应急响应 计算机犯罪调查PDF电子书下载
- 电子书积分:15 积分如何计算积分?
- 作 者:(美)Kevin Mandia,(美)Chris Prosise著;常晓波译
- 出 版 社:北京:清华大学出版社
- 出版年份:2002
- ISBN:7302057303
- 页数:474 页
第1部分 初步了解 3
第1章 内部情况与外部情况:一次案例研究 3
1.1 阻止攻击 3
1.2 内部的真实情况 4
1.3 结束语 14
第2章 应急响应介绍 15
2.1 应急响应的目标 15
2.2 应急响应方法论 16
2.3 事先准备 18
2.4 突发事件检测 18
2.5 初始响应 20
2.6.1 确定响应战略 21
致谢 21
2.6 响应战略规划 21
2.6.2 将响应战略的选择提交管理部门 23
2.7 司法鉴定副本 23
前言 23
2.8 调查 24
简介 25
2.9 安全措施实现 25
2.10 网络监视 27
2.10.1 确定监视的位置和方式 27
2.10.2 确定监视内容 28
2.11 恢复 28
2.11.2 选择恢复战略 29
2.11.1 考虑受危及的内容 29
2.12 报告 30
2.13 结束语 31
第3章 为应急响应做准备 33
3.1 确定重要的资产 33
3.2 准备独立主机 34
3.2.1 记录重要文件的加密校验和 36
3.2.2 增加或启用安全审核记录 39
3.2.3 建立主机的防御能力 45
3.2.4 备份关键数据 46
3.2.5 对用户进行主机安全方面的培训 48
3.3.1 安装防火墙和入侵侦测系统 49
3.3 网络的准备工作 49
3.3.2 在路由器上使用访问控制列表 50
3.3.3 创建有助于监视的网络拓扑结构 51
3.3.4 对网络流量进行加密 52
3.3.5 要求认证 53
3.4 确立适当的策略和程序 53
3.4.1 确定响应立场 54
3.4.2 理解策略帮助调查步骤的方式 57
3.4.3 制定可接受的使用策略(AUP) 64
3.4.4 设计AUP 65
3.4.5 制定应急响应程序 67
3.5 创建响应工具包 67
3.5.1 响应硬件 67
3.5.2 响应软件 69
3.5.3 网络监视平台 69
3.6 组建应急响应队伍 70
3.6.1 确定应急响应队伍的任务 70
3.6.2 应急响应队伍的组建 71
3.6.3 应急响应培训与专业机构 72
3.7 结束语 74
第2部分 全力出击 77
第4章 调查指导方针 77
4.1 进行初步评估 77
4.2 突发事件通知清单 78
4.2.1 检查网络拓扑结构 80
4.2.2 检验策略 81
4.3 调查突发事件 81
4.3.1 会见人员 81
4.3.2 采取实际行动 83
4.4 制定响应策略 84
4.4.1 确定适当的响应类型 84
4.4.2 确定攻击类型 85
4.4.3 对受害系统进行分类 86
4.4.4 考虑其他影响 86
4.4.5 获得管理部门的批准 86
4.5 结束语 87
第5章 计算机司法鉴定过程 89
5.1 学习管理证据 90
5.1.2 最佳证据标准 91
5.1.1 证据管理中的常见错误 91
5.1.3 保管链 92
5.2 执行初始响应 95
5.2.1 易失的数据 95
5.2.2 现场系统检查 96
5.3 执行司法鉴定复制 98
5.3.1 执行司法鉴定复制的方法 99
5.3.2 检查低层系统配置 100
5.3.3 执行司法鉴定复制的工具 102
5.4 使用Safeback 103
5.4.1 创建DOS启动盘 104
5.4.2 使用Safeback创建司法鉴定副本 107
5.5 使用UNIX实用程序执行司法鉴定复制 111
5.5.1 创建UNIX启动盘 112
5.5.2 使用dd创建司法鉴定映像 112
5.6 使用EnCase 114
5.6.1 使用EnCase创建证据文件 115
5.6.2 使用EnCase预览证据驱动器 116
5.7 执行司法鉴定分析 118
5.7.1 进行物理分析 119
5.7.2 逻辑分析 121
