- 編號:18923
- 書名:應急響應&計算機司法鑒定(第2版)
- 作者:KEVIN MANDIA
- 出版社:清華
- 出版時間:2004年11月
- 入庫時間:2005-5-30
- 定價:49.9
圖書內容簡介
沒有圖書簡介
圖書目錄
第1部分簡 介
第1章現實生活中的突發事件………………………………………………………………1
1.1影響響應的因素………………………………………………………………………l
1.2跨國犯罪………………………………………………………………2
1.2.1 歡迎來到Invita………………………………………………………………2
1.2.2 PathStar陰謀…………………………………………………………………3
1.3傳統的黑客行為………………………………………………………………………4
1.4小結……………………………………………………………………………………6
第2章應急響應過程簡介……………………………………………………………………7
2.1計算機安全事件的意義………………………………………………………………7
2.2應急響應的目標………………………………………………………………………8
2.3應急響應小組參與人員………………………………………………………………8
2.4應急響應方法………………………………………………………………………9
2.4.1 事前準備……………………………………………………………………10
2.4.2發現事件……………………………………………………………………ll
2.4.3初始響應……………………………………………………………………12
2.4.4制定響應策略………………………………………………………………13
2.4.5調查事件……………………………………………………………………17
2.4.6報告…………………………………………………………………………20
2.4.7解決方案……………………………………………………………………21
2.5小結…………………………………………………………………………………22
2.6問題…………………………………………………………………22
第3章為應急響應做準備……………………………………………………………………24
3.1 突發事件預防準備概述……………………………………………………………24
3.2識別風險……………………………………………………………………………25
3.3單個主機的準備工作………………………………………………………………26
3.3.1記錄關鍵文件的加密校驗和………………………………………………26
3.3.2增加或者啟用安全審核日志記錄…………………………………………29
3.3.3增強主機防御………………………………………………………………34
3.3.4備份關鍵數據………………………………………………………………35
3.3.5對用戶進行基于主機的安全教育…………………………………………37
3.4準備網絡……………………………………………………………………………37
3.4.1 安裝防火墻和入侵偵測系統……………………………………………38
3.4.2在路由器上使用訪問控制列表……………………………………………38
3.4.3創建有助于監視的網絡拓撲結構…………………………………………39
3.4.4加密網絡流量………………………………………………………………40
3.4.5要求身份驗證………………………………………………………………40
3.5制訂恰當的策略和規程……………………………………………………………41
3.5.1決定響應立場………………………………………………………………42
3.5.2理解策略如何輔助調查措施………………………………………………44
3.5.3制定可接受的使用策略……………………………………………………49
3.5.4設計AUP…………………………………………………………………………………………51
3.5.5制定應急響應規程…………………………………………………………52
3.6創建響應工具包……………………………………………………………………53
3.6.1 響應硬件……………………………………………………………………53
3.6.2 響應軟件……………………………………………………………………54
3.6.3 網絡監視平臺………………………………………………………………54
3.6.4文檔…………………………………………………………………………55
3.7建立應急響應小組…………………………………………………………………55
3.7.1 決定小組的任務……………………………………………………………55
3.7.2對小組進行培訓……………………………………………………………56
3.8 小結………………………………………………………………………………………………………………58
3.9 問題…………………………………………………………………………………58
第4章應急響應……………………………………………………………………………59
4.1初始響應階段概述…………………………………………………………………59
4.1.1獲取初步資料………………………………………………………………60
4.1.2應對措施備案………………………………………………………………60
4.2建立突發事件通知程序……………………………………………………………60
4.3記錄事發詳情………………………………………………………………………6l
4.3.1初始響應檢查表……………………………………………………………6l
4.3.2案例記錄……………………………………………………………………63
4.4突發事件聲明……………………………………………………………………63
4.5組建CSIRT…………………………………………………………………………64
4.5.1突發事件升級處理…………………………………………………………64
4.5.2執行突發事件通知…………………………………………………………65
4.5.3審視突發事件并配備合適的資源…………………………………………66
4.6執行例行調查步驟…………………………………………………………………68
4.7約見………………………………………………………………………………………………………………68
