應(yīng)急響應(yīng) & 計算機(jī)司法鑒定

第1部分 簡 介
第1章 現(xiàn)實(shí)生活中的突發(fā)事件
1.1 影響響應(yīng)的因素
1.2 跨國犯罪
1.2.1 歡迎來到Invita
1.2.2 PathStar陰謀
1.3 傳統(tǒng)的黑客行為
1.4 小結(jié)
第2章 應(yīng)急響應(yīng)過程簡介
2.1 計算機(jī)安全事件的意義
2.2 應(yīng)急響應(yīng)的目標(biāo)
2.3 應(yīng)急響應(yīng)小組參與人員
2.4 應(yīng)急響應(yīng)方法
2.4.1 事前準(zhǔn)備
2.4.2 發(fā)現(xiàn)事件
2.4.3 初始響應(yīng)
2.4.4 制定響應(yīng)策略
2.4.5 調(diào)查事件
2.4.6 報告
2.4.7 解決方案
2.5 小結(jié)
2.6 問題
第3章 為應(yīng)急響應(yīng)做準(zhǔn)備
3.1 突發(fā)事件預(yù)防準(zhǔn)備概述
3.2 識別風(fēng)險
3.3 單個主機(jī)的準(zhǔn)備工作
3.3.1 記錄關(guān)鍵文件的加密校驗(yàn)和
3.3.2 增加或者啟用安全審核日志記錄
3.3.3 增強(qiáng)主機(jī)防御
3.3.4 備份關(guān)鍵數(shù)據(jù)
3.3.5 對用戶進(jìn)行基于主機(jī)的安全教育
3.4 準(zhǔn)備網(wǎng)絡(luò)
3.4.1 安裝防火墻和入侵偵測系統(tǒng)
3.4.2 在路由器上使用訪問控制列表
3.4.3 創(chuàng)建有助于監(jiān)視的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
3.4.4 加密網(wǎng)絡(luò)流量
3.4.5 要求身份驗(yàn)證
3.5 制訂恰當(dāng)?shù)牟呗院鸵?guī)程
3.5.1 決定響應(yīng)立場
3.5.2 理解策略如何輔助調(diào)查措施
3.5.3 制定可接受的使用策略
3.5.4 設(shè)計AUP
3.5.5 制定應(yīng)急響應(yīng)規(guī)程
3.6 創(chuàng)建響應(yīng)工具包
3.6.1 響應(yīng)硬件
3.6.2 響應(yīng)軟件
3.6.3 網(wǎng)絡(luò)監(jiān)視平臺
3.6.4 文檔
3.7 建立應(yīng)急響應(yīng)小組
3.7.1 決定小組的任務(wù)
3.7.2 對小組進(jìn)行培訓(xùn)
3.8 小結(jié)
3.9 問題
第4章 應(yīng)急響應(yīng)
4.1 初始響應(yīng)階段概述
4.1.1 獲取初步資料
4.1.2 應(yīng)對措施備案
4.2 建立突發(fā)事件通知程序
4.3 記錄事發(fā)詳情
4.3.1 初始響應(yīng)檢查表
4.3.2 案例記錄
4.4 突發(fā)事件聲明
4.5 組建CSIRT
4.5.1 突發(fā)事件升級處理
4.5.2 執(zhí)行突發(fā)事件通知
4.5.3 審視突發(fā)事件并配備合適的資源
4.6 執(zhí)行例行調(diào)查步驟
4.7 約見
4.7.1 獲得聯(lián)系信息
4.7.2 約見系統(tǒng)管理員
4.7.3 約見管理人員
4.7.4 約見終端用戶
4.8 制定響應(yīng)策略
4.8.1 應(yīng)對策略注意事項(xiàng)
4.8.2 策略驗(yàn)證
4.9 小結(jié)
4.10 問題
第2部分 數(shù)據(jù)收集
第5章 Windows系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集
5.1 創(chuàng)建響應(yīng)工具箱
5.1.1 常用響應(yīng)工具
5.1.2 準(zhǔn)備工具箱
5.2 保存初始響應(yīng)信息
5.2.1 應(yīng)用netcat傳輸數(shù)據(jù)
5.2.2 使用cryptcat加密數(shù)據(jù)
