第1部分 简介 1
第1章 现实生活中的突发事件 1
1.1 影响响应的因素 1
目录 1
1.2 跨国犯罪 2
1.2.1 欢迎来到Invita . 2
1.2.2 PathStar阴谋 3
1.3 传统的黑客行为 4
1.4 小结 6
2.1 计算机安全事件的意义 7
第2章 应急响应过程简介 7
2.2 应急响应的目标 8
2.3 应急响应小组参与人员 8
2.4 应急响应方法 9
2.4.1 事前准备 10
2.4.2 发现事件 11
2.4.3 初始响应 12
2.4.4 制定响应策略 13
2.4.5 调查事件 17
2.4.6 报告 20
2.4.7 解决方案 21
2.5 小结 22
2.6 问题 22
第3章 为应急响应做准备 24
3.1 突发事件预防准备概述 24
3.2 识别风险 25
3.3 单个主机的准备工作 26
3.3.1 记录关键文件的加 密校验和 26
3.3.2 增加或者启用安全审核日志记录 29
3.3.3 增强主机防御 34
3.3.4 备份关键数据 35
3.3.5 对用户进行基于主机的安全教育 37
3.4 准备网络 37
3.4.1 安装防火墙和入侵侦测系统 38
3.4.2 在路由器上使用访问控制列表 38
3.4.3 创建有助于监视的网络拓扑结构 39
3.4.4 加密网络流量 40
3.4.5 要求身份验证 40
3.5 制订恰当的策略和规程 41
3.5.1 决定响应立场 42
3.5.2 理解策略如何辅助调查措施 44
3.5.3 制定可接受的使用策略 49
3.5.4 设计AUP 51
3.5.5 制定应急响应规程 52
3.6 创建响应工具包 53
3.6.1 响应硬件 53
3.6.2 响应软件 54
3.6.3 网络监视平台 54
3.6.4 文档 55
3.7 建立应急响应小组 55
3.7.1 决定小组的任务 55
3.7.2 对小组进行培训 56
3.8 小结 58
3.9 问题 58
第4章 应急响应 59
4.1 初始响应阶段概述 59
4.1.1 获取初步资料 60
4.1.2 应对措施备案 60
4.2 建立突发事件通知程序 60
4.3 记录事发详情 61
4.3.1 初始响应检查表 61
4.4 突发事件声明 63
4.3.2 案例记录 63
4.5 组建CSIRT 64
4.5.1 突发事件升级处理 64
4.5.2 执行突发事件通知 65
4.5.3 审视突发事件并配备合适的资源 66
4.6 执行例行调查步骤 68
4.7 约见 68
4.7.1 获得联系信息 69
4.7.2 约见系统管理员 70
4.7.3 约见管理人员 70
4.8 制定响应策略 71
4.7.4 约见终端用户 71
4.8.1 应对策略注意事项 72
4.8.2 策略验证 72
4.9 小结 73
4.10 问题 73
第2部分 数据收集 74
第5章 Windows系统下的现场数据收集 74
5.1 创建响应工具箱 74
5.1.1 常用响应工具 75
5.1.2 准备工具箱 76
5.2.1 用netcat传输数据 77
5.2 保存初始响应信息 77
5.2.2 使用cryptcat加密数据 79
5.3 获取易失性数据 79
5.3.1 组织并备案调查过程 80
5.3.2 收集易失性数据 81
5.3.3 编写初始响应脚本 89
5.4 进行深入的现场响应 90
5.4.1 收集最易失的数据 90
5.4.3 收集现场响应数据 91
5.4.2 创建深入的调查工具箱 91
5.5 制作司法鉴定复件的必要性 97
5.6 小结 98
5.7 问题 98
第6章 Unix系统下的现场数据收集 99
6.1 创建响应工具包 99
6.2 保存初始响应信息 100
6.3 在进行司法鉴定复制之前获得易失性数据 101
6.3.1 收集数据 101
6.4 进行深入的现场响应 110
6.4.1 侦测可装载内核模块rootkit 110
6.3.2 编写初始响应脚本 110
6.4.2 获得现场系统日志 112
6.4.3 获得重要的配置文件 113
6.4.4 查找系统中的非法嗅探器 113
6.4.5 查看/proc件系统 116
6.4.6 转储系统内存 119
6.5 小结 120
6.6 问题 121
第7章 司法鉴定复件 122
7.1 可作为呈堂作证的司法鉴定复件 122
7.1.3 被恢复的映像 123
7.1.1 司法鉴定复件 123
7.1.2 合格的司法鉴定复件 123
7.1.4 镜像 124
7.2 司法鉴定复制工具的要求 125
7.3 制作硬盘的司法鉴定复件 126
7.3.1 用dd和dcfldd复制 127
7.3.2 用开放数据复制工具进行复制 128
7.4 制作合格的司法鉴定硬盘复件 132
7.4.1 制作引导盘 132
7.4.2 用SafeBack制作合格的司法鉴定复件 134
