應急響應 & 計算機司法鑒定

第1部分 簡 介
第1章 現(xiàn)實生活中的突發(fā)事件
1.1 影響響應的因素
1.2 跨國犯罪
1.2.1 歡迎來到Invita
1.2.2 PathStar陰謀
1.3 傳統(tǒng)的黑客行為
1.4 小結
第2章 應急響應過程簡介
2.1 計算機安全事件的意義
2.2 應急響應的目標
2.3 應急響應小組參與人員
2.4 應急響應方法
2.4.1 事前準備
2.4.2 發(fā)現(xiàn)事件
2.4.3 初始響應
2.4.4 制定響應策略
2.4.5 調(diào)查事件
2.4.6 報告
2.4.7 解決方案
2.5 小結
2.6 問題
第3章 為應急響應做準備
3.1 突發(fā)事件預防準備概述
3.2 識別風險
3.3 單個主機的準備工作
3.3.1 記錄關鍵文件的加密校驗和
3.3.2 增加或者啟用安全審核日志記錄
3.3.3 增強主機防御
3.3.4 備份關鍵數(shù)據(jù)
3.3.5 對用戶進行基于主機的安全教育
3.4 準備網(wǎng)絡
3.4.1 安裝防火墻和入侵偵測系統(tǒng)
3.4.2 在路由器上使用訪問控制列表
3.4.3 創(chuàng)建有助于監(jiān)視的網(wǎng)絡拓撲結構
3.4.4 加密網(wǎng)絡流量
3.4.5 要求身份驗證
3.5 制訂恰當?shù)牟呗院鸵?guī)程
3.5.1 決定響應立場
3.5.2 理解策略如何輔助調(diào)查措施
3.5.3 制定可接受的使用策略
3.5.4 設計AUP
3.5.5 制定應急響應規(guī)程
3.6 創(chuàng)建響應工具包
3.6.1 響應硬件
3.6.2 響應軟件
3.6.3 網(wǎng)絡監(jiān)視平臺
3.6.4 文檔
3.7 建立應急響應小組
3.7.1 決定小組的任務
3.7.2 對小組進行培訓
3.8 小結
3.9 問題
第4章 應急響應
4.1 初始響應階段概述
4.1.1 獲取初步資料
4.1.2 應對措施備案
4.2 建立突發(fā)事件通知程序
4.3 記錄事發(fā)詳情
4.3.1 初始響應檢查表
4.3.2 案例記錄
4.4 突發(fā)事件聲明
4.5 組建CSIRT
4.5.1 突發(fā)事件升級處理
4.5.2 執(zhí)行突發(fā)事件通知
4.5.3 審視突發(fā)事件并配備合適的資源
4.6 執(zhí)行例行調(diào)查步驟
4.7 約見
4.7.1 獲得聯(lián)系信息
4.7.2 約見系統(tǒng)管理員
4.7.3 約見管理人員
4.7.4 約見終端用戶
4.8 制定響應策略
4.8.1 應對策略注意事項
4.8.2 策略驗證
4.9 小結
4.10 問題
第2部分 數(shù)據(jù)收集
第5章 Windows系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集
5.1 創(chuàng)建響應工具箱
5.1.1 常用響應工具
5.1.2 準備工具箱
5.2 保存初始響應信息
5.2.1 應用netcat傳輸數(shù)據(jù)
5.2.2 使用cryptcat加密數(shù)據(jù)
5.3 獲取易失性數(shù)據(jù)
5.3.1 組織并備案調(diào)查過程
5.3.2 收集易失性數(shù)據(jù)
5.3.3 編寫初始響應腳本
5.4 進行深入的現(xiàn)場響應
5.4.1 收集最易失的數(shù)據(jù)
5.4.2 創(chuàng)建深入的調(diào)查工具箱
5.4.3 收集現(xiàn)場響應數(shù)據(jù)
5.5 制作司法鑒定復件的必要性
5.6 小結
5.7 問題
第6章 Unix系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集
6.1 創(chuàng)建響應工具包
6.2 保存初始響應信息
6.3 在進行司法鑒定復制之前獲得易失性數(shù)據(jù)
6.3.1 收集數(shù)據(jù)
6.3.2 編寫初始響應腳本
6.4 進行深入的現(xiàn)場響應
6.4.1 偵測可裝載內(nèi)核模塊rootkit
6.4.2 獲得現(xiàn)場系統(tǒng)曰志
6.4.3 獲得重要的配置文件
6.4.4 查找系統(tǒng)中的非法嗅探器
6.4.5 查看/proc文件系統(tǒng)
6.4.6 轉(zhuǎn)儲系統(tǒng)內(nèi)存
6.5 小結
6.6 問題
第7章 司法鑒定復件
7.1 可作為呈堂作證的司法鑒定復件
7.1.1 司法鑒定復件
7.1.2 合格的司法鑒定復件
7.1.3 被恢復的映像
7.1.4 鏡像
