应急响应 计算机犯罪调查PDF电子书下载

第1部分 初步了解 3

第1章 内部情况与外部情况：一次案例研究 3

1.1 阻止攻击 3

1.2 内部的真实情况 4

1.3 结束语 14

第2章 应急响应介绍 15

2.1 应急响应的目标 15

2.2 应急响应方法论 16

2.3 事先准备 18

2.4 突发事件检测 18

2.5 初始响应 20

2.6.1 确定响应战略 21

致谢 21

2.6 响应战略规划 21

2.6.2 将响应战略的选择提交管理部门 23

2.7 司法鉴定副本 23

前言 23

2.8 调查 24

简介 25

2.9 安全措施实现 25

2.10 网络监视 27

2.10.1 确定监视的位置和方式 27

2.10.2 确定监视内容 28

2.11 恢复 28

2.11.2 选择恢复战略 29

2.11.1 考虑受危及的内容 29

2.12 报告 30

2.13 结束语 31

第3章 为应急响应做准备 33

3.1 确定重要的资产 33

3.2 准备独立主机 34

3.2.1 记录重要文件的加密校验和 36

3.2.2 增加或启用安全审核记录 39

3.2.3 建立主机的防御能力 45

3.2.4 备份关键数据 46

3.2.5 对用户进行主机安全方面的培训 48

3.3.1 安装防火墙和入侵侦测系统 49

3.3 网络的准备工作 49

3.3.2 在路由器上使用访问控制列表 50

3.3.3 创建有助于监视的网络拓扑结构 51

3.3.4 对网络流量进行加密 52

3.3.5 要求认证 53

3.4 确立适当的策略和程序 53

3.4.1 确定响应立场 54

3.4.2 理解策略帮助调查步骤的方式 57

3.4.3 制定可接受的使用策略(AUP) 64

3.4.4 设计AUP 65

3.4.5 制定应急响应程序 67

3.5 创建响应工具包 67

3.5.1 响应硬件 67

3.5.2 响应软件 69

3.5.3 网络监视平台 69

3.6 组建应急响应队伍 70

3.6.1 确定应急响应队伍的任务 70

3.6.2 应急响应队伍的组建 71

3.6.3 应急响应培训与专业机构 72

3.7 结束语 74

第2部分 全力出击 77

第4章 调查指导方针 77

4.1 进行初步评估 77

4.2 突发事件通知清单 78

4.2.1 检查网络拓扑结构 80

4.2.2 检验策略 81

4.3 调查突发事件 81

4.3.1 会见人员 81

4.3.2 采取实际行动 83

4.4 制定响应策略 84

4.4.1 确定适当的响应类型 84

4.4.2 确定攻击类型 85

4.4.3 对受害系统进行分类 86

4.4.4 考虑其他影响 86

4.4.5 获得管理部门的批准 86

4.5 结束语 87

第5章 计算机司法鉴定过程 89

5.1 学习管理证据 90

5.1.2 最佳证据标准 91

5.1.1 证据管理中的常见错误 91

5.1.3 保管链 92

5.2 执行初始响应 95

5.2.1 易失的数据 95

5.2.2 现场系统检查 96

5.3 执行司法鉴定复制 98

5.3.1 执行司法鉴定复制的方法 99

5.3.2 检查低层系统配置 100

5.3.3 执行司法鉴定复制的工具 102

5.4 使用Safeback 103

5.4.1 创建DOS启动盘 104

5.4.2 使用Safeback创建司法鉴定副本 107

5.5 使用UNIX实用程序执行司法鉴定复制 111

5.5.1 创建UNIX启动盘 112

5.5.2 使用dd创建司法鉴定映像 112

5.6 使用EnCase 114

5.6.1 使用EnCase创建证据文件 115

5.6.2 使用EnCase预览证据驱动器 116

5.7 执行司法鉴定分析 118

5.7.1 进行物理分析 119

5.7.2 逻辑分析 121

5.7.3 了解证据所在位置 122

5.8 结束语 129

第6章 学习网络协议并执行俘获和追踪 131

6.1 理解TCP／IP 132

6.1 封装 133

6.2.1 IP报头 135

6.2.2 ICP报头 140

6.2.3 UDP报头 144

6.3 使用嗅探器 146

6.4 执行俘获和追踪 148

6.5 结束语 155

第7章 网络监视的执行 157

7.1 为什么要执行网络监视 157

7.2 基于网络的证据 159

7.3 网络司法鉴定 161

7.4 设置您的系统 163

7.4.1 确定目的 164

7.4.3 选择适当的硬件 165

7.4.2 与法律顾问一起进行检查 165