5.3 獲取易失性數(shù)據(jù)
5.3.1 組織并備案調(diào)查過程
5.3.2 收集易失性數(shù)據(jù)
5.3.3 編寫初始響應(yīng)腳本
5.4 進(jìn)行深入的現(xiàn)場響應(yīng)
5.4.1 收集最易失的數(shù)據(jù)
5.4.2 創(chuàng)建深入的調(diào)查工具箱
5.4.3 收集現(xiàn)場響應(yīng)數(shù)據(jù)
5.5 制作司法鑒定復(fù)件的必要性
5.6 小結(jié)
5.7 問題
第6章 Unix系統(tǒng)下的現(xiàn)場數(shù)據(jù)收集
6.1 創(chuàng)建響應(yīng)工具包
6.2 保存初始響應(yīng)信息
6.3 在進(jìn)行司法鑒定復(fù)制之前獲得易失性數(shù)據(jù)
6.3.1 收集數(shù)據(jù)
6.3.2 編寫初始響應(yīng)腳本
6.4 進(jìn)行深入的現(xiàn)場響應(yīng)
6.4.1 偵測可裝載內(nèi)核模塊rootkit
6.4.2 獲得現(xiàn)場系統(tǒng)曰志
6.4.3 獲得重要的配置文件
6.4.4 查找系統(tǒng)中的非法嗅探器
6.4.5 查看/proc文件系統(tǒng)
6.4.6 轉(zhuǎn)儲系統(tǒng)內(nèi)存
6.5 小結(jié)
6.6 問題
第7章 司法鑒定復(fù)件
7.1 可作為呈堂作證的司法鑒定復(fù)件
7.1.1 司法鑒定復(fù)件
7.1.2 合格的司法鑒定復(fù)件
7.1.3 被恢復(fù)的映像
7.1.4 鏡像
7.2 司法鑒定復(fù)制工具的要求
7.3 制作硬盤的司法鑒定復(fù)件
7.3.1 用dd和dcfldd復(fù)制
7.3.2 用開放數(shù)據(jù)復(fù)制工具進(jìn)行復(fù)制
7.4 制作合格的司法鑒定硬盤復(fù)件
7.4.1 制作引導(dǎo)盤
7.4.2 用SafeBack制作合格的司法鑒定復(fù)件
7.4.3 用EnCase制作合格的司法鑒定復(fù)件
7.5 小結(jié)
7.6 問題
第8章 收集網(wǎng)絡(luò)證據(jù)
8.1 網(wǎng)絡(luò)證據(jù)
8.2 網(wǎng)絡(luò)監(jiān)視的目的
8.3 網(wǎng)絡(luò)監(jiān)視的類型
8.3.1 事件監(jiān)視
8.3.2 陷阱跟蹤監(jiān)視
8.3.3 全內(nèi)容監(jiān)視
8.4 安裝網(wǎng)絡(luò)監(jiān)視系統(tǒng)
8.4.1 確定監(jiān)視的目標(biāo)
8.4.2 選擇合適的硬件
8.4.3 選擇合適的軟件
8.4.4 部署網(wǎng)絡(luò)監(jiān)視器
8.4.5 評價網(wǎng)絡(luò)監(jiān)視器
8.5 執(zhí)行陷阱跟蹤
8.5.1 用tcpdump進(jìn)行陷阱跟蹤
8.5.2 用WinDump進(jìn)行陷阱跟蹤
8.5.3 創(chuàng)建陷阱跟蹤輸出文件
8.6 用tcpdump進(jìn)行全內(nèi)容監(jiān)視
8.6.1 過濾全內(nèi)容數(shù)據(jù)
8.6.2 保存全內(nèi)容數(shù)據(jù)文件
8.7 收集網(wǎng)絡(luò)日志文件
8.8 小結(jié)
8.9 問題
第9章 證據(jù)處理
9.1 證據(jù)
9.1.1 最優(yōu)證據(jù)規(guī)則
9.1.2 原始證據(jù)
9.2 證據(jù)處理
9.2.1 證據(jù)鑒定
9.2.2 保管鏈
9.2.3 證據(jù)確認(rèn)
9.3 證據(jù)處理程序概述
9.3.1 證據(jù)系統(tǒng)描述
9.3.2 數(shù)碼照片
9.3.3 證據(jù)標(biāo)簽
9.3.4 證據(jù)標(biāo)記
9.3.5 證據(jù)存儲
9.3.6 證據(jù)日志
9.3.7 工作副本
9.3.8 證據(jù)備份
9.3.9 證據(jù)處置
