第Ⅰ部分 多功能工具 3
第1章 Netcat和Cryptcat 3
1.1 Netcat 4
1.2 Netcat6 8
使用 9
Netcat的用法 9
1.3 Cryptcat 24
1.4 SBD 25
第2章 X Window系统 27
2.1选择窗口管理器 28
2.2客户机/服务器模型 28
2.3远程X服务器与客户端如何通信 29
2.4加强X的安全性,第一部分:使用xhost和xauth 30
xhost 30
xauth 31
2.5加强X的安全性,第二部分:使用SSH 32
2.6其他重要工具 34
xdm 34
xinit和startx 35
Xserver 35
在Windows和Mac OS X上使用X 35
2.7本章小结 36
第3章 虚拟机与仿真器 37
3.1 VMware 38
下载与安装 38
配置 39
使用 41
开放源代码选项 42
3.2 Virtual PC 42
配置 42
使用 44
3.3 Gnoppix 46
配置 46
使用 46
3.4 Cygwin 48
下载与安装 48
使用 50
第Ⅱ部分 审计与主机防护工具 57
第4章 端口扫描工具 57
4.1 nmap 58
4.2 THC-Amap 75
4.3 IpEye 80
4.4 WUPS 81
4.5 Scanline 82
第5章 Unix列举工具 85
5.1 Samba 86
smbclient 86
nmblookup 88
rpcclient 89
5.2 finger 91
使用 91
运行finger守护程序的原因 92
5.3 rpcinfo 92
使用 93
RPC的问题 94
5.4 showmount命令 94
5.5 r-tools 95
rlogin、rsh以及rep 95
r-tools的安全隐患 95
rwho 96
rexec 96
5.6 who、w和last 96
who 96
w 97
last 97
第6章 Windows列举工具 101
6.1 net工具 102
6.2 nbtstat 106
使用 106
搜索MAC地址 109
6.3 Winfingerprint 110
使用 110
运行Development Build 112
回到命令行 112
6.4 GetUserInfo 114
6.5 enum 115
6.6 PsTools 118
6.7 MB SA Version 2 130
第7章 Web攻击工具 137
7.1漏洞扫描 138
Nikto 138
LibWhisker 143
7.2实现不同功能的工具 145
Curl 145
OpenSSL 148
Stunnel 151
7.3检查应用程序 154
Paros代理 155
Burp代理 158
Wget 161
第8章 口令破解与强力工具 163
8.1 PAM和Unix口令策略 164
8.2 OpenBSD login.conf 167
8.3 John the Ripper 169
8.4 L0phtCrack 179
8.5捕获Windows口令散列 183
pwdump 183
pwdump3 184
pwdump4 185
lsadump2 186
8.6主动强力工具 187
第9章 主机强化 193
9.1 clamav 194
下载与安装 194
使用 194
9.2 Titan 199
下载与安装 199
使用 200
9.3 msec 202
第10章 后门和远程访问工具 207
10.1 VNC 208
10.2 Netbus 214
10.3 Back Orifice 218
10.4 SubSeven 224
10.5 Loki 229
10.6 stcpshell 232
10.7 Knark 234
第11章 简单源代码审计工具 241
11.1 Flawfinder 242
11.2 RATS 244
第12章 系统审计工具组合 253
12.1 Nessus 254
安装 255
使用 255
12.2 Cain 266
12.3 AIDE 267
安装 268
使用 268
12.4 Tripwire 270
开放源代码版本的使用 270
商业版本的使用 277
使用Tripwire保护文件 283
第Ⅲ部分 审计和保护网络的工具 287
第13章 防火墙 287
13.1防火墙和报文过滤器——基本原理 288
什么是防火墙 288
防火墙和报文过滤器之间的差别 289
防火墙如何保护网络 289
在规则集中可以过滤哪些类型的包特征 289
无状态防火墙和有状态防火墙之间的差别 290
理解网络地址转换(NAT)和端口转发 291
虚拟私有网络(VPN)基础 293
中立区 294
何时讨论实际的防火墙产品 295
13.2免费的防火墙软件 295
ipchams 296
iptables(Netfilter) 303
IPFW2 310
其他免费的防火墙产品 318
13.3商业防火墙 319
Linksys SOHO防火墙单元 319
SonicWALL 320
CiscoPIX 322
其他产品 324
第14章 网络侦察工具 325
14.1 whois/fwhois 326
14.2 host、dig和nslookup 331
14.3 Ping 334
14.4 fping 336
14.5 traceroute 338
14.6 hping 342
第15章 端口重定向 351
15.1 Datapipe 352
15.2 FPipe 355
15.3 WinRelay 357
第16章 嗅探器 363
16.1嗅探器概述 364
16.2 BUTTSniffer 365
16.3 tcpdump和WinDump 372
安装 373
使用 373
16.4 Ethereal 383
16.5 dsniff 392
安装 392
使用工具 393
危险工具 398
16.6 ettercap 398
安装 398
使用 398
潜在的灾难 401
16.7入侵检测系统Snort 401
安装与使用 402
snort插件 406
其他 408
第17章 无线工具 413
17.1 NetStumbler 415
17.2 AiroPeek 416
17.3 Wellenreiter 418
17.4 Kismet 419
使用 419
扩展Kismet的功能 424
第18章 war拨号器 427
18.1 ToneLoc 428
使用:创建tl.cfg文件 428
使用:运行扫描 431
使用:导航ToneLoc界面 433
.dat文件技术 433
18.2 THC-Scan 437
使用:配置THC-Scan 437
使用:运行THC-Scan 439
使用:导航THC-Scan 440
使用:操作THC-Scan.dat文件 441
18.3 Shokdial 442
18.4在连接字符串之外的一些知识 442
第19章 TCP/IP协议栈工具 445
19.1 IP协议栈完整性检查程序ISIC 446
使用 446
提示与技巧 450
19.2 iptest 452
19.3 Nemesis.Packet-weaving 101 454
19.4命令行之外的一些知识 459
第Ⅳ部分 用于取证与事件响应的工具 463
第20章 创建可引导的环境和实时响应工具包 463
20.1 Trinux 464
20.2 Windows实时响应工具包 468
cmd.exe 469
fport 469
netstat 471
nbtstat 473
ARP 474
PsList 475
Kill 476
dir 476
auditpol 478
PsLoggedOn 479
NTLast 479
转储事件日志(dumpel) 480
Regdmp 481
SFind 482
Md5sum 486
20.3 Unix实时响应工具包 486
bash命令 487
netstat命令 488
ARP 489
ls命令 490
w命令 491
last与lastb命令 492
lsof命令 492
ps命令 494
kill命令 497
md5sum命令 497
Carbonite 498
Chkrootkit 500
第21章 商业化的取证复制工具包 501
21.1 EnCase 502
21.2格式化:创建一个可信引导盘 510
21.3 PDBLOCK:对源驱动器阻止写 512
21.4 SafeBack 513
21.5 SnapBack 522
21.6 FTK Imager 525
21.7 Ghost 530
21.8 SMART 538
第22章 开源的取证复制工作包 541
22.1 dd:取证复制工具 543
使用 543
取证复制#1:对硬盘的精确二进制复制 544
取证复制#2:创建一个本地证据文件 545
取证复制#3:创建一个远程证据文件 547
22.2 dcfldd 548
22.3 split:将映像分开 548
22.4 dd:硬盘清理工具 549
22.5 Losetup:将Linux中的常规文件转换成设备 549
22.6增强的Linux回送设备 551
22.7 Vnode:在FreeBSD中将一个常规文件转换为设备 552
22.8 md5sum与md5:验证所收集到的证据 553
第23章 取证分析工具包 557
23.1 Forensic Toolkit 558
23.2 EnCase 568
23.3 Coroner’s Toolkit 577
第24章 Internet活动重建工具 591
24.1基于客户端和基于Web的e-mail 592
24.2 Outlook 592
24.3 ReadPST和ReadDBX 594
24.4 Paraben E-mail查看程序 595
24.5 Unix邮箱 599
24.6 Guidance Software公司的EnCase Forensic Edition 600
24.7 AccessDataFTK 602
24.8搜索Internet历史记录 604
24.9 NetAnalysis 604
24.10 IE History 606
24.11 X-Ways Trace 609
24.12 Web Historian 611
第25章 通用编辑器和阅读器 619
25.1 File命令 620
25.2 hexdump 621
25.3 hexedit 625
25.4 Vi 628
25.5 Frhed 632
25.6 WinHex 635
使用 635
数据解释 636
搜索 636
数据恢复 637
25.7 Quick View Plus 638
25.8 Midnight Commander 642
第26章 二进制代码逆向工程 649
26.1计算机程序解析 650
26.2黑盒分析 651
在二进制代码中搜索字符串 651
利用LSOF确定程序使用的文件及端口号 652
使用nmap发现通信端口 652
利用sniffer查看网络流量 652
查看系统调用 652
识别kernel-hiding技术 653
创建Sandbox机器 654
26.3亲力亲为:编写代码 654
导出内存信息 654
使用objdump工具 655
IDA Pro软件 656
GNU调试工具——GDB 656
26.4 Java程序 656
代码混淆 656
反编译Java程序 657
附录A 参考图表 659
附录B 相关命令 669