7.4.4 选择适当的软件 166

7.4.5 监视器的位置和安全性 170

7.5 执行监视 171

7.5.1 监视Telnet 171

7.5.2 监视文件传输协议 181

7.5.3 监视Web通信 189

7.6 解释网络攻击 192

7.7 结束语 197

8.1 精英攻击者的目标 199

第8章 高级网络监视 199

8.1.1 通常免受监视的行为 200

8.1.2 难以检测的行为 201

8.1.3 难以回放的行为 201

8.1.4 难以跟踪到源IP地址的攻击 202

8.1.5 使得证据难以收集 202

8.1.6 花言巧语地否认 203

8.2 ICMP隐蔽通道 204

8.2.1 检查ping通信 205

8.2.2 识别Loki隐蔽通道 208

8.2.3 识别下一代ICMP隐蔽通道 213

8.3 无国界的TCP隐蔽通道 215

8.3.1 检查无国界TCP会话 215

8.3.2 识别无国界TCP隐蔽通道 216

8.4 HTTP隐蔽通道 218

8.5 检测非法服务器 222

8.6 结束语 224

第3部分 投入战斗：调查系统 227

第9章 对Windows NT／2000的初始响应 227

9.1.2 工具包内容 228

9.1 创建一个响应工具包 228

9.1.1 工具包标签 228

9.2 保存在初始响应期间获得的信息 231

9.3 在司法鉴定复制之前获得易失的数据 233

9.3.1 组织和记录调查结果 234

9.3.2 执行一个可信任的cmd.exe 235

9.3.3 确定谁登录了系统 236

9.3.4 决定打开的端口和监听应用程序 237

9.3.5 列出所有运行的进程 239

9.3.6 列出当前和最近的连接 241

9.3.8 为初始响应编制脚本 242

9.3.7 记录在初始响应期间使用的命令 242

9.4 执行一次深入的现场响应 243

9.4.1 在现场响应期间获得事件日志 245

9.4.2 在现场响应期间查看注册表 248

9.4.3 获得所有文件的修改、创建和访问时间 250

9.4.5 转储系统RAM 251

9.5 司法鉴定复制是必须的吗 251

9.4.4 获得系统密码 251

9.6 结束语 252

第10章 调查Windows NT／2000 253

10.1 证据驻留在Windows NT／2000系统的哪些地方 254

10.2 建立司法鉴定工作站 254

10.2.1 检查逻辑文件 255

10.2.2 处理密码 256

10.2.3 完成初始的低层分析 258

10.3 执行一次Windows NT／2000调查 258

10.3.1 检查所有相关的日志 259

10.3.2 执行关键字搜索 267

10.3.3 检查相关文件 268

10.3.4 鉴定未授权的用户账号或组 285

10.3.5 鉴定“流氓”进程 286

10.3.6 寻找异常或隐藏文件 286

10.3.7 检查未授权的访问点 288

10.3.8 检查Scheduler Service运行的任务 292

10.3.9 分析信任关系 293

10.3.10 检查安全标识符(SID) 293

10.4 文件审核与信息偷窃 294

10.5.2 在硬盘驱动器上执行字符串搜索 297

10.5 处理即将离职的雇员 297

10.5.1 检查搜索历史和使用过的文件 297

10.4 结束语 298

第11章 对UNIX系统的初始响应 301

11.1 创建响应工具包 301

11.2 存储初始响应中获得的信息 303

11.3 在司法鉴定复制之前获取易失的数据 304

11.3.1 执行可信shell 305

11.3.2 确定谁登录到系统 306

11.3.3 确定运行的进程 307

11.3.4 检测可加载的内核模块rootkits 309

11.3.5 确定开放端口和监听应用程序 311

11.3.6 检查／proc文件系统 316

11.3.7 清除您的行踪 321

11.4 执行深入的现场响应 322

11.4.1 获取所有文件的修改、创建和访问时间 322

11.4.3 获取重要的配置文件 322

11.4.2 在现场响应中获取系统日志 323

11.4.4 转储系统RAM 324

11.5 结束语 325

第12章 调查UNIX 327

12.1 准备查看还原的映像 327

12.1.1 启动原有操作系统 328

12.1.2 进行初步的低级分析 329

12.2 进行UNIX调查 329

12.2.1 检查相关日志 330

12.2.2 进行关键字搜索 336

12.2.3 检查相关文件 338

