《記憶體取證原理與實踐》是2020年3月人民郵電出版社出版的圖書,作者是王連海、張睿超、徐麗娟、張淑慧。
基本介紹
- 書名:記憶體取證原理與實踐
- 作者:王連海、張睿超、徐麗娟、張淑慧
- ISBN:9787115487872
- 頁數:342頁
- 定價:138元
- 出版社:人民郵電出版社
- 出版時間:2020年3月
- 裝幀:平裝
- 開本:16開
內容簡介,圖書目錄,
內容簡介
本書詳細討論了近年來計算機取證技術中最熱門並極富挑戰性的記憶體取證技術,共15章。第1~4章首先對記憶體取證的發展和意義進行概述式的描述,然後對涉及的現代計算機軟硬體技術基礎進行簡要介紹,最後介紹記憶體獲取和分析需要的方法、工具等。第5~10章根據幾個主要的作業系統(Windows、Linux和Mac)對記憶體分析進行更加深入的介紹。第11~15章介紹記憶體分析技術在最新計算環境下的一些相關進展和技術,如移動設備的記憶體分析、雲計算環境(虛擬機)下的記憶體分析套用。
圖書目錄
第 1章 記憶體取證技術概述 1
1.1 計算機取證技術 1
1.2 計算機取證技術的發展 3
1.3 計算機取證類型 4
1.4 記憶體取證 7
1.5 本章小結 10
第 2章 記憶體取證基礎知識 11
2.1 PC硬體架構 11
2.2 記憶體管理 14
2.3 地址轉換 17
2.4 ARM架構 21
2.5 本章小結 23
第3章 記憶體獲取技術 24
3.1 基於軟體的記憶體獲取技術和工具 24
3.2 基於硬體的記憶體獲取技術和工具 28
3.3 禁止DMA獲取記憶體的技術 33
3.4 記憶體獲取的其他方式 36
3.5 本章小結 38
第4章 基於物理記憶體分析的線上取證模型及其可信性評估 39
4.1 基於物理記憶體分析的線上取證模型 39
4.2 影響記憶體獲取可信性的因素 41
4.3 基於測量理論的記憶體取證的可信性評估 43
4.4 記憶體獲取的精密度、準確度和系統誤差分析 45
4.5 記憶體獲取工具的載入活動覆蓋關鍵痕跡的機率 50
4.6 記憶體鏡像檔案提取的數據與實際電子數據之間的比較 52
4.7 本章小結 54
第5章 Windows記憶體分析原理 55
5.1 Windows作業系統關鍵組件 55
5.2 基於系統組件名稱查找的Windows記憶體分析方法 57
5.3 基於池特徵掃描的記憶體分析方法 61
5.4 基於KPCR結構的方法 66
5.5 本章小結 74
第6章 Windows記憶體分析 75
6.1 進程信息分析 75
6.2 Windows事件日誌記憶體分析 92
6.3 Windows註冊表記憶體分析 95
6.4 Windows記憶體的網路信息分析 102
6.5 Windows服務的記憶體分析 106
6.6 Windows記憶體中的檔案 110
6.7 從PageFile中獲取更多記憶體數據 111
6.8 本章小結 113
第7章 Linux作業系統記憶體分析原理 114
7.1 Linux作業系統關鍵組件 114
7.2 ELF二進制格式 122
7.3 Volatility物理記憶體分析方法 128
7.4 不依賴於核心符號表檔案的Linux物理記憶體分析方法 129
7.5 本章小結 132
第8章 Linux記憶體分析 133
8.1 進程信息 133
8.2 檔案系統信息 141
8.3 網路連線信息 145
8.4 模組信息 149
8.5 系統信息 152
8.6 交換檔案的分析 156
8.7 本章小結 158
第9章 Mac OS記憶體分析原理 159
9.1 Mac OS的發展史 159
9.2 Mac OS X架構 162
9.3 Mach-O 執行檔格式 167
9.4 核心符號表 170
9.5 核心/用戶空間虛擬地址的劃分 170
9.6 核心地址空間布局隨機化 171
9.7 地址轉換 172
9.8 Matthieu Suiche的Mac OS記憶體分析原理 174
9.9 不依賴mach_kernel檔案的Mac OS記憶體分析方法 174
9.10 本章小結 177
第 10章 Mac OS記憶體分析技術 178
10.1 系統配置信息的分析 178
10.2 掛載的檔案系統信息的分析 179
10.3 進程信息的分析 181
10.4 核心擴展(驅動、核心模組)的分析 195
10.5 系統調用的分析 196
10.6 網路信息的分析 197
10.7 SLAB分配器的分析 201
10.8 Bash命令的獲取 203
10.9 核心調試緩衝區信息的獲取 203
10.10 本章小結 204
第 11章 安卓智慧型手機記憶體取證 205
11.1 智慧型手機的硬體組成 206
11.2 從數字取證到智慧型手機取證 207
11.3 智慧型手機的數據獲取 210
11.4 安卓系統概述 211
11.5 安卓智慧型手機記憶體獲取 214
11.6 安卓智慧型手機記憶體分析 218
11.7 本章小結 222
第 12章 記憶體分析在雲安全中的套用 223
12.1 雲計算服務模型 223
12.2 虛擬化環境下面臨的安全風險及研究現狀 225
12.3 基於記憶體分析的虛擬機安全監控方法 227
12.4 基於記憶體旁路的雲安全威脅監控技術 239
12.5 本章小結 242
第 13章 基於uKey的認證機制的破解 243
13.1 身份認證技術 243
13.2 uKey的認證機制 244
13.3 破解基於uKey的Windows登錄認證機制 249
13.4 本章小結 255
第 14章 木馬的檢測分析 256
14.1 惡意代碼 256
14.2 APT攻擊 263
14.3 Windows特種木馬檢測 266
14.4 Linux惡意代碼檢測 291
14.5 Mac OS惡意代碼檢測 309
14.6 本章小結 318
第 15章 系統密碼的破解 319
15.1 密碼認證機制 319
15.2 Windows系統密碼破解 325
15.3 Linux系統密碼破解 330
15.4 Mac OS X登錄屏保密碼破解 331
15.5 以修改記憶體方式向Mac OS植入應用程式 335
15.6 本章小結 337
參考文獻 339