应急响应 & 计算机司法鉴定

第1部分 简 介
第1章 现实生活中的突发事件
1.1 影响响应的因素
1.2 跨国犯罪
1.2.1 欢迎来到Invita
1.2.2 PathStar阴谋
1.3 传统的黑客行为
1.4 小结
第2章 应急响应过程简介
2.1 计算机安全事件的意义
2.2 应急响应的目标
2.3 应急响应小组参与人员
2.4 应急响应方法
2.4.1 事前准备
2.4.2 发现事件
2.4.3 初始响应
2.4.4 制定响应策略
2.4.5 调查事件
2.4.6 报告
2.4.7 解决方案
2.5 小结
2.6 问题
第3章 为应急响应做准备
3.1 突发事件预防准备概述
3.2 识别风险
3.3 单个主机的准备工作
3.3.1 记录关键文件的加密校验和
3.3.2 增加或者启用安全审核日志记录
3.3.3 增强主机防御
3.3.4 备份关键数据
3.3.5 对用户进行基于主机的安全教育
3.4 准备网络
3.4.1 安装防火墙和入侵侦测系统
3.4.2 在路由器上使用访问控制列表
3.4.3 创建有助于监视的网络拓扑结构
3.4.4 加密网络流量
3.4.5 要求身份验证
3.5 制订恰当的策略和规程
3.5.1 决定响应立场
3.5.2 理解策略如何辅助调查措施
3.5.3 制定可接受的使用策略
3.5.4 设计AUP
3.5.5 制定应急响应规程
3.6 创建响应工具包
3.6.1 响应硬件
3.6.2 响应软件
3.6.3 网络监视平台
3.6.4 文档
3.7 建立应急响应小组
3.7.1 决定小组的任务
3.7.2 对小组进行培训
3.8 小结
3.9 问题
第4章 应急响应
4.1 初始响应阶段概述
4.1.1 获取初步资料
4.1.2 应对措施备案
4.2 建立突发事件通知程序
4.3 记录事发详情
4.3.1 初始响应检查表
4.3.2 案例记录
4.4 突发事件声明
4.5 组建CSIRT
4.5.1 突发事件升级处理
4.5.2 执行突发事件通知
4.5.3 审视突发事件并配备合适的资源
4.6 执行例行调查步骤
4.7 约见
4.7.1 获得联系信息
4.7.2 约见系统管理员
4.7.3 约见管理人员
4.7.4 约见终端用户
4.8 制定响应策略
4.8.1 应对策略注意事项
4.8.2 策略验证
4.9 小结
4.10 问题
第2部分 数据收集
第5章 Windows系统下的现场数据收集
5.1 创建响应工具箱
5.1.1 常用响应工具
5.1.2 准备工具箱
5.2 保存初始响应信息
5.2.1 应用netcat传输数据
5.2.2 使用cryptcat加密数据
5.3 获取易失性数据
5.3.1 组织并备案调查过程
5.3.2 收集易失性数据
5.3.3 编写初始响应脚本
5.4 进行深入的现场响应
5.4.1 收集最易失的数据
5.4.2 创建深入的调查工具箱
5.4.3 收集现场响应数据
5.5 制作司法鉴定复件的必要性
5.6 小结
5.7 问题
第6章 Unix系统下的现场数据收集
6.1 创建响应工具包
6.2 保存初始响应信息
6.3 在进行司法鉴定复制之前获得易失性数据
6.3.1 收集数据
6.3.2 编写初始响应脚本
6.4 进行深入的现场响应
6.4.1 侦测可装载内核模块rootkit
6.4.2 获得现场系统曰志
6.4.3 获得重要的配置文件
6.4.4 查找系统中的非法嗅探器
6.4.5 查看/proc文件系统
6.4.6 转储系统内存
6.5 小结
6.6 问题
第7章 司法鉴定复件
7.1 可作为呈堂作证的司法鉴定复件
7.1.1 司法鉴定复件
7.1.2 合格的司法鉴定复件
7.1.3 被恢复的映像
7.1.4 镜像
7.2 司法鉴定复制工具的要求
7.3 制作硬盘的司法鉴定复件
7.3.1 用dd和dcfldd复制
7.3.2 用开放数据复制工具进行复制