7.2 司法鑒定復制工具的要求
7.3 制作硬盤的司法鑒定復件
7.3.1 用dd和dcfldd復制
7.3.2 用開放數(shù)據(jù)復制工具進行復制
7.4 制作合格的司法鑒定硬盤復件
7.4.1 制作引導盤
7.4.2 用SafeBack制作合格的司法鑒定復件
7.4.3 用EnCase制作合格的司法鑒定復件
7.5 小結
7.6 問題
第8章 收集網(wǎng)絡證據(jù)
8.1 網(wǎng)絡證據(jù)
8.2 網(wǎng)絡監(jiān)視的目的
8.3 網(wǎng)絡監(jiān)視的類型
8.3.1 事件監(jiān)視
8.3.2 陷阱跟蹤監(jiān)視
8.3.3 全內(nèi)容監(jiān)視
8.4 安裝網(wǎng)絡監(jiān)視系統(tǒng)
8.4.1 確定監(jiān)視的目標
8.4.2 選擇合適的硬件
8.4.3 選擇合適的軟件
8.4.4 部署網(wǎng)絡監(jiān)視器
8.4.5 評價網(wǎng)絡監(jiān)視器
8.5 執(zhí)行陷阱跟蹤
8.5.1 用tcpdump進行陷阱跟蹤
8.5.2 用WinDump進行陷阱跟蹤
8.5.3 創(chuàng)建陷阱跟蹤輸出文件
8.6 用tcpdump進行全內(nèi)容監(jiān)視
8.6.1 過濾全內(nèi)容數(shù)據(jù)
8.6.2 保存全內(nèi)容數(shù)據(jù)文件
8.7 收集網(wǎng)絡日志文件
8.8 小結
8.9 問題
第9章 證據(jù)處理
9.1 證據(jù)
9.1.1 最優(yōu)證據(jù)規(guī)則
9.1.2 原始證據(jù)
9.2 證據(jù)處理
9.2.1 證據(jù)鑒定
9.2.2 保管鏈
9.2.3 證據(jù)確認
9.3 證據(jù)處理程序概述
9.3.1 證據(jù)系統(tǒng)描述
9.3.2 數(shù)碼照片
9.3.3 證據(jù)標簽
9.3.4 證據(jù)標記
9.3.5 證據(jù)存儲
9.3.6 證據(jù)日志
9.3.7 工作副本
9.3.8 證據(jù)備份
9.3.9 證據(jù)處置
9.3.10 證據(jù)管理員審核
9.4 小結
9.5 問題
第3部分 數(shù)據(jù)分析
第10章 計算機系統(tǒng)存儲基礎
10.1 硬盤與接口
10.1.1 快速發(fā)展的ATA標準
10.1.2 SCSI
10.2 準備硬盤
10.2.1 擦除存儲介質(zhì)
10.2.2 磁盤的分區(qū)和格式化
10.3 文件系統(tǒng)和存儲層介紹
10.3.1 物理層
10.3.2 數(shù)據(jù)分類層
10.3.3 分配單元層
10.3.4 存儲空間管理層
10.3.5 信息分類層和應用級存儲層
10.4 小結
10.5 問題
第11章 數(shù)據(jù)分析技術
11.1 司法鑒定分析的準備工作
11.2 恢復司法鑒定復件
11.2.1 恢復硬盤的司法鑒定復件
11.2.2 恢復硬盤的合格司法鑒定復件
11.3 在Linux下準備分析用的司法鑒定復件
11.3.1 檢查司法鑒定復件文件
11.3.2 聯(lián)系司法鑒定復件文件與Linux環(huán)回設備
11.4 用司法鑒定套件檢查映像文件
11.4.1 在EnCase中檢查司法鑒定復件
11.4.2 在Forensic Toolkit中檢查司法鑒定復件
11.5 將合格的司法鑒定復件轉(zhuǎn)換成司法鑒定復件
11.6 在Windows系統(tǒng)中恢復被刪除的文件
11.6.1 使用基于Windows系統(tǒng)的工具來恢復FAT文件系統(tǒng)中的文件
11.6.2 使用Linux工具來恢復FAT文件系統(tǒng)中的文件
11.6.3 使用文件恢復的圖形用戶界面：Autopsy
11.6.4 使用Foremost恢復丟失的文件
11.6.5 在Unix系統(tǒng)中恢復被刪除的文件
11.7 恢復未分配空間、自由空間和松弛空間
11.8 生成文件列表
11.8.10 出文件的元數(shù)據(jù)
11.8.2 識別已知系統(tǒng)文件
11.9 準備用于查找字符串的驅(qū)動器
11.10 小結
11.11 問題
第12章 調(diào)查Windows系統(tǒng)
12.1 Windows系統(tǒng)中的證據(jù)存放位置
12.2 調(diào)查Windows
12.2.1 檢查所有相關日志
12.2.2 進行關鍵字搜索
12.2.3 檢查相關文件
12.2.4 識別未授權的用戶賬戶或用戶組
12.2.6 識別惡意進程
12.2.7 查找異?；螂[藏的文件
12.2.8 檢查未授權的訪問點
