明港酉铝信用担保有限公司

圖書內(nèi)容簡介

沒有圖書簡介

圖書目錄

第1部分簡 介
第1章現(xiàn)實(shí)生活中的突發(fā)事件………………………………………………………………1
1．1影響響應(yīng)的因素………………………………………………………………………l
1．2跨國犯罪………………………………………………………………2
1．2．1 歡迎來到Invita………………………………………………………………2
1．2．2 PathStar陰謀…………………………………………………………………3
1．3傳統(tǒng)的黑客行為………………………………………………………………………4
1．4小結(jié)……………………………………………………………………………………6
第2章應(yīng)急響應(yīng)過程簡介……………………………………………………………………7
2．1計(jì)算機(jī)安全事件的意義………………………………………………………………7
2．2應(yīng)急響應(yīng)的目標(biāo)………………………………………………………………………8
2．3應(yīng)急響應(yīng)小組參與人員………………………………………………………………8
2．4應(yīng)急響應(yīng)方法………………………………………………………………………9
2．4．1 事前準(zhǔn)備……………………………………………………………………10
2．4．2發(fā)現(xiàn)事件……………………………………………………………………ll
2．4．3初始響應(yīng)……………………………………………………………………12
2．4．4制定響應(yīng)策略………………………………………………………………13
2．4．5調(diào)查事件……………………………………………………………………17
2．4．6報(bào)告…………………………………………………………………………20
2．4．7解決方案……………………………………………………………………21
2．5小結(jié)…………………………………………………………………………………22
2．6問題…………………………………………………………………22
第3章為應(yīng)急響應(yīng)做準(zhǔn)備……………………………………………………………………24
3．1 突發(fā)事件預(yù)防準(zhǔn)備概述……………………………………………………………24
3．2識別風(fēng)險(xiǎn)……………………………………………………………………………25
3．3單個(gè)主機(jī)的準(zhǔn)備工作………………………………………………………………26
3．3．1記錄關(guān)鍵文件的加密校驗(yàn)和………………………………………………26
3．3．2增加或者啟用安全審核日志記錄…………………………………………29
3．3．3增強(qiáng)主機(jī)防御………………………………………………………………34
3．3．4備份關(guān)鍵數(shù)據(jù)………………………………………………………………35
3．3．5對用戶進(jìn)行基于主機(jī)的安全教育…………………………………………37
3．4準(zhǔn)備網(wǎng)絡(luò)……………………………………………………………………………37
3．4．1 安裝防火墻和入侵偵測系統(tǒng)……………………………………………38
3．4．2在路由器上使用訪問控制列表……………………………………………38
3．4．3創(chuàng)建有助于監(jiān)視的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)…………………………………………39
3．4．4加密網(wǎng)絡(luò)流量………………………………………………………………40
3．4．5要求身份驗(yàn)證………………………………………………………………40
3．5制訂恰當(dāng)?shù)牟呗院鸵?guī)程……………………………………………………………41
3．5．1決定響應(yīng)立場………………………………………………………………42
3．5．2理解策略如何輔助調(diào)查措施………………………………………………44
3．5．3制定可接受的使用策略……………………………………………………49
3．5．4設(shè)計(jì)AUP…………………………………………………………………………………………51
3．5．5制定應(yīng)急響應(yīng)規(guī)程…………………………………………………………52
3．6創(chuàng)建響應(yīng)工具包……………………………………………………………………53
3．6．1 響應(yīng)硬件……………………………………………………………………53
3．6．2 響應(yīng)軟件……………………………………………………………………54
3．6．3 網(wǎng)絡(luò)監(jiān)視平臺………………………………………………………………54
3．6．4文檔…………………………………………………………………………55
3．7建立應(yīng)急響應(yīng)小組…………………………………………………………………55
3．7．1 決定小組的任務(wù)……………………………………………………………55
3．7．2對小組進(jìn)行培訓(xùn)……………………………………………………………56
3．8 小結(jié)………………………………………………………………………………………………………………58
3．9 問題…………………………………………………………………………………58
第4章應(yīng)急響應(yīng)……………………………………………………………………………59
4．1初始響應(yīng)階段概述…………………………………………………………………59
4．1．1獲取初步資料………………………………………………………………60
