• 法律图书馆

  • 新法规速递

  • 应急响应&计算机司法鉴定(第2版)
    编号:18923
    书名:应急响应&计算机司法鉴定(第2版)
    作者:KEVIN MANDIA
    出版社:清华
    出版时间:2004年11月
    入库时间:2005-5-30
    定价:49.9
    该书暂缺

    图书内容简介

    没有图书简介

    图书目录

    第1部分简 介
    第1章现实生活中的突发事件………………………………………………………………1
    1.1影响响应的因素………………………………………………………………………l
    1.2跨国犯罪………………………………………………………………2
    1.2.1 欢迎来到Invita………………………………………………………………2
    1.2.2 PathStar阴谋…………………………………………………………………3
    1.3传统的黑客行为………………………………………………………………………4
    1.4小结……………………………………………………………………………………6
    第2章应急响应过程简介……………………………………………………………………7
    2.1计算机安全事件的意义………………………………………………………………7
    2.2应急响应的目标………………………………………………………………………8
    2.3应急响应小组参与人员………………………………………………………………8
    2.4应急响应方法………………………………………………………………………9
    2.4.1 事前准备……………………………………………………………………10
    2.4.2发现事件……………………………………………………………………ll
    2.4.3初始响应……………………………………………………………………12
    2.4.4制定响应策略………………………………………………………………13
    2.4.5调查事件……………………………………………………………………17
    2.4.6报告…………………………………………………………………………20
    2.4.7解决方案……………………………………………………………………21
    2.5小结…………………………………………………………………………………22
    2.6问题…………………………………………………………………22
    第3章为应急响应做准备……………………………………………………………………24
    3.1 突发事件预防准备概述……………………………………………………………24
    3.2识别风险……………………………………………………………………………25
    3.3单个主机的准备工作………………………………………………………………26
    3.3.1记录关键文件的加密校验和………………………………………………26
    3.3.2增加或者启用安全审核日志记录…………………………………………29
    3.3.3增强主机防御………………………………………………………………34
    3.3.4备份关键数据………………………………………………………………35
    3.3.5对用户进行基于主机的安全教育…………………………………………37
    3.4准备网络……………………………………………………………………………37
    3.4.1 安装防火墙和入侵侦测系统……………………………………………38
    3.4.2在路由器上使用访问控制列表……………………………………………38
    3.4.3创建有助于监视的网络拓扑结构…………………………………………39
    3.4.4加密网络流量………………………………………………………………40
    3.4.5要求身份验证………………………………………………………………40
    3.5制订恰当的策略和规程……………………………………………………………41
    3.5.1决定响应立场………………………………………………………………42
    3.5.2理解策略如何辅助调查措施………………………………………………44
    3.5.3制定可接受的使用策略……………………………………………………49
    3.5.4设计AUP…………………………………………………………………………………………51
    3.5.5制定应急响应规程…………………………………………………………52
    3.6创建响应工具包……………………………………………………………………53
    3.6.1 响应硬件……………………………………………………………………53
    3.6.2 响应软件……………………………………………………………………54
    3.6.3 网络监视平台………………………………………………………………54
    3.6.4文档…………………………………………………………………………55
    3.7建立应急响应小组…………………………………………………………………55
    3.7.1 决定小组的任务……………………………………………………………55
    3.7.2对小组进行培训……………………………………………………………56
    3.8 小结………………………………………………………………………………………………………………58
    3.9 问题…………………………………………………………………………………58
    第4章应急响应……………………………………………………………………………59
    4.1初始响应阶段概述…………………………………………………………………59
    4.1.1获取初步资料………………………………………………………………60
    4.1.2应对措施备案………………………………………………………………60
    4.2建立突发事件通知程序……………………………………………………………60
    4.3记录事发详情………………………………………………………………………6l
    4.3.1初始响应检查表……………………………………………………………6l
    4.3.2案例记录……………………………………………………………………63
    4.4突发事件声明……………………………………………………………………63
    4.5组建CSIRT…………………………………………………………………………64
    4.5.1突发事件升级处理…………………………………………………………64
    4.5.2执行突发事件通知…………………………………………………………65
    4.5.3审视突发事件并配备合适的资源…………………………………………66
    4.6执行例行调查步骤…………………………………………………………………68