4.7.1獲得聯系信息………………………………………………………………69
4.7.2約見系統管理員……………………………………………………………70
4.7.3約見管理人員………………………………………………………………70
4.7.4約見終端用戶………………………………………………………………71
4.8制定響應策略………………………………………………………………………7l
4.8.1應對策略注意事項…………………………………………………………72
4.8.2策略驗證……………………………………………………………………72
4.9小結………………………………………………………………………………………………………………73
4.10問題…………………………………………………………………………………73
第2部分數據收集
第5章Windows系統下的現場數據收集………………………………………………74
5.1創建響應工具箱……………………………………………………………………74
5.1.1常用響應工具………………………………………………………………75
5.1.2準備工具箱…………………………………………………………………76
5.2保存初始響應信息…………………………………………………………………77
5.2.1應用netcat傳輸數據………………………………………………………77
5.2.2使用cryptcat加密數據……………………………………………………79
5.3獲取易失性數據……………………………………………………………………79
5.3.1組織并備案調查過程………………………………………………………80
5.3.2收集易失性數據……………………………………………………………8l
5.3.3編寫初始響應腳本…………………………………………………………89
5.4進行深入的現場響應………………………………………………………………90
5.4.1 收集最易失的數據…………………………………………………………90
5.4.2創建深入的調查工具箱……………………………………………………91
5.4.3收集現場響應數據…………………………………………………………91
5.5制作司法鑒定復件的必要性………………………………………………………97
5.6 小結………………………………………………………………………………………………………………98
5.7 問題………………………………………………………………………………………………………………98
第6章Unix系統下的現場數據收集………………………………………………………99
6.1創建響應工具包………………………………………………………………………99
6.2保存初始響應信息…………………………………………………………………100
6.3在進行司法鑒定復制之前獲得易失性數據………………………………………101
6.3.1 收集數據…………………………………………………………………101
6.3.2編寫初始響應腳本………………………………………………………1 10
6.4進行深入的現場響應………………………………………………………………1 10
6.4.1偵測可裝載內核模塊rootkit……………………………………………110
6.4.2獲得現場系統日志………………………………………………………1 12
6.4.3獲得重要的配置文件……………………………………………………1 13
6.4.4查找系統中的非法嗅探器………………………………………………113
6.4.5查看/Droc文件系統………………………………………………………1 16
6.4.6轉儲系統內存……………………………………………………………1 19
6.5.小結………………………………………………………………………………120
6.6問題……………………………………………………………………………………………………………121
第7章 司法鑒定復件………………………………………………………………………122
7.1 可作為呈堂作證的司法鑒定復件…………………………………………………122
7.1.1司法鑒定復件……………………………………………………………123
7.1.2合格的司法鑒定復件……………………………………………………123
7.1.3被恢復的映像……………………………………………………………123
7.1.4鏡像………………………………………………………………………………………………124
7.2司法鑒定復制工具的要求…………………………………………………………125
7.3制作硬盤的司法鑒定復件…………………………………………………………126
7.3.1 用dd和dcfldd復制……………………………………………………127
7.3.2用開放數據復制工具進行復制…………………………………………128
7.4制作合格的司法鑒定硬盤復件……………………………………………………132
7.4.1制作引導盤………………………………………………………………132
7.4.2用SafeBack制作合格的司法鑒定復件…………………………………134
7.4.3用EnCase制作合格的司法鑒定復件……………………………………136
7.5 小結……………………………………………………………………………………………… 1 39
7.6 I司題………………………………………………………………………………140
第8章收集網絡證據………………………………………………………………………141
8.1 網絡證據……………………………………………………………………………141
8.2網絡監視的目的……………………………………………………………………141
8.3網絡監視的類型……………………………………………………………………142
8.3.1事件監視…………………………………………………………………142
8.3.2陷阱跟蹤監視……………………………………………………………142
8.3.3全內容監視………………………………………………………………143
8.4安裝網絡監視系統…………………………………………………………………144
8.4.1確定監視的目標…………………………………………………………144
8.4.2選擇合適的硬件…………………………………………………………145
8.4.3選擇合適的軟件…………………………………………………………147
