《應急回響&計算機司法鑑定(第2版)》是2004年清華大學出版社出版的圖書。
基本介紹
- 書名:應急回響&計算機司法鑑定(第2版)
- ISBN:9787302097275
- 定價:49.9元
- 出版社:清華大學出版社
- 出版時間:2004-11-16
- 裝幀:平裝
圖書詳細信息,圖書簡介,目錄,
圖書詳細信息
ISBN:9787302097275
定價:49.9元
印次:1-1
裝幀:平裝
印刷日期:2004-11-16
圖書簡介
新增的和更新的內容如下
·新增了貫穿全書的真實情景
·收集現場數據和調查Windows和Unix系統的最新方法
·更新了司法鑑定複製的內容
·新增了緊急網路安全監控章節
·新增了公司證據處理流程章節
·新增了數據準備章節,詳細說明了硬碟接口和數據存儲原則
·新增了數據提取和分析章節
·最新的網路通信分析技術
·調查和評估黑客工具的最新方法
目錄
第1部分簡介
第1章現實生活中的突發事件
1.1影響回響的因素
1.2跨國犯罪
1.2.1歡迎來到Invita
1.2.2PathStar陰謀
1.3傳統的黑客行為
1.4小結
第2章應急回響過程簡介
2.1計算機安全事件的意義
2.2應急回響的目標
2.3應急回響小組參與人員
2.4應急回響方法
2.4.1事前準備
2.4.2發現事件
2.4.3初始回響
2.4.4制定回響策略
2.4.5調查事件
2.4.6報告
2.4.7解決方案
2.5小結
2.6問題
第3章為應急回響做準備
3.1突發事件預防準備概述
3.2識別風險
3.3單個主機的準備工作
3.3.1記錄關鍵檔案的加密校驗和
3.3.2增加或者啟用安全審核日誌記錄
3.3.3增強主機防禦
3.3.4備份關鍵數據
3.3.5對用戶進行基於主機的安全教育
3.4準備網路
3.4.1安裝防火牆和入侵偵測系統
3.4.2在路由器上使用訪問控制列表
3.4.3創建有助於監視的網路拓撲結構
3.4.4加密網路流量
3.4.5要求身份驗證
3.5制訂恰當的策略和規程
3.5.1決定回響立場
3.5.2理解策略如何輔助調查措施
3.5.3制定可接受的使用策略
3.5.4設計AUP
3.5.5制定應急回響規程
3.6創建回響工具包
3.6.1回響硬體
3.6.2回響軟體
3.6.3網路監視平台
3.6.4文檔
3.7建立應急回響小組
3.7.1決定小組的任務
3.7.2對小組進行培訓
3.8小結
3.9問題
第4章應急回響
4.1初始回響階段概述
4.1.1獲取初步資料
4.1.2應對措施備案
4.2建立突發事件通知程式
4.3記錄事發詳情
4.3.1初始回響檢查表
4.3.2案例記錄
4.4突發事件聲明
4.5組建CSIRT
4.5.1突發事件升級處理
4.5.2執行突發事件通知
4.5.3審視突發事件並配備合適的資源
4.6執行例行調查步驟
4.7約見
4.7.1獲得聯繫信息
4.7.2約見系統管理員
4.7.3約見管理人員
4.7.4約見終端用戶
4.8制定回響策略
4.8.1應對策略注意事項
4.8.2策略驗證
4.9小結
4.10問題
第2部分數據收集
第5章Windows系統下的現場數據收集
5.1創建回響工具箱
5.1.1常用回響工具
5.1.2準備工具箱
5.2保存初始回響信息
5.2.1套用netcat傳輸數據
5.2.2使用cryptcat加密數據
5.3獲取易失性數據
5.3.1組織並備案調查過程
5.3.2收集易失性數據
5.3.3編寫初始回響腳本
5.4進行深入的現場回響
5.4.1收集最易失的數據
5.4.2創建深入的調查工具箱
5.4.3收集現場回響數據
5.5製作司法鑑定復件的必要性
5.6小結
5.7問題
第6章Unix系統下的現場數據收集
6.1創建回響工具包