4．1．2應(yīng)對措施備案………………………………………………………………60
4．2建立突發(fā)事件通知程序……………………………………………………………60
4．3記錄事發(fā)詳情………………………………………………………………………6l
4．3．1初始響應(yīng)檢查表……………………………………………………………6l
4．3．2案例記錄……………………………………………………………………63
4．4突發(fā)事件聲明……………………………………………………………………63
4．5組建CSIRT…………………………………………………………………………64
4．5．1突發(fā)事件升級處理…………………………………………………………64
4．5．2執(zhí)行突發(fā)事件通知…………………………………………………………65
4．5．3審視突發(fā)事件并配備合適的資源…………………………………………66
4．6執(zhí)行例行調(diào)查步驟…………………………………………………………………68
4．7約見………………………………………………………………………………………………………………68
4．7．1獲得聯(lián)系信息………………………………………………………………69
4．7．2約見系統(tǒng)管理員……………………………………………………………70
4．7．3約見管理人員………………………………………………………………70
4．7．4約見終端用戶………………………………………………………………71
4．8制定響應(yīng)策略………………………………………………………………………7l
4．8．1應(yīng)對策略注意事項(xiàng)…………………………………………………………72
4．8．2策略驗(yàn)證……………………………………………………………………72
4．9小結(jié)………………………………………………………………………………………………………………73
4．10問題…………………………………………………………………………………73
第2部分?jǐn)?shù)據(jù)收集
第5章Windows系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集………………………………………………74
5．1創(chuàng)建響應(yīng)工具箱……………………………………………………………………74
5．1．1常用響應(yīng)工具………………………………………………………………75
5．1．2準(zhǔn)備工具箱…………………………………………………………………76
5．2保存初始響應(yīng)信息…………………………………………………………………77
5．2．1應(yīng)用netcat傳輸數(shù)據(jù)………………………………………………………77
5．2．2使用cryptcat加密數(shù)據(jù)……………………………………………………79
5．3獲取易失性數(shù)據(jù)……………………………………………………………………79
5．3．1組織并備案調(diào)查過程………………………………………………………80
5．3．2收集易失性數(shù)據(jù)……………………………………………………………8l
5．3．3編寫初始響應(yīng)腳本…………………………………………………………89
5．4進(jìn)行深入的現(xiàn)場響應(yīng)………………………………………………………………90
5．4．1 收集最易失的數(shù)據(jù)…………………………………………………………90
5．4．2創(chuàng)建深入的調(diào)查工具箱……………………………………………………91
5．4．3收集現(xiàn)場響應(yīng)數(shù)據(jù)…………………………………………………………91
5．5制作司法鑒定復(fù)件的必要性………………………………………………………97
5．6 小結(jié)………………………………………………………………………………………………………………98
5．7 問題………………………………………………………………………………………………………………98
第6章Unix系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集………………………………………………………99
6．1創(chuàng)建響應(yīng)工具包………………………………………………………………………99
6．2保存初始響應(yīng)信息…………………………………………………………………100
6．3在進(jìn)行司法鑒定復(fù)制之前獲得易失性數(shù)據(jù)………………………………………101
6．3．1 收集數(shù)據(jù)…………………………………………………………………101
6．3．2編寫初始響應(yīng)腳本………………………………………………………1 10
6．4進(jìn)行深入的現(xiàn)場響應(yīng)………………………………………………………………1 10
6．4．1偵測可裝載內(nèi)核模塊rootkit……………………………………………110
6．4．2獲得現(xiàn)場系統(tǒng)日志………………………………………………………1 12
6．4．3獲得重要的配置文件……………………………………………………1 13
6．4．4查找系統(tǒng)中的非法嗅探器………………………………………………113
6．4．5查看／Droc文件系統(tǒng)………………………………………………………1 16
6．4．6轉(zhuǎn)儲系統(tǒng)內(nèi)存……………………………………………………………1 19
6．5.小結(jié)………………………………………………………………………………120
6．6問題……………………………………………………………………………………………………………121
第7章 司法鑒定復(fù)件………………………………………………………………………122
7．1 可作為呈堂作證的司法鑒定復(fù)件…………………………………………………122
7．1．1司法鑒定復(fù)件……………………………………………………………123
7．1．2合格的司法鑒定復(fù)件……………………………………………………123
7．1．3被恢復(fù)的映像……………………………………………………………123
7．1．4鏡像………………………………………………………………………………………………124
7．2司法鑒定復(fù)制工具的要求…………………………………………………………125
7．3制作硬盤的司法鑒定復(fù)件…………………………………………………………126
7．3．1 用dd和dcfldd復(fù)制……………………………………………………127
7．3．2用開放數(shù)據(jù)復(fù)制工具進(jìn)行復(fù)制…………………………………………128
7．4制作合格的司法鑒定硬盤復(fù)件……………………………………………………132
7．4．1制作引導(dǎo)盤………………………………………………………………132
7．4．2用SafeBack制作合格的司法鑒定復(fù)件…………………………………134
7．4．3用EnCase制作合格的司法鑒定復(fù)件……………………………………136
7．5 小結(jié)……………………………………………………………………………………………… 1 39
7．6 I司題………………………………………………………………………………140
第8章收集網(wǎng)絡(luò)證據(jù)………………………………………………………………………141
8．1 網(wǎng)絡(luò)證據(jù)……………………………………………………………………………141
8．2網(wǎng)絡(luò)監(jiān)視的目的……………………………………………………………………141
8．3網(wǎng)絡(luò)監(jiān)視的類型……………………………………………………………………142
8．3．1事件監(jiān)視…………………………………………………………………142
8．3．2陷阱跟蹤監(jiān)視……………………………………………………………142
8．3．3全內(nèi)容監(jiān)視………………………………………………………………143
8．4安裝網(wǎng)絡(luò)監(jiān)視系統(tǒng)…………………………………………………………………144
8．4．1確定監(jiān)視的目標(biāo)…………………………………………………………144
8．4．2選擇合適的硬件…………………………………………………………145
8．4．3選擇合適的軟件…………………………………………………………147
8．4．4部署網(wǎng)絡(luò)監(jiān)視器…………………………………………………………150
8．4．5評價(jià)網(wǎng)絡(luò)監(jiān)視器…………………………………………………………151
8．5執(zhí)行陷阱跟蹤………………………………………………………………………152
8．5．1用tcpdump進(jìn)行陷阱跟蹤………………………………………………153
8．5．2用WinDump進(jìn)行陷阱跟蹤………………………………………………155
8．5．3創(chuàng)建陷阱跟蹤輸出文件…………………………………………………155
8．6用tcpdump進(jìn)行全內(nèi)容監(jiān)視………………………………………………………156
8．6．1過濾全內(nèi)容數(shù)據(jù)…………………………………………………………157
8．6．2保存全內(nèi)容數(shù)據(jù)文件……………………………………………………157
8．7收集網(wǎng)絡(luò)日志文件…………………………………………………………………158
8．8小結(jié)……………………………………………………………………………………………………………159
8．9問題…………………………………………………………………………………159
第9章證據(jù)處理……………………………………………………………………………161
9．1 證據(jù)…………………………………………………………………………………161
9．1．1最優(yōu)證據(jù)規(guī)則……………………………………………………………162
9．1．2原始證據(jù)…………………………………………………………………162
9．2 tie據(jù)處理……………………………………………………………………………162
9．2．1證據(jù)鑒定…………………………………………………………………163
9．2．2保管鏈……………………………………………………………………163
9．2．3證據(jù)確認(rèn)…………………………………………………………………164
9．3證據(jù)處理程序概述…………………………………………………………………165
9．3．1證據(jù)系統(tǒng)描述……………………………………………………………165
9．3．2數(shù)碼照片…………………………………………………………………167
9．3．3證據(jù)標(biāo)簽…………………………………………………………………167
9．3．4證據(jù)標(biāo)記…………………………………………………………………169
9．3．5證據(jù)存儲…………………………………………………………………169
9．3．6 i,JE據(jù)日志…………………………………………………………………17 1
9．3．7 32作副本…………………………………………………………………172
9．3．8證據(jù)備份…………………………………………………………………172
9．3．9證據(jù)處置…………………………………………………………………173
