………………………………………………………………………191
    第1 1章數據分析技術(shù)………………………………………………………………………192
    11.1 司法鑒定分析的準備工作………………………………………………………192
    1 1.2恢復司法鑒定復件………………………………………………………………193
    11.2.1恢復硬盤(pán)的司法鑒定復件………………………………………………193
    11.2.2恢復硬盤(pán)的合格司法鑒定復件…………………………………………195
    11.3在Linux下準備分析用的司法鑒定復件…………………………………………199
    11.3.1檢查司法鑒定復件文件…………………………………………………201
    11.3.2聯(lián)系司法鑒定復件文件與Linux環(huán)回設備……………………………202
    1 1.4用司法鑒定套件檢查映像文件…………………………………………………204
    11.4.1在EnCase中檢查司法鑒定復件………………………………………204
    11.4.2在Forensic Toolkit中檢查司法鑒定復件………………………………205
    11.5將合格的司法鑒定復件轉換成司法鑒定復件…………………………………207
    11.6在Windows系統中恢復被刪除的文件…………………………………………209
    11.6.1使用基于Windows系統的工具來(lái)恢復FAT文件系統中的文件………209
    11.6.2使用Linux 32具來(lái)恢復FAT文件系統中的文件………………………209
    11.6.3使用文件恢復的圖形用戶(hù)界面:Autopsy………………………………213
    11.6.4使用Foremost恢復丟失的文件…………………………………………216
    11.6.5在Unix系統中恢復被刪除的文件………………………………………218
    11.7恢復未分配空間、自由空間和松弛空間………………………………………223
    11.8生成文件列表……………………………………………………………………225
    11.8.1列出文件的元數據………………………………………………………225
    1 1.8.2識別已知系統文件………………………………………………………228
    11.9準備用于查找字符串的驅動(dòng)器…………………………………………………228
    11.10小結……………………………………………………………………………233
    11.1l 問(wèn)題………………………………………………………………………………233
    第1 2章調查Windows系統………………………………………………………………235
    12.1 Windows系統中的證據存放位置………………………………………………235
    12.2調查Windows……………………………………………………………………236
    12.2.1檢查所有相關(guān)日志………………………………………………………236
    12.2.2進(jìn)行關(guān)鍵字搜索…………………………………………………………243
    12.2.3檢查相關(guān)文件……………………………………………………………244
    12.2.4識別未授權的用戶(hù)賬戶(hù)或用戶(hù)組………………………………………258
    12.2.6識別惡意進(jìn)程……………………………………………………………259
    12.2.7查找異;螂[藏的文件…………………………………………………260
    12.2.8檢查未授權的訪(fǎng)問(wèn)點(diǎn)……………………………………………………261
    12.2.9檢查由計劃程序服務(wù)所運行的任務(wù)……………………………………264
    12.2.10分析信任關(guān)系…………………………………………………………265
    12.2.1 1檢查安全標識符………………………………………………………266
    12.3文件審核和信息竊取……………………………………………………………266
    12.4對離職雇員的處理………………………………………………………………268
    12.4.1檢查搜索內容和使用過(guò)的文件…………………………………………268
    12.4.2在硬盤(pán)上進(jìn)行字符串搜索………………………………………………269
    12.5小結…………………………………………………………………………………………………………269
    12.6問(wèn)題………………………………………………………………………………269
    第1 3章調查Unix系統……………………………………………………………………270
    13.1 Unix調查步驟概述………………………………………………………………270
    13.2審查相關(guān)日志……………………………………………………………………271
    13.2.1 網(wǎng)絡(luò )日志…………………………………………………………………271
    13.2.2主機日志記錄……………………………………………………………274
    13.2.3用戶(hù)操作日志……………………………………………………………275
    13.3搜索關(guān)鍵字………………………………………………………………………276
    13.3.1使用grep進(jìn)行字符串搜索………………………………………………277
    13.3.2使用find命令進(jìn)行文件搜索……………………………………………278
    13.4審查相關(guān)文件……………………………………………………………………278
    13.4.1事件時(shí)間和時(shí)間/日期戳…………………………………………………279
    13.4.2特殊文件…………………………………………………………………280
    13.5識別未經(jīng)授權的用戶(hù)賬戶(hù)或用戶(hù)組……………………………………………284
    13.5.1用戶(hù)賬戶(hù)調查……………………………………………………………284
    13.5.2組賬戶(hù)調查………………………………………………………………284
    13.6識別惡意進(jìn)程……………………………………………………………………285
    1 3.7檢查未經(jīng)授權的訪(fǎng)問(wèn)點(diǎn)…………………………………………………………286
    13.8分析信任關(guān)系……………………………………………………………………286
    13.9檢測可加載木馬程序的內核模塊………………………………………………287
    13.9.1現場(chǎng)系統上的LKM……………………………………………………287
    13.9.2 LKM元素………………………………………………………………288
    13.9.3 LKM檢測工具…………………………………………………………289
    13.10小結…………………………………………………………………………………………………………292
    13.1 1 問(wèn)題………………………………………………………………………………292
    第1 4章 網(wǎng)絡(luò )通信分析……………………………………………………………………293
    14.1 尋找基于網(wǎng)絡(luò )的證據……………………………………………………………293
    14.1.1 網(wǎng)絡(luò )通信分析工具………………………………………………………293
    14.1.2檢查用tcpdump收集的網(wǎng)絡(luò )通信………………………………………294
    14.2用tcptrace生成會(huì )話(huà)數據…………………………………………………………295
    14.2.1分析捕獲文件……………………………………………………………295
    14.2.2解釋tcptrace輸出………………………………………………………297
    14.2.3用Snort提取事件數據…………………………………………………298
    14.2.4檢查SYN數據包………………………………………………………298