6.2保存初始回響信息
6.3在進行司法鑑定複製之前獲得易失性數據
6.3.1收集數據
6.3.2編寫初始回響腳本
6.4進行深入的現場回響
6.4.1偵測可裝載核心模組rootkit
6.4.2獲得現場系統曰志
6.4.3獲得重要的配置檔案
6.4.4查找系統中的非法嗅探器
6.4.5查看/proc檔案系統
6.4.6轉儲系統記憶體
6.5小結
6.6問題
第7章司法鑑定復件
7.1可作為呈堂作證的司法鑑定復件
7.1.1司法鑑定復件
7.1.2合格的司法鑑定復件
7.1.3被恢復的映像
7.1.4鏡像
7.2司法鑑定複製工具的要求
7.3製作硬碟的司法鑑定復件
7.3.1用dd和dcfldd複製
7.3.2用開放數據複製工具進行複製
7.4製作合格的司法鑑定硬碟復件
7.4.1製作引導盤
7.4.2用SafeBack製作合格的司法鑑定復件
7.4.3用EnCase製作合格的司法鑑定復件
7.5小結
7.6問題
第8章收集網路證據
8.1網路證據
8.2網路監視的目的
8.3網路監視的類型
8.3.1事件監視
8.3.2陷阱跟蹤監視
8.3.3全內容監視
8.4安裝網路監視系統
8.4.1確定監視的目標
8.4.2選擇合適的硬體
8.4.3選擇合適的軟體
8.4.4部署網路監視器
8.4.5評價網路監視器
8.5執行陷阱跟蹤
8.5.1用tcpdump進行陷阱跟蹤
8.5.2用WinDump進行陷阱跟蹤
8.5.3創建陷阱跟蹤輸出檔案
8.6用tcpdump進行全內容監視
8.6.1過濾全內容數據
8.6.2保存全內容數據檔案
8.7收集網路日誌檔案
8.8小結
8.9問題
第9章證據處理
9.1證據
9.1.1最優證據規則
9.1.2原始證據
9.2證據處理
9.2.1證據鑑定
9.2.2保管鏈
9.2.3證據確認
9.3證據處理程式概述
9.3.1證據系統描述
9.3.2數碼照片
9.3.3證據標籤
9.3.4證據標記
9.3.5證據存儲
9.3.6證據日誌
9.3.7工作副本
9.3.8證據備份
9.3.9證據處置
9.3.10證據管理員審核
9.4小結
9.5問題
第3部分數據分析
第10章計算機系統存儲基礎
10.1硬碟與接口
10.1.1快速發展的ATA標準
10.1.2SCSI
10.2準備硬碟
10.2.1擦除存儲介質
10.2.2磁碟的分區和格式化
10.3檔案系統和存儲層介紹
10.3.1物理層
10.3.2數據分類層
10.3.3分配單元層
10.3.4存儲空間管理層
10.3.5信息分類層和套用級存儲層
10.4小結
10.5問題
第11章數據分析技術
11.6.1使用基於Windows系統的工具來恢復FAT檔案系統中的檔案
11.6.2使用Linux工具來恢復FAT檔案系統中的檔案
11.6.3使用檔案恢復的圖形用戶界面:Autopsy
11.6.4使用Foremost恢復丟失的檔案
11.6.5在Unix系統中恢復被刪除的檔案
11.7恢復未分配空間、自由空間和鬆弛空間
11.8生成檔案列表
11.8.1出檔案的元數據
11.8.2識別已知系統檔案
11.9準備用於查找字元串的驅動器
11.10小結
11.11問題
第12章調查Windows系統
12.1Windows系統中的證據存放位置
12.2調查Windows
12.2.1檢查所有相關日誌
12.2.2進行關鍵字搜尋
12.2.3檢查相關檔案
12.2.4識別未授權的用戶賬戶或用戶組
12.2.6識別惡意進程
12.2.7查找異常或隱藏的檔案
12.2.8檢查未授權的訪問點
12.2.9檢查由計畫程式服務所運行的任務
12.2.10分析信任關係
12.2.11檢查安全標識符
12.3檔案審核和信息竊取