    4.7约见………………………………………………………………………………………………………………68
    4.7.1获得联系信息………………………………………………………………69
    4.7.2约见系统管理员……………………………………………………………70
    4.7.3约见管理人员………………………………………………………………70
    4.7.4约见终端用户………………………………………………………………71
    4.8制定响应策略………………………………………………………………………7l
    4.8.1应对策略注意事项…………………………………………………………72
    4.8.2策略验证……………………………………………………………………72
    4.9小结………………………………………………………………………………………………………………73
    4.10问题…………………………………………………………………………………73
    第2部分数据收集
    第5章Windows系统下的现场数据收集………………………………………………74
    5.1创建响应工具箱……………………………………………………………………74
    5.1.1常用响应工具………………………………………………………………75
    5.1.2准备工具箱…………………………………………………………………76
    5.2保存初始响应信息…………………………………………………………………77
    5.2.1应用netcat传输数据………………………………………………………77
    5.2.2使用cryptcat加密数据……………………………………………………79
    5.3获取易失性数据……………………………………………………………………79
    5.3.1组织并备案调查过程………………………………………………………80
    5.3.2收集易失性数据……………………………………………………………8l
    5.3.3编写初始响应脚本…………………………………………………………89
    5.4进行深入的现场响应………………………………………………………………90
    5.4.1 收集最易失的数据…………………………………………………………90
    5.4.2创建深入的调查工具箱……………………………………………………91
    5.4.3收集现场响应数据…………………………………………………………91
    5.5制作司法鉴定复件的必要性………………………………………………………97
    5.6 小结………………………………………………………………………………………………………………98
    5.7 问题………………………………………………………………………………………………………………98
    第6章Unix系统下的现场数据收集………………………………………………………99
    6.1创建响应工具包………………………………………………………………………99
    6.2保存初始响应信息…………………………………………………………………100
    6.3在进行司法鉴定复制之前获得易失性数据………………………………………101
    6.3.1 收集数据…………………………………………………………………101
    6.3.2编写初始响应脚本………………………………………………………1 10
    6.4进行深入的现场响应………………………………………………………………1 10
    6.4.1侦测可装载内核模块rootkit……………………………………………110
    6.4.2获得现场系统日志………………………………………………………1 12
    6.4.3获得重要的配置文件……………………………………………………1 13
    6.4.4查找系统中的非法嗅探器………………………………………………113
    6.4.5查看/Droc文件系统………………………………………………………1 16
    6.4.6转储系统内存……………………………………………………………1 19
    6.5.小结………………………………………………………………………………120
    6.6问题……………………………………………………………………………………………………………121
    第7章 司法鉴定复件………………………………………………………………………122
    7.1 可作为呈堂作证的司法鉴定复件…………………………………………………122
    7.1.1司法鉴定复件……………………………………………………………123
    7.1.2合格的司法鉴定复件……………………………………………………123
    7.1.3被恢复的映像……………………………………………………………123
    7.1.4镜像………………………………………………………………………………………………124
    7.2司法鉴定复制工具的要求…………………………………………………………125
    7.3制作硬盘的司法鉴定复件…………………………………………………………126
    7.3.1 用dd和dcfldd复制……………………………………………………127
    7.3.2用开放数据复制工具进行复制…………………………………………128
    7.4制作合格的司法鉴定硬盘复件……………………………………………………132
    7.4.1制作引导盘………………………………………………………………132
    7.4.2用SafeBack制作合格的司法鉴定复件…………………………………134
    7.4.3用EnCase制作合格的司法鉴定复件……………………………………136
    7.5 小结……………………………………………………………………………………………… 1 39
    7.6 I司题………………………………………………………………………………140
    第8章收集网络证据………………………………………………………………………141
    8.1 网络证据……………………………………………………………………………141
    8.2网络监视的目的……………………………………………………………………141
    8.3网络监视的类型……………………………………………………………………142
    8.3.1事件监视…………………………………………………………………142
    8.3.2陷阱跟踪监视……………………………………………………………142
    8.3.3全内容监视………………………………………………………………143
    8.4安装网络监视系统…………………………………………………………………144
    8.4.1确定监视的目标…………………………………………………………144
    8.4.2选择合适的硬件…………………………………………………………145