5.7.3 了解证据所在位置 122
5.8 结束语 129
第6章 学习网络协议并执行俘获和追踪 131
6.1 理解TCP/IP 132
6.1 封装 133
6.2.1 IP报头 135
6.2.2 ICP报头 140
6.2.3 UDP报头 144
6.3 使用嗅探器 146
6.4 执行俘获和追踪 148
6.5 结束语 155
第7章 网络监视的执行 157
7.1 为什么要执行网络监视 157
7.2 基于网络的证据 159
7.3 网络司法鉴定 161
7.4 设置您的系统 163
7.4.1 确定目的 164
7.4.3 选择适当的硬件 165
7.4.2 与法律顾问一起进行检查 165
7.4.4 选择适当的软件 166
7.4.5 监视器的位置和安全性 170
7.5 执行监视 171
7.5.1 监视Telnet 171
7.5.2 监视文件传输协议 181
7.5.3 监视Web通信 189
7.6 解释网络攻击 192
7.7 结束语 197
8.1 精英攻击者的目标 199
第8章 高级网络监视 199
8.1.1 通常免受监视的行为 200
8.1.2 难以检测的行为 201
8.1.3 难以回放的行为 201
8.1.4 难以跟踪到源IP地址的攻击 202
8.1.5 使得证据难以收集 202
8.1.6 花言巧语地否认 203
8.2 ICMP隐蔽通道 204
8.2.1 检查ping通信 205
8.2.2 识别Loki隐蔽通道 208
8.2.3 识别下一代ICMP隐蔽通道 213
8.3 无国界的TCP隐蔽通道 215
8.3.1 检查无国界TCP会话 215
8.3.2 识别无国界TCP隐蔽通道 216
8.4 HTTP隐蔽通道 218
8.5 检测非法服务器 222
8.6 结束语 224
第3部分 投入战斗:调查系统 227
第9章 对Windows NT/2000的初始响应 227
9.1.2 工具包内容 228
9.1 创建一个响应工具包 228
9.1.1 工具包标签 228
9.2 保存在初始响应期间获得的信息 231
9.3 在司法鉴定复制之前获得易失的数据 233
9.3.1 组织和记录调查结果 234
9.3.2 执行一个可信任的cmd.exe 235
9.3.3 确定谁登录了系统 236
9.3.4 决定打开的端口和监听应用程序 237
9.3.5 列出所有运行的进程 239
9.3.6 列出当前和最近的连接 241
9.3.8 为初始响应编制脚本 242
9.3.7 记录在初始响应期间使用的命令 242
9.4 执行一次深入的现场响应 243
9.4.1 在现场响应期间获得事件日志 245
9.4.2 在现场响应期间查看注册表 248
9.4.3 获得所有文件的修改、创建和访问时间 250
9.4.5 转储系统RAM 251
9.5 司法鉴定复制是必须的吗 251
9.4.4 获得系统密码 251
9.6 结束语 252
第10章 调查Windows NT/2000 253
10.1 证据驻留在Windows NT/2000系统的哪些地方 254
10.2 建立司法鉴定工作站 254
10.2.1 检查逻辑文件 255
10.2.2 处理密码 256
10.2.3 完成初始的低层分析 258
10.3 执行一次Windows NT/2000调查 258
10.3.1 检查所有相关的日志 259
10.3.2 执行关键字搜索 267
10.3.3 检查相关文件 268
10.3.4 鉴定未授权的用户账号或组 285
10.3.5 鉴定“流氓”进程 286
10.3.6 寻找异常或隐藏文件 286
10.3.7 检查未授权的访问点 288
10.3.8 检查Scheduler Service运行的任务 292
10.3.9 分析信任关系 293
10.3.10 检查安全标识符(SID) 293
10.4 文件审核与信息偷窃 294
10.5.2 在硬盘驱动器上执行字符串搜索 297
10.5 处理即将离职的雇员 297
10.5.1 检查搜索历史和使用过的文件 297
10.4 结束语 298
第11章 对UNIX系统的初始响应 301
