Forensic Discovery
Preface
Introduction to Part 1
Chapter 1 - The spirit of forensic discovery
Chapter 2 - Time Machines
Introduction to Part 2
Chapter 3 - File sytem basics
Chapter 4 - File system analysis
Chapter 5 - Systems and subversion
Chapter 6 - Malware analysis basics
Introduction to Part 3
Chapter 7 - Persistence of deleted file information
Chapter 8 - Beyond Processes
Appendix A
Appendix B
Download
翻譯本
譯者序
前言
第一部分基 本 概 念
第1章計算機取證宗旨3
1.1引言3
1.2突顯異常活動4
1.3易失性順序 5
1.4層與假象7
1.5信息的可信度8
1.6被刪除信息的固化10
1.7數字考古學與地質學11
第2章時間機器15
2.1引言15
2.2故障的第一個特徵15
2.3MAC時間介紹16
2.4MAC時間的局限性18
2.5Argus:情況變得更為複雜19
2.6淘金:在隱蔽的地方尋找時間信息23
2.7DNS和時間25
2.8日誌文件系統和MAC時間28
2.9時間的缺陷31
2.10結論32
第二部分探討系統抽象
第3章文件系統基礎35
3.1引言35
3.2文件系統的字母表35
3.3UNIX文件組織結構36
3.4UNIX文件名39
3.5UNIX路徑名40
3.6UNIX文件類型41
3.6.1普通文件41
3.6.2目錄41
3.6.3符號鏈接42
3.6.4IPC(進程間通信)端點42
3.6.5設備文件42
3.7首次揭密——文件系統內部情況43
3.8UNIX文件系統佈局49
3.9揭開秘密——深入探索文件系統49
3.10模糊區——隱藏在文件系統接口之下的威脅51
3.11結論52
第4章文件系統分析53
4.1引言53
4.2初次接觸53
4.3準備分析被入侵的文件系統54
4.4捕獲被入侵的文件系統信息55
4.5通過網絡發送磁盤鏡像56
4.6在分析的機器上掛載磁盤鏡像59
4.7現存文件的MAC時間信息61
4.8現存文件的詳細分析63
4.9掩蓋現存文件分析65
4.10插曲:當一個文件被刪除時,將會發生什麼?66
4.10.1父目錄項67
4.10.2父目錄屬性68
4.10.3索引節點塊68
4.10.4數據塊68
4.11被刪除文件的MAC時間信息69
4.12被刪除文件的詳細分析69
4.13利用索引節點號發現異常文件71
4.14追踪一個被刪除文件的原始位置72
4.15通過被刪除文件的索引節點號來
追踪被刪除的文件73
4.16回到入侵的另外一個分支74
4.17喪失無辜74
4.18結論76
第5章系統與破壞77
5.1引言77
5.2標準計算機系統結構78
5.3UNIX系統從啟動到關閉的生命週期79
5.4案例研究:系統啟動的複雜性80
5.5內核配置機制81
5.6使用內核安全等級來保護計算機取證信息83
5.7典型的進程和系統狀態工具84
5.8進程和系統狀態工具是如何工作的87
5.9進程和系統狀態工具的局限性87
5.10用rootkit軟件進行破壞89
5.11命令級破壞89
5.12命令級的隱蔽和檢測90
5.13庫級破壞93
5.14內核級破壞94
5.15內核rootkit的安裝94
5.16內核rootkit的操作95
5.17內核rootkit的檢測與隱藏97
5.18結論101
第6章惡意攻擊軟件分析基礎103
6.1引言103
6.2動態程序分析的危險104
6.3硬件虛擬機的程序限制104
6.4軟件虛擬機的程序限制105
6.5軟件虛擬機限制的危險性106
6.6Jails和chroot()的程序限制107
6.7系統調用監控程序的動態分析109
6.8系統調用審查程序的限制111
6.9系統調用哄騙程序的限制114
6.10系統調用限制的危險116
6.11庫調用監控的動態分析117
6.12庫調用程序的限制117
6.13庫調用限制的危險120
6.14機器指令級的動態分析120
6.15靜態分析與逆向工程120
6.16小程序存在許多問題124
6.17惡意攻擊軟件分析對策124
6.18結論125
第三部分超 越 抽 象
第7章被刪除文件信息的持久性129
7.1引言129
7.2被刪除信息持久性舉例130
7.3測量被刪除文件內容的持久性131
7.4測量被刪除文件MAC時間的持久性132
7.5被刪除文件MAC時間的強力持久性133
7.6被刪除文件MAC時間信息的長期持久性136
7.7用戶活動對被刪除文件的MAC時間信息的影響138
7.8被刪除文件信息的可信度139
7.9為什麼被刪除文件信息能夠保持不變140
7.10結論142
第8章超越進程145
8.1引言145
8.2虛擬內存的基礎知識146
8.3內存頁的基礎知識147
8.4文件和內存頁148
8.5匿名內存頁149
8.6捕獲內存149
8.7savecore命令150
8.7.1內存設備文件:/dev/mem和/dev/kmem151
8.7.2交換分區152
8.7.3其他存儲單元153
8.8靜態分析:從文件中識別內存154
8.9在無密鑰的情況下恢復加密文件的內容155
8.9.1創建一個加密文件155
8.9.2從主存中恢復加密文件155
8.10文件系統塊VS.內存分頁技術156
8.11識別內存中的文件158
8.12動態分析:內存數據的持久性159
8.13內存中文件的持久性161
8.14非文件或匿名數據的持久性163
8.15交換分區的持久性164
8.16引導進程內存的持久性164
8.17內存數據的可信度和堅韌性165
8.18結論167
附錄ACoroner’s工具包及其相關
軟件169
附錄B數據收集和易失性順序175
參考文獻181
來源
0 意見: