應急響應：計算機犯罪調查

致謝                  
 前言                  
 簡介                  
 第1部分　初步了解                  
 第1章  內部情況與外部倩況：一次案例研究                  
 1. 1  阻止攻擊                  
 1. 2  內部的真實情況                  
 1. 3  結束語                  
 第2章  應急響應介紹                  
 2. 1  應急響應的目標                  
 2. 2  應急響應方法論                  
 2. 3  事先準備                  
 2. 4  突發(fā)事件檢測                  
 2. 5  初始響應                  
 2. 6  響應戰(zhàn)略規(guī)劃                  
 2. 6. 1  確定響應戰(zhàn)略                  
 2. 6. 2  將響應戰(zhàn)略的選擇提交管理部門                  
 2. 7  司法鑒定副本                  
 2. 8  調查                  
 2. 9  安全措施實現(xiàn)                  
 2. 10  網絡監(jiān)視                  
 2. 10. 1  確定監(jiān)視的位置和方式                  
 2. 10. 2  確定監(jiān)視內容                  
 2. 11  恢復                  
 2. 11. 1  考慮受危及的內容                  
 2. 11. 2  選擇恢復戰(zhàn)略                  
 2. 12  報告                  
 2. 13  結束語                  
 第3章  為應急響應做準備                  
 3. 1  確定重要的資產                  
 3. 2  準備獨立主機                  
 3. 2. 1  記錄重要文件的加密校驗和                  
 3. 2. 2  增加或啟用安全審核記錄                  
 3. 2. 3  建立主機的防御能力                  
 3. 2. 4  備份關鍵數(shù)據(jù)                  
 3. 2. 5  對用戶進行主機安全方面的培訓                  
 3. 3  網絡的準備工作                  
 3. 3. 1  安裝防火墻和入侵偵測系統(tǒng)                  
 3. 3. 2  在路由器上使用訪問控制列表                  
 3. 3. 3  創(chuàng)建有助于監(jiān)視的網絡拓撲結構                  
 3. 3. 4  對網絡流量進行加密                  
 3. 3. 5  要求認證                  
 3. 4  確立適當?shù)牟呗院统绦?nbsp;                 
 3. 4. 1  確定響應立場                  
 3. 4. 2  理解策略幫助調查步驟的方式                  
 3. 4. 3  制定可接受的使用策略(AUP)                  
 3. 4. 4  設計AUP                  
 3. 4. 5  制定應急響應程序                  
 3. 5  創(chuàng)建響應工具包                  
 3. 5. 1  響應硬件                  
 3. 5. 2  響應軟件                  
 3. 5. 3  網絡監(jiān)視平臺                  
 3. 6  組建應急響應隊伍                  
 3. 6. 1  確定應急響應隊伍的任務                  
 3. 6. 2  應急響應隊伍的組建                  
 3. 6. 3  應急響應培訓與專業(yè)機構                  
 3. 7  結束語                  
                   
 第2部分　全力出擊                  
 第4章  調查指導方針                  
 4. 1  進行初步評估                  
 4. 2  突發(fā)事件通知清單                  
 4. 2. 1  檢查網絡拓撲結構                  
 4. 2. 2  檢驗策略                  
 4. 3  調查突發(fā)事件                  
 4. 3. 1  會見人員                  
 4. 3. 2  采取實際行動                  
 4. 4  制定響應策略                  
 4. 4. 1  確定適當?shù)捻憫愋?nbsp;                 
 4. 4. 2  確定攻擊類型                  
 4. 4. 3  對受害系統(tǒng)進行分類                  
 4. 4. 4  考慮其他影響                  
 4. 4. 5  獲得管理部門的批準                  
 4. 5  結束語                  
 第5章  計算機司法鑒定過程                  
 5. 1  學習管理證據(jù)                  
 5. 1. 1  證據(jù)管理中的常見錯誤                  
 5. 1. 2  最佳證據(jù)標準                  
 5. 1. 3  保管鏈                  
 5. 2  執(zhí)行初始響應                  
 5. 2. 1  易失的數(shù)據(jù)                  
 5. 2. 2  現(xiàn)場系統(tǒng)檢查                  
 5. 3  執(zhí)行司法鑒定復制                  
 5. 3. 1  執(zhí)行司法鑒定復制的方法                  
 5. 3. 2  檢查低層系統(tǒng)配置                  
 5. 3. 3  執(zhí)行司法鑒定復制的工具                  
 5. 4  使用Safeback                  
 5. 4. 1  創(chuàng)建DOS啟動盤                  
 5. 4. 2  使用Safeback創(chuàng)建司法鑒定副本                  
 5. 5  使用UNIX實用程序執(zhí)行司法鑒定復制                  
 5. 5. 1  創(chuàng)建UNIX啟動盤                  
 5. 5. 2  使用dd創(chuàng)建司法鑒定映像                  
 5. 6  使用EnCase                  
 5. 6. 1  使用EnCase創(chuàng)建證據(jù)文件                  
 5. 6. 2  使用EnCase預覽證據(jù)驅動器                  
 5. 7  執(zhí)行司法鑒定分析                  
 5. 7. 1  進行物理分析                  
 5. 7. 2  邏輯分析                  
 5. 7. 3  了解證據(jù)所在位置                  
 5. 8  結束語                  
 第6章  學習網絡協(xié)議并執(zhí)行俘獲和追蹤                  
 6. 1  理解TCP／IP                  
 6. 2  封裝                  
 6. 2. 1  IP報頭                  
 6. 2. 2  TCP報頭                  
 6. 2. 3  UDP報頭                  
 6. 3  使用嗅探器                  
 6. 4  執(zhí)行俘獲和追蹤                  
 6. 5  結束語