12.2.9 檢查由計劃程序服務所運行的任務
12.2.10 分析信任關系
12.2.11 檢查安全標識符
12.3 文件審核和信息竊取
12.4 對離職雇員的處理
12.4.1 檢查搜索內(nèi)容和使用過的文件
12.4.2 在硬盤上進行字符串搜索
12.5 小結
12.6 問題
第13章 調(diào)查Unix系統(tǒng)
13.1 Unix調(diào)查步驟概述
13.2 審查相關日志
13.2.1 網(wǎng)絡日志
13.2.2 主機日志記錄
13.2.3 用戶操作目志
13.3 搜索關鍵字
13.3.1 使用grep進行字符串搜索
13.3.2 使用find命令進行文件搜索
13.4 審查相關文件
13.4.1 事件時間和時間/日期戳
13.4.2 特殊文件
13.5 識別未經(jīng)授權的用戶賬戶或用戶組
13.5.1 用戶賬戶調(diào)查
13.5.2 組賬戶調(diào)查
13.6 識別惡意進程
13.7 檢查未經(jīng)授權的訪問點
13.8 分析信任關系
13.9 檢測可加載木馬程序的內(nèi)核模塊
13.9.1 現(xiàn)場系統(tǒng)上的LKM
13.9.2 LKM元素
13.9.3 LKM檢測工具
13.10 小結
13.11 問題
第14章 網(wǎng)絡通信分析
14.1 尋找基于網(wǎng)絡的證據(jù)
14.1.1 網(wǎng)絡通信分析工具
14.1.2 檢查用tcpdump收集的網(wǎng)絡通信
14.2 用tcptrace生成會話數(shù)據(jù)
14.2.1 分析捕獲文件
14.2.2 解釋tcptrace輸出
14.2.3 用Snort提取事件數(shù)據(jù)
14.2.4 檢查SYN數(shù)據(jù)包
14.2.5 解釋Snort輸出
14.3 用tcpflow重組會話
14.3.1 FTP會話
14.3.2 解釋tcpflow輸出
14.3.3 查看SSH會話
14.4 用Ethereal重組會話
14.5 改進tcpdump過濾器
14.6 小結
14.7 問題
第15章 黑客工具研究
15.1 工具分析的目的
15.2 文件編譯方式
15.2.1 靜態(tài)鏈接的程序
15.2.2 動態(tài)鏈接的程序
15.2.3 用調(diào)試選項編譯程序
15.2.4 精簡化的程序
15.2.5 用UPX壓縮的程序
15.2.6 編譯技術和文件分析
15.3 黑客工具的靜態(tài)分析
15.3.1 確定文件類型
15.3.2 檢查ASCII和Unicode字符串
15.3.3 在線研究
15.3.4 檢查源代碼
15.4 黑客工具的動態(tài)分析
15.4.1 創(chuàng)建沙箱環(huán)境
15.4.2 Unix系統(tǒng)上的動態(tài)分析
15.4.3 Windows系統(tǒng)下的動態(tài)分析
15.5 小結
15.6 問題
第16章 研究路由器
16.1 在關機之前獲得易失性數(shù)據(jù)
16.1.1 建立路由器連接
16.1.2 記錄系統(tǒng)時間
16.1.3 判斷登錄到路由器的人
16.1.4 確定路由器的正常運行時間
16.1.5 判斷偵聽套接字
16.1.6 保存路由器的配置
16.1.7 查看路由表
16.1.8 檢查接口配置
16.1.9 查看ARP緩存
16.2 尋找證據(jù)
16.2.1 處理直接威脅事件
16.2.2 處理路由表操縱事件
16.2.3 處理信息失竊事件
16.2.4 處理拒絕服務攻擊
16.3 用路由器作為響應工具
16.3.1 理解訪問控制列表
16.3.2 用路由器進行監(jiān)測
16.3.3 響應DDoS攻擊
16.4 小結
16.5 問題
第17章 撰寫計算機司法鑒定報告
17.1 什么是計算機司法鑒定報告
17.1.1 什么是鑒定報告
17.1.2 報告的目標
17.2 撰寫報告的指導方針
17.2.1 迅速并清楚地記錄調(diào)查步驟
17.2.2 了解分析目的
17.2.3 組織報告
17.2.4 使用模板
17.2.5 使用一致的標識符
17.2.6 使用附件和附錄
17.2.7 讓同事閱讀報告
17.2.8 使用MD5哈希
17.2.9 包括元數(shù)據(jù)
17.3 計算機司法鑒定報告模板
17.3.1 執(zhí)行摘要
17.3.2 目標
17.3.3 經(jīng)過分析的計算機證據(jù)
17.3.4 相關調(diào)查結果
17.3.5 支持性細節(jié)
17.3.6 調(diào)查線索
17.3.7 附加的報告部分
17.4 小結
17.5 問題
第4部分 附錄
附錄A 問題解答
附錄B 應急響應表格