7.4.3 用EnCase制作合格的司法鉴定复件 136
7.5 小结 139
7.6 问题 140
第8章 收集网络证据 141
8.1 网络证据 141
8.2 网络监视的目的 141
8.3 网络监视的类型 142
8.3.1 事件监视 142
8.3.2 陷阱跟踪监视 142
8.3.3 全内容监视 143
8.4 安装网络监视系统 144
8.4.1 确定监视的目标 144
8.4.2 选择合适的硬件 145
8.4.3 选择合适的软件 147
8.4.4 部署网络监视器 150
8.4.5 评价网络监视器 151
8.5 执行陷阱跟踪 152
8.5.1 用tcpdump进行陷阱跟踪 153
8.5.2 用WinDump进行陷阱跟踪 155
8.5.3 创建陷阱跟踪输出文件 155
8.6 用tcpdump进行全内容监视 156
8.6.1 过滤全内容数据 157
8.6.2 保存全内容数据文件 157
8.7 收集网络日志文件 158
8.9 问题 159
8.8 小结 159
第9章 证据处理 161
9.1 证据 161
9.1.1 最优证据规则 162
9.1.2 原始证据 162
9.2 证据处理 162
9.2.1 证据鉴定 163
9.2.2 保管链 163
9.2.3 据确认 164
9.3.1 证据系统描述 165
9.3 证据处理程序概述 165
9.3.2 数码照片 167
9.3.3 证据标签 167
9.3.4 证据标记 169
9.3.5 证据存储 169
9.3.6 证据日志 171
9.3.7 工作副本 172
9.3.8 证据备份 172
9.3.9 证据处置 173
9.3.10 证据管理员审核 173
9.5 问题 174
9.4 小结 174
第3部分 数据分析 175
第10章 计算机系统存储基础 175
10.1 硬盘与接口 175
10.1.1 快速发展的ATA标准 176
10.1.2 SCSI 179
10.2 准备硬盘 182
10.2.1 擦除存储介质 182
10.2.2 磁盘的分区和格式化 183
10.3 文件系统和存储层介绍 186
10.3.2 数据分类层 187
10.3.1 物理层 187
10.3.3 分配单元层 188
10.3.4 存储空间管理层 189
10.3.5 信息分类层和应用级存储层 190
10.4 小结 190
10.5 问题 191
第11章 数据分析技术 192
11.1 司法鉴定分析的准备工作 192
11.2 恢复司法鉴定复件 193
11.2.1 恢复硬盘的司法鉴定复件 193
11.2.2 恢复硬盘的合格司法鉴定复件 195
11.3 在Linux下准备分析用的司法鉴定复件 199
11.3.1 检查司法鉴定复件文件 201
11.3.2 联系司法鉴定复件文件与Linux环回设备 202
11.4 用司法鉴定套件检查映像文件 204
11.4.1 在EnCase中检查司法鉴定复件 204
11.4.2 在ForensicToolkit中检查司法鉴定复件 205
11.5 将合格的司法鉴定复件转换成司法鉴定复件 207
11.6 在Windows系统中恢复被删除的文件 209
11.6.1 使用基于Windows系统的工具来恢复FAT文件系统中的文件 209
11.6.2 使用Linux工具来恢复FAT文件系统中的文件 209
11.6.3 使用文件恢复的图形用户界面:Autopsy 213
11.6.4 使用Foremost恢复丢失的文件 216
11.6.5 在Unix系统中恢复被删除的文件 218
11.7 恢复未分配空间、自由空间和松弛空间 223
11.8 生成文件列表 225
11.8.1 列出文件的元数据 225
11.8.2 识别已知系统文件 228
11.9 准备用于查找字符串的驱动器 228
11.10 小结 233
11.11 问题 233
12.1 Windows系统中的证据存放位置 235
第12章 调查Windows系统 235
12.2 调查Windows 236
12.2.1 检查所有相关日志 236
12.2.2 进行关键字搜索 243
12.2.3 检查相关文件 244
12.2.4 识别未授权的用户账户或用户组 258
12.2.6 识别恶意进程 259
12.2.7 查找异常或隐藏的文件 260
12.2.8 检查未授权的访问点 261
12.2.9 检查由计划程序服务所运行的任务 264
12.2.10 分析信任关系 265
12.2.11 检查安全标识符 266
12.3 文件审核和信息窃取 266
12.4 对离职雇员的处理 268
12.4.1 检查搜索内容和使用过的文件 268
12.4.2 在硬盘上进行字符串搜索 269
12.5 小结 269
12.6 问题 269