    14.2.5解釋Snort輸出…………………………………………………………302
    14.3用tcpflow重組會(huì )話(huà)………………………………………………………………302
    14.3.1 FTP會(huì )話(huà)……………………………………………………………………………………….303
    14.3.2解釋tcpflow輸出………………………………………………………303
    14.3.3查看SSH會(huì )話(huà)……………………………………………………………307
    14.4用Ethereal重組會(huì )話(huà)……………………………………………………………309
    14.5改進(jìn)tcpdump過(guò)濾器……………………………………………………………311
    14.6小結…………………………………………………………………………………………………………3 12
    14.7 問(wèn)題………………………………………………………………………………3 1 2
    第1 5章黑客工具研究……………………………………………………………………3 17
    15.1 I具分析的目的…………………………………………………………………317
    15.2文件編譯方式……………………………………………………………………3 17
    15.2.1靜態(tài)鏈接的程序…………………………………………………………318
    15.2.2動(dòng)態(tài)鏈接的程序…………………………………………………………318
    15.2.3用調試選項編譯程序……………………………………………………3 19
    15.2.4精簡(jiǎn)化的程序……………………………………………………………320
    15.2.5用UPX壓縮的程序……………………………………………………320
    15.2.6編譯技術(shù)和文件分析……………………………………………………322
    15.3黑客工具的靜態(tài)分析……………………………………………………………324
    15.3.1確定文件類(lèi)型……………………………………………………………325
    15.3.2檢查ASCII和Unicode字符串…………………………………………326
    15.3.3在線(xiàn)研究…………………………………………………………………328
    15.3.4檢查源代碼………………………………………………………………329
    15.4黑客工具的動(dòng)態(tài)分析……………………………………………………………329
    15.4.1創(chuàng )建沙箱環(huán)境……………………………………………………………329
    15.4.2 Unix系統上的動(dòng)態(tài)分析…………………………………………………331
    15.4.3 Windows系統下的動(dòng)態(tài)分析……………………………………………339
    15.5小結…………………………………………………………………………………………………………343
    15.6 問(wèn)題………………………………………………………………343
    第1 6章研究路由器………………………………………………………………………344
    16.1 在關(guān)機之前獲得易失性數據……………………………………………………344
    16.1.1建立路由器連接…………………………………………………………345
    16.1.2 i~錄系統時(shí)問(wèn)……………………………………………………………345
    16.1.3判斷登錄到路由器的人…………………………………………………345
    16.1.4確定路由器的正常運行時(shí)間……………………………………………346
    16.1.5判斷偵聽(tīng)套接字…………………………………………………………347
    16.1.6保存路由器的配置………………………………………………………348
    16.1.7查看路由表………………………………………………………………349
    16.1.8檢查接口配置……………………………………………………………350
    16.1.9查看ARP緩存…………………………………………………………350
    16.2尋找證據…………………………………………………………………………351
    16.2.1處理直接威脅事件………………………………………………………35 1
    16.2.2處理路由表操縱事件……………………………………………………353
    16.2.3處理信息失竊事件………………………………………………………353
    16.2.4處理拒絕服務(wù)攻擊………………………………………………………354
    16.3用路由器作為響應工具…………………………………………………………355
    16.3.1 tN解訪(fǎng)問(wèn)控制列表………………………………………………………355
    16.3.2用路由器進(jìn)行監測………………………………………………………357
    16.3.3 D向應DDoS攻擊…………………………………………………………358
    16.4小結…………………………………………………………………………………………………………359
    16.5問(wèn)題………………………………………………………………………………359
    第1 7章撰寫(xiě)計算機司法鑒定報告…………………………………………………………360
    17.1什么是計算機司法鑒定報告……………………………………………………360
    17.1.1什么是鑒定報告…………………………………………………………360
    17.1.2報告的目標………………………………………………………………361
    17.2撰寫(xiě)報告的指導方針……………………………………………………………362
    17.2.1迅速并清楚地記錄調查步驟……………………………………………363
    17.2.2了解分析目的……………………………………………………………363
    17.2.3組織報告…………………………………………………………………364
    17.2.4使用模板…………………………………………………………………364
    17.2.5使用一致的標識符………………………………………………………365
    17.2.6使用附件和附錄…………………………………………………………365
    17.2.7讓同事閱讀報告…………………………………………………………365
    17.2.8使用MD5哈!366
    17.2.9包括元數據………………………………………………………………366
    17.3計算機司法鑒定報告模板………………………………………………………367
    17.3.1 執行摘要…………………………………………………………………368
    17.3.2 目標………………………………………………………………………368
    17.3.3經(jīng)過(guò)分析的計算機證據…………………………………………………369
    17.3.4相關(guān)調查結果……………………………………………………………370
    17.3.5支持性細節………………………………………………………………370
    17.3.6調查線(xiàn)索…………………………………………………………………372
    17.3.7附加的報告部分…………………………………………………………373
    17.4小結…………………………………………………………………………………………………………374
    17.5 問(wèn)題…………………………………………………………………………………………………………374
    第4部分附 錄
    附錄A問(wèn)題解答……………………………………………………………………………375
    附錄B應急響應表格………………………………………………………………………393
    總計400頁(yè)

    Copyright © 1999-2024 法律圖書(shū)館

    .

    .

    99re66在线观看精品免费|亚洲精品国产自在现线最新|亚洲线精品一区二区三|色偷偷偷久久伊人大杳蕉|亚洲欧洲另类春色校园小说