    8.4.3选择合适的软件…………………………………………………………147
    8.4.4部署网络监视器…………………………………………………………150
    8.4.5评价网络监视器…………………………………………………………151
    8.5执行陷阱跟踪………………………………………………………………………152
    8.5.1用tcpdump进行陷阱跟踪………………………………………………153
    8.5.2用WinDump进行陷阱跟踪………………………………………………155
    8.5.3创建陷阱跟踪输出文件…………………………………………………155
    8.6用tcpdump进行全内容监视………………………………………………………156
    8.6.1过滤全内容数据…………………………………………………………157
    8.6.2保存全内容数据文件……………………………………………………157
    8.7收集网络日志文件…………………………………………………………………158
    8.8小结……………………………………………………………………………………………………………159
    8.9问题…………………………………………………………………………………159
    第9章证据处理……………………………………………………………………………161
    9.1 证据…………………………………………………………………………………161
    9.1.1最优证据规则……………………………………………………………162
    9.1.2原始证据…………………………………………………………………162
    9.2 tie据处理……………………………………………………………………………162
    9.2.1证据鉴定…………………………………………………………………163
    9.2.2保管链……………………………………………………………………163
    9.2.3证据确认…………………………………………………………………164
    9.3证据处理程序概述…………………………………………………………………165
    9.3.1证据系统描述……………………………………………………………165
    9.3.2数码照片…………………………………………………………………167
    9.3.3证据标签…………………………………………………………………167
    9.3.4证据标记…………………………………………………………………169
    9.3.5证据存储…………………………………………………………………169
    9.3.6 i,JE据日志…………………………………………………………………17 1
    9.3.7 32作副本…………………………………………………………………172
    9.3.8证据备份…………………………………………………………………172
    9.3.9证据处置…………………………………………………………………173
    9.3.10 i~据管理员审核…………………………………………………………173
    9.4小结……………………………………………………………………………………………………………174
    9.5 I司题…………………………………………………………………………………174
    第3部分数据分析
    第1 0章计算机系统存储基础……………………………………………………………175
    10.1硬盘与接口………………………………………………………………………175
    10.1.1快速发展的ATA标准……………………………………………………176
    10.1.2 SCSI……………………………………………………………………………179
    10.2准备硬盘…………………………………………………………………………182
    10.2.1擦除存储介质……………………………………………………………182
    10.2.2磁盘的分区和格式化……………………………………………………183
    10.3文件系统和存储层介绍…………………………………………………………186
    10.3.1物理层……………………………………………………………………187
    10.3.2数据分类层………………………………………………………………1 87
    10.3.3分配单元层………………………………………………………………1 88
    10.3.4存储空间管理层…………………………………………………………189
    10.3.5信息分类层和应用级存储层……………………………………………190
    10.4 小结…………………………………………………………………………………………………………190
    10.5 问题………………………………………………………………………………191
    第1 1章数据分析技术………………………………………………………………………192
    11.1 司法鉴定分析的准备工作………………………………………………………192
    1 1.2恢复司法鉴定复件………………………………………………………………193
    11.2.1恢复硬盘的司法鉴定复件………………………………………………193
    11.2.2恢复硬盘的合格司法鉴定复件…………………………………………195
    11.3在Linux下准备分析用的司法鉴定复件…………………………………………199
    11.3.1检查司法鉴定复件文件…………………………………………………201
    11.3.2联系司法鉴定复件文件与Linux环回设备……………………………202
    1 1.4用司法鉴定套件检查映像文件…………………………………………………204
    11.4.1在EnCase中检查司法鉴定复件………………………………………204
    11.4.2在Forensic Toolkit中检查司法鉴定复件………………………………205
    11.5将合格的司法鉴定复件转换成司法鉴定复件…………………………………207
    11.6在Windows系统中恢复被删除的文件…………………………………………209
    11.6.1使用基于Windows系统的工具来恢复FAT文件系统中的文件………209
    11.6.2使用Linux 32具来恢复FAT文件系统中的文件………………………209
    11.6.3使用文件恢复的图形用户界面:Autopsy………………………………213
    11.6.4使用Foremost恢复丢失的文件…………………………………………216
    11.6.5在Unix系统中恢复被删除的文件………………………………………218
    11.7恢复未分配空间、自由空间和松弛空间………………………………………223