9．3．10 i~據(jù)管理員審核…………………………………………………………173
9．4小結(jié)……………………………………………………………………………………………………………174
9．5 I司題…………………………………………………………………………………174
第3部分?jǐn)?shù)據(jù)分析
第1 0章計(jì)算機(jī)系統(tǒng)存儲基礎(chǔ)……………………………………………………………175
10．1硬盤與接口………………………………………………………………………175
10．1．1快速發(fā)展的ATA標(biāo)準(zhǔn)……………………………………………………176
10．1．2 SCSI……………………………………………………………………………179
10．2準(zhǔn)備硬盤…………………………………………………………………………182
10．2．1擦除存儲介質(zhì)……………………………………………………………182
10．2．2磁盤的分區(qū)和格式化……………………………………………………183
10．3文件系統(tǒng)和存儲層介紹…………………………………………………………186
10．3．1物理層……………………………………………………………………187
10．3．2數(shù)據(jù)分類層………………………………………………………………1 87
10．3．3分配單元層………………………………………………………………1 88
10．3．4存儲空間管理層…………………………………………………………189
10．3．5信息分類層和應(yīng)用級存儲層……………………………………………190
10．4 小結(jié)…………………………………………………………………………………………………………190
10．5 問題………………………………………………………………………………191
第1 1章數(shù)據(jù)分析技術(shù)………………………………………………………………………192
11．1 司法鑒定分析的準(zhǔn)備工作………………………………………………………192
1 1．2恢復(fù)司法鑒定復(fù)件………………………………………………………………193
11．2．1恢復(fù)硬盤的司法鑒定復(fù)件………………………………………………193
11．2．2恢復(fù)硬盤的合格司法鑒定復(fù)件…………………………………………195
11．3在Linux下準(zhǔn)備分析用的司法鑒定復(fù)件…………………………………………199
11．3．1檢查司法鑒定復(fù)件文件…………………………………………………201
11．3．2聯(lián)系司法鑒定復(fù)件文件與Linux環(huán)回設(shè)備……………………………202
1 1．4用司法鑒定套件檢查映像文件…………………………………………………204
11．4．1在EnCase中檢查司法鑒定復(fù)件………………………………………204
11．4．2在Forensic Toolkit中檢查司法鑒定復(fù)件………………………………205
11．5將合格的司法鑒定復(fù)件轉(zhuǎn)換成司法鑒定復(fù)件…………………………………207
11．6在Windows系統(tǒng)中恢復(fù)被刪除的文件…………………………………………209
11．6．1使用基于Windows系統(tǒng)的工具來恢復(fù)FAT文件系統(tǒng)中的文件………209
11．6．2使用Linux 32具來恢復(fù)FAT文件系統(tǒng)中的文件………………………209
11．6．3使用文件恢復(fù)的圖形用戶界面：Autopsy………………………………213
11．6．4使用Foremost恢復(fù)丟失的文件…………………………………………216
11．6．5在Unix系統(tǒng)中恢復(fù)被刪除的文件………………………………………218
11．7恢復(fù)未分配空間、自由空間和松弛空間………………………………………223
11．8生成文件列表……………………………………………………………………225
11．8．1列出文件的元數(shù)據(jù)………………………………………………………225
1 1．8．2識別已知系統(tǒng)文件………………………………………………………228
11．9準(zhǔn)備用于查找字符串的驅(qū)動器…………………………………………………228
11．10小結(jié)……………………………………………………………………………233
11．1l 問題………………………………………………………………………………233
第1 2章調(diào)查Windows系統(tǒng)………………………………………………………………235
12．1 Windows系統(tǒng)中的證據(jù)存放位置………………………………………………235
12．2調(diào)查Windows……………………………………………………………………236
12．2．1檢查所有相關(guān)日志………………………………………………………236
12．2．2進(jìn)行關(guān)鍵字搜索…………………………………………………………243
12．2．3檢查相關(guān)文件……………………………………………………………244
12．2．4識別未授權(quán)的用戶賬戶或用戶組………………………………………258
12．2．6識別惡意進(jìn)程……………………………………………………………259
12．2．7查找異�；螂[藏的文件…………………………………………………260
12．2．8檢查未授權(quán)的訪問點(diǎn)……………………………………………………261
12．2．9檢查由計(jì)劃程序服務(wù)所運(yùn)行的任務(wù)……………………………………264
12．2．10分析信任關(guān)系…………………………………………………………265
12．2．1 1檢查安全標(biāo)識符………………………………………………………266
