前言 1
第1章 开机取证:数据收集 1
引言 2
开机取证(Live Response) 2
诺卡德交换原理 3
易变信息的次序 5
何时进行开机取证 5
收集什么数据 7
系统时间 8
当前登录用户 9
打开的文件 10
网络信息(缓存的NetBIOS名字列表) 11
网络连接 12
进程信息 13
进程到端口的映射 18
进程内存 20
网络状态 20
剪贴板内容 22
服务/驱动信息 23
命令行历史 24
映射的驱动器 25
共享 25
非易变信息 26
注册表设置 26
事件日志 29
设备和其他信息 29
有关怎样挑选工具 29
开机取证方法 30
本地开机取证方法 31
远程取证方法 32
混合方法 33
小结 36
参考资料 36
快速解决方案 38
常见问题 39
第2章 开机取证:数据分析 41
引言 42
数据分析 42
案例一 43
案例二 46
敏捷分析 49
扩大范围 51
应对 52
防范 53
小结 54
参考资料 54
快速解决方案 55
常见问题 55
第3章 Windows内存分析 57
引言 58
内存分析简史 58
获取物理内存镜像 59
基于硬件的方案 59
利用火线接口 60
崩溃转储 60
利用虚拟机 62
休眠文件 63
DD 63
分析物理内存镜像 65
进程基础 65
分析内存镜像 67
分析进程内存 72
提取进程可执行文件镜像 73
内存镜像分析和页交换文件 76
根据内存镜像判断操作系统类型 77
分析内存池 78
获取进程内存 79
小结 80
参考资料 80
快速解决方案 81
常见问题 82
第4章 注册表分析 85
引言 86
注册表内部结构 86
配置单元文件内的注册表结构 88
注册表作为日志文件 92
监视注册表变化 93
注册表分析 94
系统信息 95
自动启动位置 98
枚举注册表自动启动位置 105
USB移动存储设备 105
Mounted Devices 109
查找用户 111
追踪用户活动 114
Windows XP系统还原点 122
小结 125
光盘内容 126
参考资料 126
快速解决方案 127
常见问题 128
第5章 文件分析 131
引言 132
事件日志 132
理解事件 132
事件日志文件格式 135
事件日志头部 136
事件记录结构 137
Vista事件日志 140
IIS日志 141
因特网浏览器历史 143
其他日志文件 144
回收站 151
系统还原点 153
Prefetch文件 154
快捷方式文件 155
文件元数据 156
Word文档 158
PDF文档 162
图像文件 163
文件特征分析 163
NTFS分支数据流 164
其他分析方法 170
小结 172
参考资料 173
快速解决方案 174
常见问题 175
第6章 可执行文件分析 177
引言 178
静态分析 178
记录文件信息 178
分析可执行文件 180
动态分析 196
测试环境 196
一次性系统 197
工具 198
流程 201
小结 203
参考资料 204
快速解决方案 205
常见问题 206
第7章 Rootkits及其检测 207
引言 208
Rootkits 208
Rootkit检测 212
开机检测 212
GMER 214
Helios 215
MS StriderGhostBuster 215
F-Secure BlackLight 216
Sophos Anti-Rootkit 217
AntiRootkit.com 218
后期检测 218
预防 219
小结 220
参考资料 220
快速解决方案 221
常见问题 222