7.4 制作合格的司法鉴定硬盘复件
7.4.1 制作引导盘
7.4.2 用SafeBack制作合格的司法鉴定复件
7.4.3 用EnCase制作合格的司法鉴定复件
7.5 小结
7.6 问题
第8章 收集网络证据
8.1 网络证据
8.2 网络监视的目的
8.3 网络监视的类型
8.3.1 事件监视
8.3.2 陷阱跟踪监视
8.3.3 全内容监视
8.4 安装网络监视系统
8.4.1 确定监视的目标
8.4.2 选择合适的硬件
8.4.3 选择合适的软件
8.4.4 部署网络监视器
8.4.5 评价网络监视器
8.5 执行陷阱跟踪
8.5.1 用tcpdump进行陷阱跟踪
8.5.2 用WinDump进行陷阱跟踪
8.5.3 创建陷阱跟踪输出文件
8.6 用tcpdump进行全内容监视
8.6.1 过滤全内容数据
8.6.2 保存全内容数据文件
8.7 收集网络日志文件
8.8 小结
8.9 问题
第9章 证据处理
9.1 证据
9.1.1 最优证据规则
9.1.2 原始证据
9.2 证据处理
9.2.1 证据鉴定
9.2.2 保管链
9.2.3 证据确认
9.3 证据处理程序概述
9.3.1 证据系统描述
9.3.2 数码照片
9.3.3 证据标签
9.3.4 证据标记
9.3.5 证据存储
9.3.6 证据日志
9.3.7 工作副本
9.3.8 证据备份
9.3.9 证据处置
9.3.10 证据管理员审核
9.4 小结
9.5 问题
第3部分 数据分析
第10章 计算机系统存储基础
10.1 硬盘与接口
10.1.1 快速发展的ATA标准
10.1.2 SCSI
10.2 准备硬盘
10.2.1 擦除存储介质
10.2.2 磁盘的分区和格式化
10.3 文件系统和存储层介绍
10.3.1 物理层
10.3.2 数据分类层
10.3.3 分配单元层
10.3.4 存储空间管理层
10.3.5 信息分类层和应用级存储层
10.4 小结
10.5 问题
第11章 数据分析技术
11.1 司法鉴定分析的准备工作
11.2 恢复司法鉴定复件
11.2.1 恢复硬盘的司法鉴定复件
11.2.2 恢复硬盘的合格司法鉴定复件
11.3 在Linux下准备分析用的司法鉴定复件
11.3.1 检查司法鉴定复件文件
11.3.2 联系司法鉴定复件文件与Linux环回设备
11.4 用司法鉴定套件检查映像文件
11.4.1 在EnCase中检查司法鉴定复件
11.4.2 在Forensic Toolkit中检查司法鉴定复件
11.5 将合格的司法鉴定复件转换成司法鉴定复件
11.6 在Windows系统中恢复被删除的文件
11.6.1 使用基于Windows系统的工具来恢复FAT文件系统中的文件
11.6.2 使用Linux工具来恢复FAT文件系统中的文件
11.6.3 使用文件恢复的图形用户界面：Autopsy
11.6.4 使用Foremost恢复丢失的文件
11.6.5 在Unix系统中恢复被删除的文件
11.7 恢复未分配空间、自由空间和松弛空间
11.8 生成文件列表
11.8.10 出文件的元数据
11.8.2 识别已知系统文件
11.9 准备用于查找字符串的驱动器
11.10 小结
11.11 问题
第12章 调查Windows系统
12.1 Windows系统中的证据存放位置
12.2 调查Windows
12.2.1 检查所有相关日志
12.2.2 进行关键字搜索
12.2.3 检查相关文件
12.2.4 识别未授权的用户账户或用户组
12.2.6 识别恶意进程
12.2.7 查找异常或隐藏的文件
12.2.8 检查未授权的访问点
12.2.9 检查由计划程序服务所运行的任务
12.2.10 分析信任关系
12.2.11 检查安全标识符
12.3 文件审核和信息窃取
12.4 对离职雇员的处理
12.4.1 检查搜索内容和使用过的文件
12.4.2 在硬盘上进行字符串搜索