8.4.4部署網絡監視器…………………………………………………………150
8.4.5評價網絡監視器…………………………………………………………151
8.5執行陷阱跟蹤………………………………………………………………………152
8.5.1用tcpdump進行陷阱跟蹤………………………………………………153
8.5.2用WinDump進行陷阱跟蹤………………………………………………155
8.5.3創建陷阱跟蹤輸出文件…………………………………………………155
8.6用tcpdump進行全內容監視………………………………………………………156
8.6.1過濾全內容數據…………………………………………………………157
8.6.2保存全內容數據文件……………………………………………………157
8.7收集網絡日志文件…………………………………………………………………158
8.8小結……………………………………………………………………………………………………………159
8.9問題…………………………………………………………………………………159
第9章證據處理……………………………………………………………………………161
9.1 證據…………………………………………………………………………………161
9.1.1最優證據規則……………………………………………………………162
9.1.2原始證據…………………………………………………………………162
9.2 tie據處理……………………………………………………………………………162
9.2.1證據鑒定…………………………………………………………………163
9.2.2保管鏈……………………………………………………………………163
9.2.3證據確認…………………………………………………………………164
9.3證據處理程序概述…………………………………………………………………165
9.3.1證據系統描述……………………………………………………………165
9.3.2數碼照片…………………………………………………………………167
9.3.3證據標簽…………………………………………………………………167
9.3.4證據標記…………………………………………………………………169
9.3.5證據存儲…………………………………………………………………169
9.3.6 i,JE據日志…………………………………………………………………17 1
9.3.7 32作副本…………………………………………………………………172
9.3.8證據備份…………………………………………………………………172
9.3.9證據處置…………………………………………………………………173
9.3.10 i~據管理員審核…………………………………………………………173
9.4小結……………………………………………………………………………………………………………174
9.5 I司題…………………………………………………………………………………174
第3部分數據分析
第1 0章計算機系統存儲基礎……………………………………………………………175
10.1硬盤與接口………………………………………………………………………175
10.1.1快速發展的ATA標準……………………………………………………176
10.1.2 SCSI……………………………………………………………………………179
10.2準備硬盤…………………………………………………………………………182
10.2.1擦除存儲介質……………………………………………………………182
10.2.2磁盤的分區和格式化……………………………………………………183
10.3文件系統和存儲層介紹…………………………………………………………186
10.3.1物理層……………………………………………………………………187
10.3.2數據分類層………………………………………………………………1 87
10.3.3分配單元層………………………………………………………………1 88
10.3.4存儲空間管理層…………………………………………………………189
10.3.5信息分類層和應用級存儲層……………………………………………190
10.4 小結…………………………………………………………………………………………………………190
10.5 問題………………………………………………………………………………191
第1 1章數據分析技術………………………………………………………………………192
11.1 司法鑒定分析的準備工作………………………………………………………192
1 1.2恢復司法鑒定復件………………………………………………………………193
11.2.1恢復硬盤的司法鑒定復件………………………………………………193
11.2.2恢復硬盤的合格司法鑒定復件…………………………………………195
11.3在Linux下準備分析用的司法鑒定復件…………………………………………199
11.3.1檢查司法鑒定復件文件…………………………………………………201
11.3.2聯系司法鑒定復件文件與Linux環回設備……………………………202
1 1.4用司法鑒定套件檢查映像文件…………………………………………………204
11.4.1在EnCase中檢查司法鑒定復件………………………………………204
11.4.2在Forensic Toolkit中檢查司法鑒定復件………………………………205
11.5將合格的司法鑒定復件轉換成司法鑒定復件…………………………………207
11.6在Windows系統中恢復被刪除的文件…………………………………………209
11.6.1使用基于Windows系統的工具來恢復FAT文件系統中的文件………209
11.6.2使用Linux 32具來恢復FAT文件系統中的文件………………………209
11.6.3使用文件恢復的圖形用戶界面:Autopsy………………………………213
11.6.4使用Foremost恢復丟失的文件…………………………………………216
11.6.5在Unix系統中恢復被刪除的文件………………………………………218
11.7恢復未分配空間、自由空間和松弛空間………………………………………223