11.1 创建响应工具包 301
11.2 存储初始响应中获得的信息 303
11.3 在司法鉴定复制之前获取易失的数据 304
11.3.1 执行可信shell 305
11.3.2 确定谁登录到系统 306
11.3.3 确定运行的进程 307
11.3.4 检测可加载的内核模块rootkits 309
11.3.5 确定开放端口和监听应用程序 311
11.3.6 检查/proc文件系统 316
11.3.7 清除您的行踪 321
11.4 执行深入的现场响应 322
11.4.1 获取所有文件的修改、创建和访问时间 322
11.4.3 获取重要的配置文件 322
11.4.2 在现场响应中获取系统日志 323
11.4.4 转储系统RAM 324
11.5 结束语 325
第12章 调查UNIX 327
12.1 准备查看还原的映像 327
12.1.1 启动原有操作系统 328
12.1.2 进行初步的低级分析 329
12.2 进行UNIX调查 329
12.2.1 检查相关日志 330
12.2.2 进行关键字搜索 336
12.2.3 检查相关文件 338
12.2.4 识别未经授权的用户帐号或组 345
12.2.5 识别“流氓”进程 346
12.2.6 检查未经授权的访问点 347
12.2.7 分析信任关系 347
12.3 结束语 348
第4部分 调查与平台无关的技术 351
第13章 调查路由器 351
13.1 在断电之前获得易失数据 351
13.1.1 建立一个路由器连接 352
13.1.2 记录系统时间 352
13.1.4 确定路由器的正常运行时间 353
13.1.3 确定已登录的人 353
13.1.5 确定监听套接字 354
13.1.6 存储路由器配置 355
13.1.7 检查路由表 356
13.1.8 检查接口配置 357
13.1.9 查看ARP缓存 358
13.2 找出证据 358
13.2.1 处理直接危害型突发事件 359
13.2.2 处理路由表操纵型突发事件 361
13.2.4 处理拒绝服务型攻击 362
13.2.3 处理偷取信息型突发事件 362
13.3 使用路由器作为响应工具 363
13.3.1 理解访问控制列表 364
13.3.2 用路由器进行监视 366
13.3.3 对DDoS攻击做出响应 367
13.4 结束语 369
第14章 调查Web攻击事件 371
14.1 在关闭系统之前 371
14.2.1 研究日志文件 372
14.2 找到证据 372
14.2.2 调查篡改Web站点网页事件 379
14.2.3 调查应用程序级攻击 380
14.2.4 确定攻击来源 382
14.3 结束语 383
第15章 调查应用程序服务器 385
15.1 调查域名服务器突发事件 385
15.1.1 处理直接攻击 386
15.1.2 调查缓存的破坏 388
15.2.1 处理直接危害型突发事件 389
15.2 调查FTP服务器突发事件 389
15.2.2 调查文件存储滥用 392
15.3 调查RPC服务突发事件 394
15.4 使用在线聊天程序记录调查突发事件 395
15.5 处理牵涉Microsoft Office的突发事件 396
15.5.1 在Office文档中发现线索 396
15.5.2 解密Office文档 397
15.6 确定应用程序攻击的来源 399
15.7 恢复受危及的应用程序服务器 401
15.8 结束语 402
16.1 文件是怎样编译的 404
16.1.1 静态链接的程序 404
16.1.2 动态链接的程序 405
16.1.3 使用debug选项编译的程序 405
16.1.4 被剥离的(stripped)程序 406
16.1.5 用UPX打包的程序 407
16.2 黑客工具的静态分析 407
第16章 调查黑客工具 408
16.2.1 确定文件类型 408
16.2.2 查看ASCII和UNICODE字符串 409
16.2.3 进行在线搜索 412
16.2.4 检查源代码 412
16.3 黑客工具的动态分析 413
16.3.1 创建沙箱(sandbox)环境 413
16.3.2 UNIX系统上的动态分析 414
16.3.3 Windows系统上的动态分析 425
16.4 结束语 429
A.1 调查IP地址 433
附录A 在计算机世界中确定身份 433
第5部分 附录 433
A.1.1 使用nslookup命令 434
A.1.2 使用traceroute或tracert命令 436
A.1.3 使用Whois数据库 438
A.1.4 调查动态IP地址 441
A.2 调查MAC地址 449
A.3 追踪电子邮件 452
A.3.1 追踪假冒邮件 454
A.3.2 追踪基于Web的电子邮件 456
A.4 调查电子邮件的地址、昵称、用户名以及主机名称 460
A.5.1 填写John Doe诉讼 461
A.5 通过合法渠道识破匿名者 461
A.5.2 将突发事件报告给执法机构 462
附录B 信息安全策略和可接受的使用策略 465
B.1 信息安全策略所涉及的领域 465
B.2 可接受的使用策略 466
B.3 可接受的使用策略的示例 466
附录C 计算机犯罪条例 469
C.1 联邦计算机入侵法 469
C.2.3 走私犯罪 470
C.2.5 商业机密犯罪 470
C.2.4 商标犯罪 470
C.2 联邦知识产权法 470
C.2.2 版权管理犯罪 470
C.2.1 侵犯版权 470
C.2.6 有关IP系统完整性的犯罪 471
C.2.7 有关滥用传播系统的犯罪 471
C.3 商业和贸易法 471
附录D 响应组织 473
- 《计算机网络与通信基础》谢雨飞,田启川编著 2019
- 《大学计算机实验指导及习题解答》曹成志,宋长龙 2019
- 《《走近科学》精选丛书 中国UFO悬案调查》郭之文 2019
- 《办好人民满意的教育 全国教育满意度调查报告》(中国)中国教育科学研究院 2019
- 《计算机辅助平面设计》吴轶博主编 2019
- 《计算机组成原理解题参考 第7版》张基温 2017
- 《云计算节能与资源调度》彭俊杰主编 2019
- 《Helmholtz方程的步进计算方法研究》李鹏著 2019
- 《长江口物理、化学与生态环境调查图集》于非 2019
- 《长三角雾霾突发事件风险评估、应急决策及联动防治机制研究》叶春明著 2019
- 《SQL与关系数据库理论》(美)戴特(C.J.Date) 2019
- 《魔法销售台词》(美)埃尔默·惠勒著 2019
- 《看漫画学钢琴 技巧 3》高宁译;(日)川崎美雪 2019
- 《优势谈判 15周年经典版》(美)罗杰·道森 2018
- 《社会学与人类生活 社会问题解析 第11版》(美)James M. Henslin(詹姆斯·M. 汉斯林) 2019
- 《海明威书信集:1917-1961 下》(美)海明威(Ernest Hemingway)著;潘小松译 2019
- 《迁徙 默温自选诗集 上》(美)W.S.默温著;伽禾译 2020
- 《上帝的孤独者 下 托马斯·沃尔夫短篇小说集》(美)托马斯·沃尔夫著;刘积源译 2017
- 《巴黎永远没个完》(美)海明威著 2017
- 《剑桥国际英语写作教程 段落写作》(美)吉尔·辛格尔顿(Jill Shingleton)编著 2019
- 《大学计算机实验指导及习题解答》曹成志,宋长龙 2019
- 《指向核心素养 北京十一学校名师教学设计 英语 七年级 上 配人教版》周志英总主编 2019
- 《大学生心理健康与人生发展》王琳责任编辑;(中国)肖宇 2019
- 《大学英语四级考试全真试题 标准模拟 四级》汪开虎主编 2012
- 《大学英语教学的跨文化交际视角研究与创新发展》许丽云,刘枫,尚利明著 2020
- 《北京生态环境保护》《北京环境保护丛书》编委会编著 2018
- 《复旦大学新闻学院教授学术丛书 新闻实务随想录》刘海贵 2019
- 《大学英语综合教程 1》王佃春,骆敏主编 2015
- 《大学物理简明教程 下 第2版》施卫主编 2020
- 《指向核心素养 北京十一学校名师教学设计 英语 九年级 上 配人教版》周志英总主编 2019