    11.8生成文件列表……………………………………………………………………225
    11.8.1列出文件的元数据………………………………………………………225
    1 1.8.2识别已知系统文件………………………………………………………228
    11.9准备用于查找字符串的驱动器…………………………………………………228
    11.10小结……………………………………………………………………………233
    11.1l 问题………………………………………………………………………………233
    第1 2章调查Windows系统………………………………………………………………235
    12.1 Windows系统中的证据存放位置………………………………………………235
    12.2调查Windows……………………………………………………………………236
    12.2.1检查所有相关日志………………………………………………………236
    12.2.2进行关键字搜索…………………………………………………………243
    12.2.3检查相关文件……………………………………………………………244
    12.2.4识别未授权的用户账户或用户组………………………………………258
    12.2.6识别恶意进程……………………………………………………………259
    12.2.7查找异常或隐藏的文件…………………………………………………260
    12.2.8检查未授权的访问点……………………………………………………261
    12.2.9检查由计划程序服务所运行的任务……………………………………264
    12.2.10分析信任关系…………………………………………………………265
    12.2.1 1检查安全标识符………………………………………………………266
    12.3文件审核和信息窃取……………………………………………………………266
    12.4对离职雇员的处理………………………………………………………………268
    12.4.1检查搜索内容和使用过的文件…………………………………………268
    12.4.2在硬盘上进行字符串搜索………………………………………………269
    12.5小结…………………………………………………………………………………………………………269
    12.6问题………………………………………………………………………………269
    第1 3章调查Unix系统……………………………………………………………………270
    13.1 Unix调查步骤概述………………………………………………………………270
    13.2审查相关日志……………………………………………………………………271
    13.2.1 网络日志…………………………………………………………………271
    13.2.2主机日志记录……………………………………………………………274
    13.2.3用户操作日志……………………………………………………………275
    13.3搜索关键字………………………………………………………………………276
    13.3.1使用grep进行字符串搜索………………………………………………277
    13.3.2使用find命令进行文件搜索……………………………………………278
    13.4审查相关文件……………………………………………………………………278
    13.4.1事件时间和时间/日期戳…………………………………………………279
    13.4.2特殊文件…………………………………………………………………280
    13.5识别未经授权的用户账户或用户组……………………………………………284
    13.5.1用户账户调查……………………………………………………………284
    13.5.2组账户调查………………………………………………………………284
    13.6识别恶意进程……………………………………………………………………285
    1 3.7检查未经授权的访问点…………………………………………………………286
    13.8分析信任关系……………………………………………………………………286
    13.9检测可加载木马程序的内核模块………………………………………………287
    13.9.1现场系统上的LKM……………………………………………………287
    13.9.2 LKM元素………………………………………………………………288
    13.9.3 LKM检测工具…………………………………………………………289
    13.10小结…………………………………………………………………………………………………………292
    13.1 1 问题………………………………………………………………………………292
    第1 4章 网络通信分析……………………………………………………………………293
    14.1 寻找基于网络的证据……………………………………………………………293
    14.1.1 网络通信分析工具………………………………………………………293
    14.1.2检查用tcpdump收集的网络通信………………………………………294
    14.2用tcptrace生成会话数据…………………………………………………………295
    14.2.1分析捕获文件……………………………………………………………295
    14.2.2解释tcptrace输出………………………………………………………297
    14.2.3用Snort提取事件数据…………………………………………………298
    14.2.4检查SYN数据包………………………………………………………298
    14.2.5解释Snort输出…………………………………………………………302
    14.3用tcpflow重组会话………………………………………………………………302
    14.3.1 FTP会话……………………………………………………………………………………….303
    14.3.2解释tcpflow输出………………………………………………………303
    14.3.3查看SSH会话……………………………………………………………307
    14.4用Ethereal重组会话……………………………………………………………309
    14.5改进tcpdump过滤器……………………………………………………………311
    14.6小结…………………………………………………………………………………………………………3 12
    14.7 问题………………………………………………………………………………3 1 2
    第1 5章黑客工具研究……………………………………………………………………3 17
    15.1 I具分析的目的…………………………………………………………………317
    15.2文件编译方式……………………………………………………………………3 17
    15.2.1静态链接的程序…………………………………………………………318
    15.2.2动态链接的程序…………………………………………………………318
    15.2.3用调试选项编译程序……………………………………………………3 19
    15.2.4精简化的程序……………………………………………………………320
    15.2.5用UPX压缩的程序……………………………………………………320
    15.2.6编译技术和文件分析……………………………………………………322
    15.3黑客工具的静态分析……………………………………………………………324
    15.3.1确定文件类型……………………………………………………………325
    15.3.2检查ASCII和Unicode字符串…………………………………………326
    15.3.3在线研究…………………………………………………………………328
    15.3.4检查源代码………………………………………………………………329
    15.4黑客工具的动态分析……………………………………………………………329
    15.4.1创建沙箱环境……………………………………………………………329
    15.4.2 Unix系统上的动态分析…………………………………………………331
    15.4.3 Windows系统下的动态分析……………………………………………339
    15.5小结…………………………………………………………………………………………………………343
    15.6 问题………………………………………………………………343
    第1 6章研究路由器………………………………………………………………………344
    16.1 在关机之前获得易失性数据……………………………………………………344
    16.1.1建立路由器连接…………………………………………………………345
    16.1.2 i~录系统时问……………………………………………………………345
    16.1.3判断登录到路由器的人…………………………………………………345
    16.1.4确定路由器的正常运行时间……………………………………………346
    16.1.5判断侦听套接字…………………………………………………………347
    16.1.6保存路由器的配置………………………………………………………348
    16.1.7查看路由表………………………………………………………………349
    16.1.8检查接口配置……………………………………………………………350
    16.1.9查看ARP缓存…………………………………………………………350
    16.2寻找证据…………………………………………………………………………351
    16.2.1处理直接威胁事件………………………………………………………35 1
    16.2.2处理路由表操纵事件……………………………………………………353
    16.2.3处理信息失窃事件………………………………………………………353
    16.2.4处理拒绝服务攻击………………………………………………………354
    16.3用路由器作为响应工具…………………………………………………………355
    16.3.1 tN解访问控制列表………………………………………………………355
    16.3.2用路由器进行监测………………………………………………………357
    16.3.3 D向应DDoS攻击…………………………………………………………358
    16.4小结…………………………………………………………………………………………………………359
    16.5问题………………………………………………………………………………359
    第1 7章撰写计算机司法鉴定报告…………………………………………………………360
    17.1什么是计算机司法鉴定报告……………………………………………………360
    17.1.1什么是鉴定报告…………………………………………………………360
    17.1.2报告的目标………………………………………………………………361
    17.2撰写报告的指导方针……………………………………………………………362
    17.2.1迅速并清楚地记录调查步骤……………………………………………363
    17.2.2了解分析目的……………………………………………………………363
    17.2.3组织报告…………………………………………………………………364
    17.2.4使用模板…………………………………………………………………364
    17.2.5使用一致的标识符………………………………………………………365
    17.2.6使用附件和附录…………………………………………………………365
    17.2.7让同事阅读报告…………………………………………………………365
    17.2.8使用MD5哈希…………………………………………………………366
    17.2.9包括元数据………………………………………………………………366
    17.3计算机司法鉴定报告模板………………………………………………………367
    17.3.1 执行摘要…………………………………………………………………368
    17.3.2 目标………………………………………………………………………368
    17.3.3经过分析的计算机证据…………………………………………………369
    17.3.4相关调查结果……………………………………………………………370
    17.3.5支持性细节………………………………………………………………370
    17.3.6调查线索…………………………………………………………………372
    17.3.7附加的报告部分…………………………………………………………373
    17.4小结…………………………………………………………………………………………………………374
    17.5 问题…………………………………………………………………………………………………………374
    第4部分附 录
    附录A问题解答……………………………………………………………………………375
    附录B应急响应表格………………………………………………………………………393
    总计400页

    Copyright © 1999-2021 法律图书馆

    .

    .