第13章 调查Unix系统 270
13.1 Unix调查步骤概述 270
1 3.2.1 网络日志 271
13.2 审查相关日志 271
13.2.2 主机日志记录 274
13.2.3 用户操作日志 275
13.3 搜索关键字 276
13.3.1 使用grep进行字符串搜索 277
13.3.2 使用find命令进行文件搜索 278
13.4 审查相关文件 278
13.4.1 事件时间和时间/日期戳 279
13.4.2 特殊文件 280
13.5.2 组账户调查 284
13.5.1 用户账户调查 284
13.5 识别未经授权的用户账户或用户组 284
13.6 识别恶意进程 285
13.7 检查未经授权的访问点 286
13.8 分析信任关系 286
13.9 检测可加载木马程序的内核模块 287
13.9.1 现场系统上的LKM 287
13.9.2 LKM元素 288
13.9.3 LKM检测工具 289
13.10 小结 292
13.11 问题 292
14.1.1 网络通信分析工具 293
第14章 网络通信分析 293
14.1 寻找基于网络的证据 293
14.1.2 检查用tcpdump收集的网络通信 294
14.2 用tcptrace生成会话数据 295
14.2.1 分析捕获文件 295
14.2.2 解释tcptrace输出 297
14.2.3 用Snort提取事件数据 298
14.2.4 检查SYN数据包 298
14.2.5 解释Snort输出 302
14.3 用tcpflow重组会话 302
14.3.2 解释tcpflow输出 303
14.3.1 FTP会话 303
14.3.3 查看SSH会话 307
14.4 用Ethereal重组会话 309
14.5 改进tcpdump过滤器 311
14.6 小结 312
14.7 问题 312
第15章 黑客工具研究 317
15.1 工具分析的目的 317
15.2 文件编译方式 317
15.2.2 动态链接的程序 318
15.2.1 静态链接的程序 318
15.2.3 用调试选项编译程序 319
15.2.4 精简化的程序 320
15.2.5 用UPX压缩的程序 320
15.2.6 编译技术和文件分析 322
15.3 黑客工具的静态分析 324
15.3.1 确定文件类型 325
15.3.2 检查ASCII和Unicode字符串 326
15.3.3 在线研究 328
15.4.1 创建沙箱环境 329
15.4 黑客工具的动态分析 329
15.3.4 检查源代码 329
15.4.2 Unix系统上的动态分析 331
15.4.3 Windows系统下的动态分析 339
15.5 小结 343
15.6 问题 343
第16章 研究路由器 344
16.1 在关机之前获得易失性数据 344
16.1.1 建立路由器连接 345
16.1.2 记录系统时间 345
16.1.3 判断登录到路由器的人 345
16.1.4 确定路由器的正常运行时间 346
16.1.5 判断侦听套接字 347
16.1.6 保存路由器的配置 348
16.1.7 查看路由表 349
16.1.8 检查接口配置 350
16.1.9 查看ARP缓存 350
16.2 寻找证据 351
16.2.1 处理直接威胁事件 351
16.2.2 处理路由表操纵事件 353
16.2.3 处理信息失窃事件 353
16.2.4 处理拒绝服务攻击 354
16.3.1 理解访问控制列表 355
16.3 用路由器作为响应工具 355
16.3.2 用路由器进行监测 357
16.3.3 响应DDoS攻击 358
16.4 小结 359
16.5 问题 359
第17章 撰写计算机司法鉴定报告 360
17.1 什么是计算机司法鉴定报告 360
17.1.1 什么是鉴定报告 360
17.1.2 报告的目标 361
17.2 撰写报告的指导方针 362
17.2.2 了解分析目的 363
17.2.1 迅速并清楚地记录调查步骤 363
17.2.3 组织报告 364
17.2.4 使用模板 364
17.2.5 使用一致的标识符 365
17.2.6 使用附件和附录 365
17.2.7 让同事阅读报告 365
17.2.8 使用MD5哈希 366
17.2.9 包括元数据 366
17.3 计算机司法鉴定报告模板 367
17.3.2 目标 368
17.3.1 执行摘要 368
17.3.3 经过分析的计算机证据 369
17.3.4 相关调查结果 370
17.3.5 支持性细节 370
17.3.6 调查线索 372
17.3.7 附加的报告部分 373
17.4 小结 374
17.5 问题 374
第4部分 附录 375
附录A 问题解答 375
附录B 应急响应表格 393