12.5 小结
12.6 问题
第13章 调查Unix系统
13.1 Unix调查步骤概述
13.2 审查相关日志
13.2.1 网络日志
13.2.2 主机日志记录
13.2.3 用户操作目志
13.3 搜索关键字
13.3.1 使用grep进行字符串搜索
13.3.2 使用find命令进行文件搜索
13.4 审查相关文件
13.4.1 事件时间和时间/日期戳
13.4.2 特殊文件
13.5 识别未经授权的用户账户或用户组
13.5.1 用户账户调查
13.5.2 组账户调查
13.6 识别恶意进程
13.7 检查未经授权的访问点
13.8 分析信任关系
13.9 检测可加载木马程序的内核模块
13.9.1 现场系统上的LKM
13.9.2 LKM元素
13.9.3 LKM检测工具
13.10 小结
13.11 问题
第14章 网络通信分析
14.1 寻找基于网络的证据
14.1.1 网络通信分析工具
14.1.2 检查用tcpdump收集的网络通信
14.2 用tcptrace生成会话数据
14.2.1 分析捕获文件
14.2.2 解释tcptrace输出
14.2.3 用Snort提取事件数据
14.2.4 检查SYN数据包
14.2.5 解释Snort输出
14.3 用tcpflow重组会话
14.3.1 FTP会话
14.3.2 解释tcpflow输出
14.3.3 查看SSH会话
14.4 用Ethereal重组会话
14.5 改进tcpdump过滤器
14.6 小结
14.7 问题
第15章 黑客工具研究
15.1 工具分析的目的
15.2 文件编译方式
15.2.1 静态链接的程序
15.2.2 动态链接的程序
15.2.3 用调试选项编译程序
15.2.4 精简化的程序
15.2.5 用UPX压缩的程序
15.2.6 编译技术和文件分析
15.3 黑客工具的静态分析
15.3.1 确定文件类型
15.3.2 检查ASCII和Unicode字符串
15.3.3 在线研究
15.3.4 检查源代码
15.4 黑客工具的动态分析
15.4.1 创建沙箱环境
15.4.2 Unix系统上的动态分析
15.4.3 Windows系统下的动态分析
15.5 小结
15.6 问题
第16章 研究路由器
16.1 在关机之前获得易失性数据
16.1.1 建立路由器连接
16.1.2 记录系统时间
16.1.3 判断登录到路由器的人
16.1.4 确定路由器的正常运行时间
16.1.5 判断侦听套接字
16.1.6 保存路由器的配置
16.1.7 查看路由表
16.1.8 检查接口配置
16.1.9 查看ARP缓存
16.2 寻找证据
16.2.1 处理直接威胁事件
16.2.2 处理路由表操纵事件
16.2.3 处理信息失窃事件
16.2.4 处理拒绝服务攻击
16.3 用路由器作为响应工具
16.3.1 理解访问控制列表
16.3.2 用路由器进行监测
16.3.3 响应DDoS攻击
16.4 小结
16.5 问题
第17章 撰写计算机司法鉴定报告
17.1 什么是计算机司法鉴定报告
17.1.1 什么是鉴定报告
17.1.2 报告的目标
17.2 撰写报告的指导方针
17.2.1 迅速并清楚地记录调查步骤
17.2.2 了解分析目的
17.2.3 组织报告
17.2.4 使用模板
17.2.5 使用一致的标识符
17.2.6 使用附件和附录
17.2.7 让同事阅读报告
17.2.8 使用MD5哈希
17.2.9 包括元数据
17.3 计算机司法鉴定报告模板
17.3.1 执行摘要
17.3.2 目标
17.3.3 经过分析的计算机证据
17.3.4 相关调查结果
17.3.5 支持性细节
17.3.6 调查线索
17.3.7 附加的报告部分
17.4 小结
17.5 问题
第4部分 附录
附录A 问题解答
附录B 应急响应表格