Windows取证分析
点此进入淘宝搜索页搜索分類: 图书,法律,诉讼法/程序法,证据,
作者: (美)Harlan Carvey著,王智慧,崔孝晨,陆道宏译
出 版 社: 科学出版社
出版时间: 2009-1-1字数:版次: 1页数: 222印刷时间:开本: 16开印次: 1纸张:I S B N : 9787030233080包装: 平装内容简介
本书的写作源于实战的需要,主要关注Windows取证分析这一技术领域,主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析,以及Rootkits等内容。本书不仅为取证分析人员、调查人员和应急响应人员提供参考,也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。
作者简介
Harlan Carvey(CISSP),同时也是《Windows取证和事件恢复》(Windows Forensics and Incident Recovery)一书的作者。Harlan Carvey是硅谷北部和大都会地区的计算机取证与应急响应顾问,现在他为全美所有地区的客户提供紧急事件响应和计算机取证服务。Harlan的专业领域集中在Windows 2000及其后续平台的的应急响应、注册表和内存分析、以及事后的计算机取证分析。Harlan曾作为专职的安全工程师提供漏洞评估和渗透测试服务。Harlan也为联邦政府部门提供应急响应和计算机取证服务。 Harlan曾获得弗吉利亚军事学院(Virginia Military Institute)电子工程学士学位和拉瓦尔研究生学院(Naval Postgraduate School)电子工程硕士学位 Harlan在此对他的妻子——Terri,在本书写作过程中的支持、耐心和幽默表示感谢。
目录
前言
第1章 开机取证:数据收集
引言
开机取证(Live Response)
诺卡德交换原理
易变信息的次序
何时进行开机取证
收集什么数据
系统时间
当前登录用户
打开的文件
网络信息(缓存的NetBIOS名字列表)
网络连接
进程信息
进程到端口的映射
进程内存
网络状态
剪贴板内容
服务/驱动信息
命令行历史
映射的驱动器
共享
非易变信息
注册表设置
事件日志
设备和其他信息
有关怎样挑选工具
开机取证方法
本地开机取证方法
远程取证方法
混合方法
小结
参考资料
快速解决方案
常见问题
第2章 开机取证:数据分析
引言
数据分析
案例一
案例二
敏捷分析
扩大范围
应对
防范
小结
参考资料
快速解决方案
常见问题
第3章 Windows内存分析
引言
内存分析简史
获取物理内存镜像
基于硬件的方案
利用火线接口
崩溃转储
利用虚拟机
休眠文件
DD
分析物理内存镜像
进程基础
分析内存镜像
分析进程内存
提取进程可执行文件镜像
内存镜像分析和页交换文件
根据内存镜像判断操作系统类型
分析内存池
获取进程内存
小结
参考资料
快速解决方案
常见问题
第4章 注册表分析
引言
注册表内部结构
配置单元文件内的注册表结构
注册表作为日志文件
监视注册表变化
注册表分析
系统信息
自动启动位置
枚举注册表白动启动位置
USB移动存储设备
Mounted Dcvices
查找用户
追踪用户活动
Windows XP系统还原点
小结
光盘内容
参考资料
快速解决方案
常见问题
第5章 文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志头部
事件记录结构
Vista事件日志
IIS 日志
因特网浏览器历史
其他日志文件
回收站
系统还原点
Prefetch文件
快捷方式文件
文件元数据
Word文档
PDF文档
图像文件
义件特征分析
NTFS分支数据流
其他分析方法
小结
参考资料
快速解决方案
常见问题
第6章 可执行文件分析
引言
静态分析
记录文件信息
分析可执行文件
动态分析
测试环境
一次性系统
工具
流稗
小结
参考资料
快速解决方案
常见问题
第7章 Rootkits及其检测
引言
Rootkits
Rootkit检测
开机柃测
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.com
后期检测
预防
小结
参考资料
快速解决方案
常见问题
书摘插图
第1章开机取证:数据收集
引言
传统调查过程中,传统的方法是现场调查人员直接关闭计算机,然后取得系统硬盘的按位镜像。这种方法简单实用,但是在当前很多实际的调查过程中却不再适用。调查人员和应急响应人员发现有些案例中面临的问题,不能通过硬盘镜像找到答案。例如,在一些通过即时聊天过程诱骗的儿童失踪案中,如何最好地处理证据就是这样一种情形,这种情形在与一些司法官员的交流中也得到了证实。
该问题并不是仅困扰司法人员。很多案件中,最佳的证据和信息源存在于计算机内存中(网络连接、即时聊天客户端的内容、即时聊天进程的内存数据等),因为一些即时聊天程序客户端并不自动保存聊天记录信息。另外一些案件中,调查人员需要知道系统中是否有木马或者恶意程序的运行,敏感的数据文件是否从该系统中被复制,在系统运行的时候,到底发生了哪些行为。技术支持人员通过IDS或者防火墙发现异常/问题流量的时候,经常直接关闭产生这些流量数据的系统,而不管流量数据产生的原因。类似这些情况,调查人员都需要进行开机取证(live response)——在系统运行的时候收集数据。开机取证措施也会有一些负面影响,本章将讨论这些问题。
……