9.3.10 證據(jù)管理員審核
9.4 小結(jié)
9.5 問題
第3部分 數(shù)據(jù)分析
第10章 計算機(jī)系統(tǒng)存儲基礎(chǔ)
10.1 硬盤與接口
10.1.1 快速發(fā)展的ATA標(biāo)準(zhǔn)
10.1.2 SCSI
10.2 準(zhǔn)備硬盤
10.2.1 擦除存儲介質(zhì)
10.2.2 磁盤的分區(qū)和格式化
10.3 文件系統(tǒng)和存儲層介紹
10.3.1 物理層
10.3.2 數(shù)據(jù)分類層
10.3.3 分配單元層
10.3.4 存儲空間管理層
10.3.5 信息分類層和應(yīng)用級存儲層
10.4 小結(jié)
10.5 問題
第11章 數(shù)據(jù)分析技術(shù)
11.1 司法鑒定分析的準(zhǔn)備工作
11.2 恢復(fù)司法鑒定復(fù)件
11.2.1 恢復(fù)硬盤的司法鑒定復(fù)件
11.2.2 恢復(fù)硬盤的合格司法鑒定復(fù)件
11.3 在Linux下準(zhǔn)備分析用的司法鑒定復(fù)件
11.3.1 檢查司法鑒定復(fù)件文件
11.3.2 聯(lián)系司法鑒定復(fù)件文件與Linux環(huán)回設(shè)備
11.4 用司法鑒定套件檢查映像文件
11.4.1 在EnCase中檢查司法鑒定復(fù)件
11.4.2 在Forensic Toolkit中檢查司法鑒定復(fù)件
11.5 將合格的司法鑒定復(fù)件轉(zhuǎn)換成司法鑒定復(fù)件
11.6 在Windows系統(tǒng)中恢復(fù)被刪除的文件
11.6.1 使用基于Windows系統(tǒng)的工具來恢復(fù)FAT文件系統(tǒng)中的文件
11.6.2 使用Linux工具來恢復(fù)FAT文件系統(tǒng)中的文件
11.6.3 使用文件恢復(fù)的圖形用戶界面：Autopsy
11.6.4 使用Foremost恢復(fù)丟失的文件
11.6.5 在Unix系統(tǒng)中恢復(fù)被刪除的文件
11.7 恢復(fù)未分配空間、自由空間和松弛空間
11.8 生成文件列表
11.8.10 出文件的元數(shù)據(jù)
11.8.2 識別已知系統(tǒng)文件
11.9 準(zhǔn)備用于查找字符串的驅(qū)動器
11.10 小結(jié)
11.11 問題
第12章 調(diào)查Windows系統(tǒng)
12.1 Windows系統(tǒng)中的證據(jù)存放位置
12.2 調(diào)查Windows
12.2.1 檢查所有相關(guān)日志
12.2.2 進(jìn)行關(guān)鍵字搜索
12.2.3 檢查相關(guān)文件
12.2.4 識別未授權(quán)的用戶賬戶或用戶組
12.2.6 識別惡意進(jìn)程
12.2.7 查找異?；螂[藏的文件
12.2.8 檢查未授權(quán)的訪問點(diǎn)
12.2.9 檢查由計劃程序服務(wù)所運(yùn)行的任務(wù)
12.2.10 分析信任關(guān)系
12.2.11 檢查安全標(biāo)識符
12.3 文件審核和信息竊取
12.4 對離職雇員的處理
12.4.1 檢查搜索內(nèi)容和使用過的文件
12.4.2 在硬盤上進(jìn)行字符串搜索
12.5 小結(jié)
12.6 問題
第13章 調(diào)查Unix系統(tǒng)
13.1 Unix調(diào)查步驟概述
13.2 審查相關(guān)日志
13.2.1 網(wǎng)絡(luò)日志
13.2.2 主機(jī)日志記錄
13.2.3 用戶操作目志
13.3 搜索關(guān)鍵字
13.3.1 使用grep進(jìn)行字符串搜索
13.3.2 使用find命令進(jìn)行文件搜索
13.4 審查相關(guān)文件
13.4.1 事件時間和時間/日期戳
13.4.2 特殊文件
13.5 識別未經(jīng)授權(quán)的用戶賬戶或用戶組
13.5.1 用戶賬戶調(diào)查
13.5.2 組賬戶調(diào)查