12.4對離職雇員的處理
12.4.1檢查搜尋內容和使用過的檔案
12.4.2在硬碟上進行字元串搜尋
12.5小結
12.6問題
第13章調查Unix系統
13.1Unix調查步驟概述
13.2審查相關日誌
13.2.1網路日誌
13.2.2主機日誌記錄
13.2.3用戶操作目志
13.3搜尋關鍵字
13.3.1使用grep進行字元串搜尋
13.3.2使用find命令進行檔案搜尋
13.4審查相關檔案
13.4.1事件時間和時間/日期戳
13.4.2特殊檔案
13.5識別未經授權的用戶賬戶或用戶組
13.5.1用戶賬戶調查
13.5.2組賬戶調查
13.6識別惡意進程
13.7檢查未經授權的訪問點
13.8分析信任關係
13.9檢測可載入木馬程式的核心模組
13.9.1現場系統上的LKM
13.9.2LKM元素
13.9.3LKM檢測工具
13.10小結
13.11問題
第14章網路通信分析
14.1尋找基於網路的證據
14.1.1網路通信分析工具
14.1.2檢查用tcpdump收集的網路通信
14.2用tcptrace生成會話數據
14.2.1分析捕獲檔案
14.2.2解釋tcptrace輸出
14.2.3用Snort提取事件數據
14.2.4檢查SYN數據包
14.2.5解釋Snort輸出
14.3用tcpflow重組會話
14.3.1FTP會話
14.3.2解釋tcpflow輸出
14.3.3查看SSH會話
14.4用Ethereal重組會話
14.5改進tcpdump過濾器
14.6小結
14.7問題
第15章黑客工具研究
15.1工具分析的目的
15.2檔案編譯方式
15.2.1靜態連結的程式
15.2.2動態連結的程式
15.2.3用調試選項編譯程式
15.2.4精簡化的程式
15.2.5用UPX壓縮的程式
15.2.6編譯技術和檔案分析
15.3黑客工具的靜態分析
15.3.1確定檔案類型
15.3.2檢查ASCII和Unicode字元串
15.3.3線上研究
15.3.4檢查原始碼
15.4黑客工具的動態分析
15.4.1創建沙箱環境
15.4.2Unix系統上的動態分析
15.4.3Windows系統下的動態分析
15.5小結
15.6問題
第16章研究路由器
16.1在關機之前獲得易失性數據
16.1.1建立路由器連線
16.1.2記錄系統時間
16.1.3判斷登錄到路由器的人
16.1.4確定路由器的正常運行時間
16.1.5判斷偵聽套接字
16.1.6保存路由器的配置
16.1.7查看路由表
16.1.8檢查接口配置
16.1.9查看ARP快取
16.2尋找證據
16.2.1處理直接威脅事件
16.2.2處理路由表操縱事件
16.2.3處理信息失竊事件
16.2.4處理拒絕服務攻擊
16.3用路由器作為回響工具
16.3.1理解訪問控制列表
16.3.2用路由器進行監測
16.3.3回響DDoS攻擊
16.4小結
16.5問題
第17章撰寫計算機司法鑑定報告
17.1什麼是計算機司法鑑定報告
17.1.1什麼是鑑定報告
17.1.2報告的目標
17.2撰寫報告的指導方針
17.2.1迅速並清楚地記錄調查步驟
17.2.2了解分析目的
17.2.3組織報告
17.2.4使用模板
17.2.5使用一致的標識符
17.2.6使用附屬檔案和附錄
17.2.7讓同事閱讀報告
17.2.8使用MD5哈希
17.2.9包括元數據
17.3計算機司法鑑定報告模板
17.3.1執行摘要
17.3.2目標
17.3.3經過分析的計算機證據
17.3.4相關調查結果
17.3.5支持性細節
17.3.6調查線索
17.3.7附加的報告部分
17.4小結
17.5問題
第4部分附錄
附錄A問題解答
附錄B應急回響表格
