- 編號(hào):36593
- 書名:Windows取證:企業(yè)計(jì)算機(jī)調(diào)查指南
- 作者:(美)C.斯帝爾著
- 出版社:科學(xué)
- 出版時(shí)間:2007年6月
- 入庫時(shí)間:2008-10-30
- 定價(jià):38
圖書內(nèi)容簡介
本書主要論述Windows系統(tǒng)平臺(tái)的計(jì)算機(jī)取證問題,從理論、實(shí)踐、技術(shù)等多角度進(jìn)行詳細(xì)闡述,給出了在目標(biāo)機(jī)和分析工具方面均立足于 Windows平臺(tái)的操作指南,旨在為UNIX/Linux專家提供Windows操作系統(tǒng)中適合取證分析的工作步驟,為那些希望進(jìn)入計(jì)算機(jī)取證世界的Windows專家們提供堅(jiān)實(shí)的基礎(chǔ),讓更多的取證愛好者得以借助本書進(jìn)入Windows取證這個(gè)充滿魅力和挑戰(zhàn)性的領(lǐng)域。
本書主要讀者對象為企業(yè)網(wǎng)絡(luò)安全管理人員、網(wǎng)絡(luò)(監(jiān)察)警察、本科生、研究生、科研人員、教學(xué)人員和普通讀者。本書適合于在企業(yè)、高校內(nèi)進(jìn)行計(jì)算機(jī)取證人才培訓(xùn),包括作為企業(yè)安全管理員和取證分析師培訓(xùn)教材,高校信息安全專業(yè)的本科生、研究生專業(yè)課教材,或計(jì)算機(jī)、信息技術(shù)等相關(guān)專業(yè)的本科生和研究生(尤其是工程碩士)等選修課教材。
圖書目錄
譯者序
作者簡介
出品團(tuán)隊(duì)
致謝
第1章 Windows取證
1.1企業(yè)計(jì)算機(jī)取證分析師
1.2 Windows取證
1.3人、程序和工具
1.4計(jì)算機(jī)取證:當(dāng)前和未來
1.5補(bǔ)充參考資源
第2章 處理數(shù)字犯罪現(xiàn)場
2.1確認(rèn)現(xiàn)場
2.2執(zhí)行遠(yuǎn)程調(diào)查
2.3保護(hù)現(xiàn)場
2.4記錄現(xiàn)場
2.5處理物理證據(jù)現(xiàn)場
2.6處理數(shù)字證據(jù)現(xiàn)場
2.7保管鏈
2.8最佳證據(jù)
2.9與執(zhí)法機(jī)關(guān)共事
2.1 0補(bǔ)充參考資源
第3章 Windows取證基礎(chǔ)
3.1歷史和版本
3.1.1 MS.DOS
3.1.2 Windows 1.x、2.x和3.x
3.1.3 Windows NT雨II Windows 2000
3.1.4 Windows 95/98/Me
3.1.5 Windows XP/2003
3.2非易失性存儲(chǔ)器
3.2.1軟盤
3.2.2磁帶
3.2.3 CD和DVD-
3.2.4 USB閃存驅(qū)動(dòng)器
3.2.5硬盤
3.3補(bǔ)充參考資源
第4章 分區(qū)和文件系統(tǒng)
4.1主引導(dǎo)記錄
4.2 Windows文件系統(tǒng)
4.2.1 FAT
4.2.2 VFAT
4.2.3 NITS
4.3補(bǔ)充參考資源
第5章 目錄結(jié)構(gòu)和特殊文件
5.1Windows NI/2000/XP
5.1.1目錄
5.1.2文件
5.2 Windows 9x
5.2.1目錄
5.2.2文件
5.3補(bǔ)充參考資源
第6章 注冊表
6.1歷史
6.2注冊表基礎(chǔ)知識(shí)
6.3注冊表分析
6.3.1常規(guī)注冊表鍵
6.3.2文件夾位置
6.3.3自啟動(dòng)項(xiàng)目
6.3.4智能表單
6.4高級(jí)注冊表分析
6.5補(bǔ)充參考資源
第7章 取證分析
第8章 系統(tǒng)聯(lián)機(jī)分析
8.1隱秘分析
8.1.1系統(tǒng)狀態(tài)分析
8.1.2監(jiān)控
8.2公開分析
8.2.1基于GUI的公開分析
8.2.2本地命令行分析
8.2.3遠(yuǎn)程命令行分析
8.2.4基本信息收集
8.2.5系統(tǒng)狀態(tài)信息
8.2.6運(yùn)行程序的信息
8.2.7主存分析
8.3補(bǔ)充參考資源
第9章 取證復(fù)制
9.1硬盤復(fù)制
9.1.1原地復(fù)制
9.1.2直連復(fù)制
9.2日志文件復(fù)制
9.3補(bǔ)充參考資源
第10章 文件系統(tǒng)分析
10.1搜索
10.1.1索引搜索
10.1.2按位搜索
10.1.3搜索方法
10.2散列分析
10.2.1正散列分析
10.2.2反散列分析
10.3文件恢復(fù)
10.4特殊文件
10.4.1打印隊(duì)列文件
10.4.2 Windows快捷方式
10.4.3分頁文件
10.5補(bǔ)充參考資源
第11章 日志文件分析
11.1事件日志
11.1.1應(yīng)用程序日志
11.1.2系統(tǒng)日志
11.1.3安全日志
11.2因特網(wǎng)日志
11.2.1 HTTP日志
11.2.2 FTP日志
11.2.3 SMTP日志
11.3補(bǔ)充參考資源
第12章 因特網(wǎng)使用分析
12.1網(wǎng)絡(luò)活動(dòng)
12.1.1 IE瀏覽器
12.1.2 Firefox
12.1.3工具欄歷史
12.1.4網(wǎng)絡(luò)、代理和DNS歷史記錄
12.2對等網(wǎng)絡(luò)
12.2.1 Gnutella客戶端
12.2.2 Limewire
12.2.3 Fasfr'rack客戶端
12.2.4 Overact、eMule、eDonkey 2000客戶端
12.3即時(shí)消息
12.3.1 AOI。Instant Messenger
12.3.2 Microsoft Messenger
12.4補(bǔ)充參考資源
第13章 電子郵件調(diào)查
13.1 0utlOOk/0utlOOk Exoress
13.1.1 Outlook Express
13.1.2 Outlook
13.2 Lotus Notes
13.2.1獲取
13.2.2訪問控制與日志記錄
13.2.3分析
13.2.4地址簿
13.3補(bǔ)充參考資源
附錄1 保管鏈表格的樣例
附錄2 主引導(dǎo)記錄的結(jié)構(gòu)
附錄3 分區(qū)類型
附錄4 FAT32引導(dǎo)扇區(qū)的結(jié)構(gòu)
附錄5 NTFS引導(dǎo)扇區(qū)結(jié)構(gòu)
附錄6 NTFS元文件
附錄7 常見的安全標(biāo)識(shí)符
