《应急响应 & 计算机司法鉴定 第2版》PDF下载

  • 购买积分:13 如何计算积分?
  • 作  者:(美)Kevin Mandia,(美)Chris Prosise,(美)Matt Pepe著;汪青青,付宇光等译
  • 出 版 社:北京:清华大学出版社
  • 出版年份:2004
  • ISBN:7302097275
  • 页数:400 页
图书介绍:本书的第一版获得了空前的成功,成为计算机安全专业人士案头必备的参考书籍。本书则对第一版进行了更细致、更全面地扩充和改进。本书条理分明地论述了面对突发事件所应该执行的各个步骤,着重讨论安全事件发生后的数据收集、数据分析的处理过程。本书的一大特色在于翔实地给出了一些实例,读者可以结合书中学习到的理论知识,对这些情况进行实战推演。

第1部分 简介 1

第1章 现实生活中的突发事件 1

1.1 影响响应的因素 1

目录 1

1.2 跨国犯罪 2

1.2.1 欢迎来到Invita . 2

1.2.2 PathStar阴谋 3

1.3 传统的黑客行为 4

1.4 小结 6

2.1 计算机安全事件的意义 7

第2章 应急响应过程简介 7

2.2 应急响应的目标 8

2.3 应急响应小组参与人员 8

2.4 应急响应方法 9

2.4.1 事前准备 10

2.4.2 发现事件 11

2.4.3 初始响应 12

2.4.4 制定响应策略 13

2.4.5 调查事件 17

2.4.6 报告 20

2.4.7 解决方案 21

2.5 小结 22

2.6 问题 22

第3章 为应急响应做准备 24

3.1 突发事件预防准备概述 24

3.2 识别风险 25

3.3 单个主机的准备工作 26

3.3.1 记录关键文件的加 密校验和 26

3.3.2 增加或者启用安全审核日志记录 29

3.3.3 增强主机防御 34

3.3.4 备份关键数据 35

3.3.5 对用户进行基于主机的安全教育 37

3.4 准备网络 37

3.4.1 安装防火墙和入侵侦测系统 38

3.4.2 在路由器上使用访问控制列表 38

3.4.3 创建有助于监视的网络拓扑结构 39

3.4.4 加密网络流量 40

3.4.5 要求身份验证 40

3.5 制订恰当的策略和规程 41

3.5.1 决定响应立场 42

3.5.2 理解策略如何辅助调查措施 44

3.5.3 制定可接受的使用策略 49

3.5.4 设计AUP 51

3.5.5 制定应急响应规程 52

3.6 创建响应工具包 53

3.6.1 响应硬件 53

3.6.2 响应软件 54

3.6.3 网络监视平台 54

3.6.4 文档 55

3.7 建立应急响应小组 55

3.7.1 决定小组的任务 55

3.7.2 对小组进行培训 56

3.8 小结 58

3.9 问题 58

第4章 应急响应 59

4.1 初始响应阶段概述 59

4.1.1 获取初步资料 60

4.1.2 应对措施备案 60

4.2 建立突发事件通知程序 60

4.3 记录事发详情 61

4.3.1 初始响应检查表 61

4.4 突发事件声明 63

4.3.2 案例记录 63

4.5 组建CSIRT 64

4.5.1 突发事件升级处理 64

4.5.2 执行突发事件通知 65

4.5.3 审视突发事件并配备合适的资源 66

4.6 执行例行调查步骤 68

4.7 约见 68

4.7.1 获得联系信息 69

4.7.2 约见系统管理员 70

4.7.3 约见管理人员 70

4.8 制定响应策略 71

4.7.4 约见终端用户 71

4.8.1 应对策略注意事项 72

4.8.2 策略验证 72

4.9 小结 73

4.10 问题 73

第2部分 数据收集 74

第5章 Windows系统下的现场数据收集 74

5.1 创建响应工具箱 74

5.1.1 常用响应工具 75

5.1.2 准备工具箱 76

5.2.1 用netcat传输数据 77

5.2 保存初始响应信息 77

5.2.2 使用cryptcat加密数据 79

5.3 获取易失性数据 79

5.3.1 组织并备案调查过程 80

5.3.2 收集易失性数据 81

5.3.3 编写初始响应脚本 89

5.4 进行深入的现场响应 90

5.4.1 收集最易失的数据 90

5.4.3 收集现场响应数据 91

5.4.2 创建深入的调查工具箱 91

5.5 制作司法鉴定复件的必要性 97

5.6 小结 98

5.7 问题 98

第6章 Unix系统下的现场数据收集 99

6.1 创建响应工具包 99

6.2 保存初始响应信息 100

6.3 在进行司法鉴定复制之前获得易失性数据 101

6.3.1 收集数据 101

6.4 进行深入的现场响应 110

6.4.1 侦测可装载内核模块rootkit 110

6.3.2 编写初始响应脚本 110

6.4.2 获得现场系统日志 112

6.4.3 获得重要的配置文件 113

6.4.4 查找系统中的非法嗅探器 113

6.4.5 查看/proc件系统 116

6.4.6 转储系统内存 119

6.5 小结 120

6.6 问题 121

第7章 司法鉴定复件 122