11.8生成文件列表……………………………………………………………………225
11.8.1列出文件的元數據………………………………………………………225
1 1.8.2識別已知系統文件………………………………………………………228
11.9準備用于查找字符串的驅動器…………………………………………………228
11.10小結……………………………………………………………………………233
11.1l 問題………………………………………………………………………………233
第1 2章調查Windows系統………………………………………………………………235
12.1 Windows系統中的證據存放位置………………………………………………235
12.2調查Windows……………………………………………………………………236
12.2.1檢查所有相關日志………………………………………………………236
12.2.2進行關鍵字搜索…………………………………………………………243
12.2.3檢查相關文件……………………………………………………………244
12.2.4識別未授權的用戶賬戶或用戶組………………………………………258
12.2.6識別惡意進程……………………………………………………………259
12.2.7查找異常或隱藏的文件…………………………………………………260
12.2.8檢查未授權的訪問點……………………………………………………261
12.2.9檢查由計劃程序服務所運行的任務……………………………………264
12.2.10分析信任關系…………………………………………………………265
12.2.1 1檢查安全標識符………………………………………………………266
12.3文件審核和信息竊取……………………………………………………………266
12.4對離職雇員的處理………………………………………………………………268
12.4.1檢查搜索內容和使用過的文件…………………………………………268
12.4.2在硬盤上進行字符串搜索………………………………………………269
12.5小結…………………………………………………………………………………………………………269
12.6問題………………………………………………………………………………269
第1 3章調查Unix系統……………………………………………………………………270
13.1 Unix調查步驟概述………………………………………………………………270
13.2審查相關日志……………………………………………………………………271
13.2.1 網絡日志…………………………………………………………………271
13.2.2主機日志記錄……………………………………………………………274
13.2.3用戶操作日志……………………………………………………………275
13.3搜索關鍵字………………………………………………………………………276
13.3.1使用grep進行字符串搜索………………………………………………277
13.3.2使用find命令進行文件搜索……………………………………………278
13.4審查相關文件……………………………………………………………………278
13.4.1事件時間和時間/日期戳…………………………………………………279
13.4.2特殊文件…………………………………………………………………280
13.5識別未經授權的用戶賬戶或用戶組……………………………………………284
13.5.1用戶賬戶調查……………………………………………………………284
13.5.2組賬戶調查………………………………………………………………284
13.6識別惡意進程……………………………………………………………………285
1 3.7檢查未經授權的訪問點…………………………………………………………286
13.8分析信任關系……………………………………………………………………286
13.9檢測可加載木馬程序的內核模塊………………………………………………287
13.9.1現場系統上的LKM……………………………………………………287
13.9.2 LKM元素………………………………………………………………288
13.9.3 LKM檢測工具…………………………………………………………289
13.10小結…………………………………………………………………………………………………………292
13.1 1 問題………………………………………………………………………………292
第1 4章 網絡通信分析……………………………………………………………………293
14.1 尋找基于網絡的證據……………………………………………………………293
14.1.1 網絡通信分析工具………………………………………………………293
14.1.2檢查用tcpdump收集的網絡通信………………………………………294
14.2用tcptrace生成會話數據…………………………………………………………295
14.2.1分析捕獲文件……………………………………………………………295
14.2.2解釋tcptrace輸出………………………………………………………297
14.2.3用Snort提取事件數據…………………………………………………298
14.2.4檢查SYN數據包………………………………………………………298
14.2.5解釋Snort輸出…………………………………………………………302
14.3用tcpflow重組會話………………………………………………………………302
14.3.1 FTP會話……………………………………………………………………………………….303
14.3.2解釋tcpflow輸出………………………………………………………303
14.3.3查看SSH會話……………………………………………………………307
14.4用Ethereal重組會話……………………………………………………………309
14.5改進tcpdump過濾器……………………………………………………………311
14.6小結…………………………………………………………………………………………………………3 12
14.7 問題………………………………………………………………………………3 1 2