12.2.4 识别未经授权的用户帐号或组 345

12.2.5 识别“流氓”进程 346

12.2.6 检查未经授权的访问点 347

12.2.7 分析信任关系 347

12.3 结束语 348

第4部分 调查与平台无关的技术 351

第13章 调查路由器 351

13.1 在断电之前获得易失数据 351

13.1.1 建立一个路由器连接 352

13.1.2 记录系统时间 352

13.1.4 确定路由器的正常运行时间 353

13.1.3 确定已登录的人 353

13.1.5 确定监听套接字 354

13.1.6 存储路由器配置 355

13.1.7 检查路由表 356

13.1.8 检查接口配置 357

13.1.9 查看ARP缓存 358

13.2 找出证据 358

13.2.1 处理直接危害型突发事件 359

13.2.2 处理路由表操纵型突发事件 361

13.2.4 处理拒绝服务型攻击 362

13.2.3 处理偷取信息型突发事件 362

13.3 使用路由器作为响应工具 363

13.3.1 理解访问控制列表 364

13.3.2 用路由器进行监视 366

13.3.3 对DDoS攻击做出响应 367

13.4 结束语 369

第14章 调查Web攻击事件 371

14.1 在关闭系统之前 371

14.2.1 研究日志文件 372

14.2 找到证据 372

14.2.2 调查篡改Web站点网页事件 379

14.2.3 调查应用程序级攻击 380

14.2.4 确定攻击来源 382

14.3 结束语 383

第15章 调查应用程序服务器 385

15.1 调查域名服务器突发事件 385

15.1.1 处理直接攻击 386

15.1.2 调查缓存的破坏 388

15.2.1 处理直接危害型突发事件 389

15.2 调查FTP服务器突发事件 389

15.2.2 调查文件存储滥用 392

15.3 调查RPC服务突发事件 394

15.4 使用在线聊天程序记录调查突发事件 395

15.5 处理牵涉Microsoft Office的突发事件 396

15.5.1 在Office文档中发现线索 396

15.5.2 解密Office文档 397

15.6 确定应用程序攻击的来源 399

15.7 恢复受危及的应用程序服务器 401

15.8 结束语 402

16.1 文件是怎样编译的 404

16.1.1 静态链接的程序 404

16.1.2 动态链接的程序 405

16.1.3 使用debug选项编译的程序 405

16.1.4 被剥离的(stripped)程序 406

16.1.5 用UPX打包的程序 407

16.2 黑客工具的静态分析 407

第16章 调查黑客工具 408

16.2.1 确定文件类型 408

16.2.2 查看ASCII和UNICODE字符串 409

16.2.3 进行在线搜索 412

16.2.4 检查源代码 412

16.3 黑客工具的动态分析 413

16.3.1 创建沙箱(sandbox)环境 413

16.3.2 UNIX系统上的动态分析 414

16.3.3 Windows系统上的动态分析 425

16.4 结束语 429

A.1 调查IP地址 433

附录A 在计算机世界中确定身份 433

第5部分 附录 433

A.1.1 使用nslookup命令 434

A.1.2 使用traceroute或tracert命令 436

A.1.3 使用Whois数据库 438

A.1.4 调查动态IP地址 441

A.2 调查MAC地址 449

A.3 追踪电子邮件 452

A.3.1 追踪假冒邮件 454

A.3.2 追踪基于Web的电子邮件 456

A.4 调查电子邮件的地址、昵称、用户名以及主机名称 460

A.5.1 填写John Doe诉讼 461

A.5 通过合法渠道识破匿名者 461

A.5.2 将突发事件报告给执法机构 462

附录B 信息安全策略和可接受的使用策略 465

B.1 信息安全策略所涉及的领域 465

B.2 可接受的使用策略 466

B.3 可接受的使用策略的示例 466

附录C 计算机犯罪条例 469

C.1 联邦计算机入侵法 469

C.2.3 走私犯罪 470

C.2.5 商业机密犯罪 470

C.2.4 商标犯罪 470

C.2 联邦知识产权法 470

C.2.2 版权管理犯罪 470

C.2.1 侵犯版权 470

C.2.6 有关IP系统完整性的犯罪 471

C.2.7 有关滥用传播系统的犯罪 471

C.3 商业和贸易法 471

附录D 响应组织 473