7.1 可作为呈堂作证的司法鉴定复件 122

7.1.3 被恢复的映像 123

7.1.1 司法鉴定复件 123

7.1.2 合格的司法鉴定复件 123

7.1.4 镜像 124

7.2 司法鉴定复制工具的要求 125

7.3 制作硬盘的司法鉴定复件 126

7.3.1 用dd和dcfldd复制 127

7.3.2 用开放数据复制工具进行复制 128

7.4 制作合格的司法鉴定硬盘复件 132

7.4.1 制作引导盘 132

7.4.2 用SafeBack制作合格的司法鉴定复件 134

7.4.3 用EnCase制作合格的司法鉴定复件 136

7.5 小结 139

7.6 问题 140

第8章 收集网络证据 141

8.1 网络证据 141

8.2 网络监视的目的 141

8.3 网络监视的类型 142

8.3.1 事件监视 142

8.3.2 陷阱跟踪监视 142

8.3.3 全内容监视 143

8.4 安装网络监视系统 144

8.4.1 确定监视的目标 144

8.4.2 选择合适的硬件 145

8.4.3 选择合适的软件 147

8.4.4 部署网络监视器 150

8.4.5 评价网络监视器 151

8.5 执行陷阱跟踪 152

8.5.1 用tcpdump进行陷阱跟踪 153

8.5.2 用WinDump进行陷阱跟踪 155

8.5.3 创建陷阱跟踪输出文件 155

8.6 用tcpdump进行全内容监视 156

8.6.1 过滤全内容数据 157

8.6.2 保存全内容数据文件 157

8.7 收集网络日志文件 158

8.9 问题 159

8.8 小结 159

第9章 证据处理 161

9.1 证据 161

9.1.1 最优证据规则 162

9.1.2 原始证据 162

9.2 证据处理 162

9.2.1 证据鉴定 163

9.2.2 保管链 163

9.2.3 据确认 164

9.3.1 证据系统描述 165

9.3 证据处理程序概述 165

9.3.2 数码照片 167

9.3.3 证据标签 167

9.3.4 证据标记 169

9.3.5 证据存储 169

9.3.6 证据日志 171

9.3.7 工作副本 172

9.3.8 证据备份 172

9.3.9 证据处置 173

9.3.10 证据管理员审核 173

9.5 问题 174

9.4 小结 174

第3部分 数据分析 175

第10章 计算机系统存储基础 175

10.1 硬盘与接口 175

10.1.1 快速发展的ATA标准 176

10.1.2 SCSI 179

10.2 准备硬盘 182

10.2.1 擦除存储介质 182

10.2.2 磁盘的分区和格式化 183

10.3 文件系统和存储层介绍 186

10.3.2 数据分类层 187

10.3.1 物理层 187

10.3.3 分配单元层 188

10.3.4 存储空间管理层 189

10.3.5 信息分类层和应用级存储层 190

10.4 小结 190

10.5 问题 191

第11章 数据分析技术 192

11.1 司法鉴定分析的准备工作 192

11.2 恢复司法鉴定复件 193

11.2.1 恢复硬盘的司法鉴定复件 193

11.2.2 恢复硬盘的合格司法鉴定复件 195

11.3 在Linux下准备分析用的司法鉴定复件 199

11.3.1 检查司法鉴定复件文件 201

11.3.2 联系司法鉴定复件文件与Linux环回设备 202

11.4 用司法鉴定套件检查映像文件 204

11.4.1 在EnCase中检查司法鉴定复件 204

11.4.2 在ForensicToolkit中检查司法鉴定复件 205

11.5 将合格的司法鉴定复件转换成司法鉴定复件 207

11.6 在Windows系统中恢复被删除的文件 209

11.6.1 使用基于Windows系统的工具来恢复FAT文件系统中的文件 209

11.6.2 使用Linux工具来恢复FAT文件系统中的文件 209

11.6.3 使用文件恢复的图形用户界面:Autopsy 213

11.6.4 使用Foremost恢复丢失的文件 216

11.6.5 在Unix系统中恢复被删除的文件 218

11.7 恢复未分配空间、自由空间和松弛空间 223

11.8 生成文件列表 225

11.8.1 列出文件的元数据 225

11.8.2 识别已知系统文件 228

11.9 准备用于查找字符串的驱动器 228

11.10 小结 233

11.11 问题 233

12.1 Windows系统中的证据存放位置 235

第12章 调查Windows系统 235

12.2 调查Windows 236

12.2.1 检查所有相关日志 236

12.2.2 进行关键字搜索 243

12.2.3 检查相关文件 244

12.2.4 识别未授权的用户账户或用户组 258

12.2.6 识别恶意进程 259

12.2.7 查找异常或隐藏的文件 260

12.2.8 检查未授权的访问点 261

12.2.9 检查由计划程序服务所运行的任务 264

12.2.10 分析信任关系 265

12.2.11 检查安全标识符 266