12．3文件審核和信息竊取……………………………………………………………266
12．4對離職雇員的處理………………………………………………………………268
12．4．1檢查搜索內(nèi)容和使用過的文件…………………………………………268
12．4．2在硬盤上進(jìn)行字符串搜索………………………………………………269
12．5小結(jié)…………………………………………………………………………………………………………269
12．6問題………………………………………………………………………………269
第1 3章調(diào)查Unix系統(tǒng)……………………………………………………………………270
13．1 Unix調(diào)查步驟概述………………………………………………………………270
13．2審查相關(guān)日志……………………………………………………………………271
13．2．1 網(wǎng)絡(luò)日志…………………………………………………………………271
13．2．2主機(jī)日志記錄……………………………………………………………274
13．2．3用戶操作日志……………………………………………………………275
13．3搜索關(guān)鍵字………………………………………………………………………276
13．3．1使用grep進(jìn)行字符串搜索………………………………………………277
13．3．2使用find命令進(jìn)行文件搜索……………………………………………278
13．4審查相關(guān)文件……………………………………………………………………278
13．4．1事件時(shí)間和時(shí)間／日期戳…………………………………………………279
13．4．2特殊文件…………………………………………………………………280
13．5識別未經(jīng)授權(quán)的用戶賬戶或用戶組……………………………………………284
13．5．1用戶賬戶調(diào)查……………………………………………………………284
13．5．2組賬戶調(diào)查………………………………………………………………284
13．6識別惡意進(jìn)程……………………………………………………………………285
1 3．7檢查未經(jīng)授權(quán)的訪問點(diǎn)…………………………………………………………286
13．8分析信任關(guān)系……………………………………………………………………286
13．9檢測可加載木馬程序的內(nèi)核模塊………………………………………………287
13．9．1現(xiàn)場系統(tǒng)上的LKM……………………………………………………287
13．9．2 LKM元素………………………………………………………………288
13．9．3 LKM檢測工具…………………………………………………………289
13．10小結(jié)…………………………………………………………………………………………………………292
13．1 1 問題………………………………………………………………………………292
第1 4章 網(wǎng)絡(luò)通信分析……………………………………………………………………293
14．1 尋找基于網(wǎng)絡(luò)的證據(jù)……………………………………………………………293
14．1．1 網(wǎng)絡(luò)通信分析工具………………………………………………………293
14．1．2檢查用tcpdump收集的網(wǎng)絡(luò)通信………………………………………294
14．2用tcptrace生成會話數(shù)據(jù)…………………………………………………………295
14．2．1分析捕獲文件……………………………………………………………295
14．2．2解釋tcptrace輸出………………………………………………………297
14．2．3用Snort提取事件數(shù)據(jù)…………………………………………………298
14．2．4檢查SYN數(shù)據(jù)包………………………………………………………298
14．2．5解釋Snort輸出…………………………………………………………302
14．3用tcpflow重組會話………………………………………………………………302
14．3．1 FTP會話………………………………………………………………………………………．303
14．3．2解釋tcpflow輸出………………………………………………………303
14．3．3查看SSH會話……………………………………………………………307
14．4用Ethereal重組會話……………………………………………………………309
14．5改進(jìn)tcpdump過濾器……………………………………………………………311
14．6小結(jié)…………………………………………………………………………………………………………3 12
14．7 問題………………………………………………………………………………3 1 2
第1 5章黑客工具研究……………………………………………………………………3 17
15．1 I具分析的目的…………………………………………………………………317
15．2文件編譯方式……………………………………………………………………3 17
15．2．1靜態(tài)鏈接的程序…………………………………………………………318
15．2．2動態(tài)鏈接的程序…………………………………………………………318
15．2．3用調(diào)試選項(xiàng)編譯程序……………………………………………………3 19
15．2．4精簡化的程序……………………………………………………………320
15．2．5用UPX壓縮的程序……………………………………………………320
15．2．6編譯技術(shù)和文件分析……………………………………………………322
15．3黑客工具的靜態(tài)分析……………………………………………………………324