第1 5章黑客工具研究……………………………………………………………………3 17
15.1 I具分析的目的…………………………………………………………………317
15.2文件編譯方式……………………………………………………………………3 17
15.2.1靜態鏈接的程序…………………………………………………………318
15.2.2動態鏈接的程序…………………………………………………………318
15.2.3用調試選項編譯程序……………………………………………………3 19
15.2.4精簡化的程序……………………………………………………………320
15.2.5用UPX壓縮的程序……………………………………………………320
15.2.6編譯技術和文件分析……………………………………………………322
15.3黑客工具的靜態分析……………………………………………………………324
15.3.1確定文件類型……………………………………………………………325
15.3.2檢查ASCII和Unicode字符串…………………………………………326
15.3.3在線研究…………………………………………………………………328
15.3.4檢查源代碼………………………………………………………………329
15.4黑客工具的動態分析……………………………………………………………329
15.4.1創建沙箱環境……………………………………………………………329
15.4.2 Unix系統上的動態分析…………………………………………………331
15.4.3 Windows系統下的動態分析……………………………………………339
15.5小結…………………………………………………………………………………………………………343
15.6 問題………………………………………………………………343
第1 6章研究路由器………………………………………………………………………344
16.1 在關機之前獲得易失性數據……………………………………………………344
16.1.1建立路由器連接…………………………………………………………345
16.1.2 i~錄系統時問……………………………………………………………345
16.1.3判斷登錄到路由器的人…………………………………………………345
16.1.4確定路由器的正常運行時間……………………………………………346
16.1.5判斷偵聽套接字…………………………………………………………347
16.1.6保存路由器的配置………………………………………………………348
16.1.7查看路由表………………………………………………………………349
16.1.8檢查接口配置……………………………………………………………350
16.1.9查看ARP緩存…………………………………………………………350
16.2尋找證據…………………………………………………………………………351
16.2.1處理直接威脅事件………………………………………………………35 1
16.2.2處理路由表操縱事件……………………………………………………353
16.2.3處理信息失竊事件………………………………………………………353
16.2.4處理拒絕服務攻擊………………………………………………………354
16.3用路由器作為響應工具…………………………………………………………355
16.3.1 tN解訪問控制列表………………………………………………………355
16.3.2用路由器進行監測………………………………………………………357
16.3.3 D向應DDoS攻擊…………………………………………………………358
16.4小結…………………………………………………………………………………………………………359
16.5問題………………………………………………………………………………359
第1 7章撰寫計算機司法鑒定報告…………………………………………………………360
17.1什么是計算機司法鑒定報告……………………………………………………360
17.1.1什么是鑒定報告…………………………………………………………360
17.1.2報告的目標………………………………………………………………361
17.2撰寫報告的指導方針……………………………………………………………362
17.2.1迅速并清楚地記錄調查步驟……………………………………………363
17.2.2了解分析目的……………………………………………………………363
17.2.3組織報告…………………………………………………………………364
17.2.4使用模板…………………………………………………………………364
17.2.5使用一致的標識符………………………………………………………365
17.2.6使用附件和附錄…………………………………………………………365
17.2.7讓同事閱讀報告…………………………………………………………365
17.2.8使用MD5哈希…………………………………………………………366
17.2.9包括元數據………………………………………………………………366
17.3計算機司法鑒定報告模板………………………………………………………367
17.3.1 執行摘要…………………………………………………………………368
17.3.2 目標………………………………………………………………………368
17.3.3經過分析的計算機證據…………………………………………………369
17.3.4相關調查結果……………………………………………………………370
17.3.5支持性細節………………………………………………………………370
17.3.6調查線索…………………………………………………………………372
17.3.7附加的報告部分…………………………………………………………373
17.4小結…………………………………………………………………………………………………………374
17.5 問題…………………………………………………………………………………………………………374
第4部分附 錄
附錄A問題解答……………………………………………………………………………375
附錄B應急響應表格………………………………………………………………………393
總計400頁