12.3 文件审核和信息窃取 266

12.4 对离职雇员的处理 268

12.4.1 检查搜索内容和使用过的文件 268

12.4.2 在硬盘上进行字符串搜索 269

12.5 小结 269

12.6 问题 269

第13章 调查Unix系统 270

13.1 Unix调查步骤概述 270

1 3.2.1 网络日志 271

13.2 审查相关日志 271

13.2.2 主机日志记录 274

13.2.3 用户操作日志 275

13.3 搜索关键字 276

13.3.1 使用grep进行字符串搜索 277

13.3.2 使用find命令进行文件搜索 278

13.4 审查相关文件 278

13.4.1 事件时间和时间/日期戳 279

13.4.2 特殊文件 280

13.5.2 组账户调查 284

13.5.1 用户账户调查 284

13.5 识别未经授权的用户账户或用户组 284

13.6 识别恶意进程 285

13.7 检查未经授权的访问点 286

13.8 分析信任关系 286

13.9 检测可加载木马程序的内核模块 287

13.9.1 现场系统上的LKM 287

13.9.2 LKM元素 288

13.9.3 LKM检测工具 289

13.10 小结 292

13.11 问题 292

14.1.1 网络通信分析工具 293

第14章 网络通信分析 293

14.1 寻找基于网络的证据 293

14.1.2 检查用tcpdump收集的网络通信 294

14.2 用tcptrace生成会话数据 295

14.2.1 分析捕获文件 295

14.2.2 解释tcptrace输出 297

14.2.3 用Snort提取事件数据 298

14.2.4 检查SYN数据包 298

14.2.5 解释Snort输出 302

14.3 用tcpflow重组会话 302

14.3.2 解释tcpflow输出 303

14.3.1 FTP会话 303

14.3.3 查看SSH会话 307

14.4 用Ethereal重组会话 309

14.5 改进tcpdump过滤器 311

14.6 小结 312

14.7 问题 312

第15章 黑客工具研究 317

15.1 工具分析的目的 317

15.2 文件编译方式 317

15.2.2 动态链接的程序 318

15.2.1 静态链接的程序 318

15.2.3 用调试选项编译程序 319

15.2.4 精简化的程序 320

15.2.5 用UPX压缩的程序 320

15.2.6 编译技术和文件分析 322

15.3 黑客工具的静态分析 324

15.3.1 确定文件类型 325

15.3.2 检查ASCII和Unicode字符串 326

15.3.3 在线研究 328

15.4.1 创建沙箱环境 329

15.4 黑客工具的动态分析 329

15.3.4 检查源代码 329

15.4.2 Unix系统上的动态分析 331

15.4.3 Windows系统下的动态分析 339

15.5 小结 343

15.6 问题 343

第16章 研究路由器 344

16.1 在关机之前获得易失性数据 344

16.1.1 建立路由器连接 345

16.1.2 记录系统时间 345

16.1.3 判断登录到路由器的人 345

16.1.4 确定路由器的正常运行时间 346

16.1.5 判断侦听套接字 347

16.1.6 保存路由器的配置 348

16.1.7 查看路由表 349

16.1.8 检查接口配置 350

16.1.9 查看ARP缓存 350

16.2 寻找证据 351

16.2.1 处理直接威胁事件 351

16.2.2 处理路由表操纵事件 353

16.2.3 处理信息失窃事件 353

16.2.4 处理拒绝服务攻击 354

16.3.1 理解访问控制列表 355

16.3 用路由器作为响应工具 355

16.3.2 用路由器进行监测 357

16.3.3 响应DDoS攻击 358

16.4 小结 359

16.5 问题 359

第17章 撰写计算机司法鉴定报告 360

17.1 什么是计算机司法鉴定报告 360

17.1.1 什么是鉴定报告 360

17.1.2 报告的目标 361

17.2 撰写报告的指导方针 362

17.2.2 了解分析目的 363

17.2.1 迅速并清楚地记录调查步骤 363

17.2.3 组织报告 364

17.2.4 使用模板 364

17.2.5 使用一致的标识符 365

17.2.6 使用附件和附录 365

17.2.7 让同事阅读报告 365

17.2.8 使用MD5哈希 366

17.2.9 包括元数据 366

17.3 计算机司法鉴定报告模板 367

17.3.2 目标 368

17.3.1 执行摘要 368

17.3.3 经过分析的计算机证据 369

17.3.4 相关调查结果 370

17.3.5 支持性细节 370

17.3.6 调查线索 372

17.3.7 附加的报告部分 373

17.4 小结 374

17.5 问题 374

第4部分 附录 375

附录A 问题解答 375

附录B 应急响应表格 393