15．3．1確定文件類型……………………………………………………………325
15．3．2檢查ASCII和Unicode字符串…………………………………………326
15．3．3在線研究…………………………………………………………………328
15．3．4檢查源代碼………………………………………………………………329
15．4黑客工具的動態(tài)分析……………………………………………………………329
15．4．1創(chuàng)建沙箱環(huán)境……………………………………………………………329
15．4．2 Unix系統(tǒng)上的動態(tài)分析…………………………………………………331
15．4．3 Windows系統(tǒng)下的動態(tài)分析……………………………………………339
15．5小結(jié)…………………………………………………………………………………………………………343
15．6 問題………………………………………………………………343
第1 6章研究路由器………………………………………………………………………344
16．1 在關(guān)機(jī)之前獲得易失性數(shù)據(jù)……………………………………………………344
16．1．1建立路由器連接…………………………………………………………345
16．1．2 i~錄系統(tǒng)時(shí)問……………………………………………………………345
16．1．3判斷登錄到路由器的人…………………………………………………345
16．1．4確定路由器的正常運(yùn)行時(shí)間……………………………………………346
16．1．5判斷偵聽套接字…………………………………………………………347
16．1．6保存路由器的配置………………………………………………………348
16．1．7查看路由表………………………………………………………………349
16．1．8檢查接口配置……………………………………………………………350
16．1．9查看ARP緩存…………………………………………………………350
16．2尋找證據(jù)…………………………………………………………………………351
16．2．1處理直接威脅事件………………………………………………………35 1
16．2．2處理路由表操縱事件……………………………………………………353
16．2．3處理信息失竊事件………………………………………………………353
16．2．4處理拒絕服務(wù)攻擊………………………………………………………354
16．3用路由器作為響應(yīng)工具…………………………………………………………355
16．3．1 tN解訪問控制列表………………………………………………………355
16．3．2用路由器進(jìn)行監(jiān)測………………………………………………………357
16．3．3 D向應(yīng)DDoS攻擊…………………………………………………………358
16．4小結(jié)…………………………………………………………………………………………………………359
16．5問題………………………………………………………………………………359
第1 7章撰寫計(jì)算機(jī)司法鑒定報(bào)告…………………………………………………………360
17．1什么是計(jì)算機(jī)司法鑒定報(bào)告……………………………………………………360
17．1．1什么是鑒定報(bào)告…………………………………………………………360
17．1．2報(bào)告的目標(biāo)………………………………………………………………361
17．2撰寫報(bào)告的指導(dǎo)方針……………………………………………………………362
17．2．1迅速并清楚地記錄調(diào)查步驟……………………………………………363
17．2．2了解分析目的……………………………………………………………363
17．2．3組織報(bào)告…………………………………………………………………364
17．2．4使用模板…………………………………………………………………364
17．2．5使用一致的標(biāo)識符………………………………………………………365
17．2．6使用附件和附錄…………………………………………………………365
17．2．7讓同事閱讀報(bào)告…………………………………………………………365
17．2．8使用MD5哈希…………………………………………………………366
17．2．9包括元數(shù)據(jù)………………………………………………………………366
17．3計(jì)算機(jī)司法鑒定報(bào)告模板………………………………………………………367
17．3．1 執(zhí)行摘要…………………………………………………………………368
17．3．2 目標(biāo)………………………………………………………………………368
17．3．3經(jīng)過分析的計(jì)算機(jī)證據(jù)…………………………………………………369
17．3．4相關(guān)調(diào)查結(jié)果……………………………………………………………370
17．3．5支持性細(xì)節(jié)………………………………………………………………370
17．3．6調(diào)查線索…………………………………………………………………372
17．3．7附加的報(bào)告部分…………………………………………………………373
17．4小結(jié)…………………………………………………………………………………………………………374
17．5 問題…………………………………………………………………………………………………………374
第4部分附 錄
附錄A問題解答……………………………………………………………………………375
附錄B應(yīng)急響應(yīng)表格………………………………………………………………………393
總計(jì)400頁