13.6 識別惡意進(jìn)程
13.7 檢查未經(jīng)授權(quán)的訪問點(diǎn)
13.8 分析信任關(guān)系
13.9 檢測可加載木馬程序的內(nèi)核模塊
13.9.1 現(xiàn)場系統(tǒng)上的LKM
13.9.2 LKM元素
13.9.3 LKM檢測工具
13.10 小結(jié)
13.11 問題
第14章 網(wǎng)絡(luò)通信分析
14.1 尋找基于網(wǎng)絡(luò)的證據(jù)
14.1.1 網(wǎng)絡(luò)通信分析工具
14.1.2 檢查用tcpdump收集的網(wǎng)絡(luò)通信
14.2 用tcptrace生成會話數(shù)據(jù)
14.2.1 分析捕獲文件
14.2.2 解釋tcptrace輸出
14.2.3 用Snort提取事件數(shù)據(jù)
14.2.4 檢查SYN數(shù)據(jù)包
14.2.5 解釋Snort輸出
14.3 用tcpflow重組會話
14.3.1 FTP會話
14.3.2 解釋tcpflow輸出
14.3.3 查看SSH會話
14.4 用Ethereal重組會話
14.5 改進(jìn)tcpdump過濾器
14.6 小結(jié)
14.7 問題
第15章 黑客工具研究
15.1 工具分析的目的
15.2 文件編譯方式
15.2.1 靜態(tài)鏈接的程序
15.2.2 動態(tài)鏈接的程序
15.2.3 用調(diào)試選項(xiàng)編譯程序
15.2.4 精簡化的程序
15.2.5 用UPX壓縮的程序
15.2.6 編譯技術(shù)和文件分析
15.3 黑客工具的靜態(tài)分析
15.3.1 確定文件類型
15.3.2 檢查ASCII和Unicode字符串
15.3.3 在線研究
15.3.4 檢查源代碼
15.4 黑客工具的動態(tài)分析
15.4.1 創(chuàng)建沙箱環(huán)境
15.4.2 Unix系統(tǒng)上的動態(tài)分析
15.4.3 Windows系統(tǒng)下的動態(tài)分析
15.5 小結(jié)
15.6 問題
第16章 研究路由器
16.1 在關(guān)機(jī)之前獲得易失性數(shù)據(jù)
16.1.1 建立路由器連接
16.1.2 記錄系統(tǒng)時間
16.1.3 判斷登錄到路由器的人
16.1.4 確定路由器的正常運(yùn)行時間
16.1.5 判斷偵聽套接字
16.1.6 保存路由器的配置
16.1.7 查看路由表
16.1.8 檢查接口配置
16.1.9 查看ARP緩存
16.2 尋找證據(jù)
16.2.1 處理直接威脅事件
16.2.2 處理路由表操縱事件
16.2.3 處理信息失竊事件
16.2.4 處理拒絕服務(wù)攻擊
16.3 用路由器作為響應(yīng)工具
16.3.1 理解訪問控制列表
16.3.2 用路由器進(jìn)行監(jiān)測
16.3.3 響應(yīng)DDoS攻擊
16.4 小結(jié)
16.5 問題
第17章 撰寫計算機(jī)司法鑒定報告
17.1 什么是計算機(jī)司法鑒定報告
17.1.1 什么是鑒定報告
17.1.2 報告的目標(biāo)
17.2 撰寫報告的指導(dǎo)方針
17.2.1 迅速并清楚地記錄調(diào)查步驟
17.2.2 了解分析目的
17.2.3 組織報告
17.2.4 使用模板
17.2.5 使用一致的標(biāo)識符
17.2.6 使用附件和附錄
17.2.7 讓同事閱讀報告
17.2.8 使用MD5哈希
17.2.9 包括元數(shù)據(jù)
17.3 計算機(jī)司法鑒定報告模板
17.3.1 執(zhí)行摘要
17.3.2 目標(biāo)
17.3.3 經(jīng)過分析的計算機(jī)證據(jù)
17.3.4 相關(guān)調(diào)查結(jié)果
17.3.5 支持性細(xì)節(jié)
17.3.6 調(diào)查線索
17.3.7 附加的報告部分
17.4 小結(jié)
17.5 問題
第4部分 附錄
附錄A 問題解答
附錄B 應(yīng)急響應(yīng)表格