計(jì)算機(jī)取證

譯者序
前言
第一部分 基本概念
第1章 計(jì)算機(jī)取證宗旨
1.1 引言
1.2 突顯異?；顒?dòng)
1.3 易失性順序
1.4 層與假象
1.5 信息的可信度
1.6 被刪除信息的固化
1.7 數(shù)字考古學(xué)與地質(zhì)學(xué)
第2章 時(shí)間機(jī)器
2.1 引言
2.2 故障的第一個(gè)特征
2.3 MAC時(shí)間介紹
2.4 MAC時(shí)間的局限性
2.5 Argus:情況變得更為復(fù)雜
2.6 淘金：在隱蔽的地方尋找時(shí)間信息
2.7 DNS和時(shí)間
2.8 日志文件系統(tǒng)和MAC時(shí)間
2.9 時(shí)間的缺陷
2.10 結(jié)論
第二部分 探討系統(tǒng)抽象
第3章 文件系統(tǒng)基礎(chǔ)
3.1 引言
3.2 文件系統(tǒng)的字母表
3.3 UNIX文件組織結(jié)構(gòu)
3.4 UNIX文件名
3.5 UNIX路徑名
3.6 UNIX文件類型
3.6.1 普通文件
3.6.2 目錄
3.6.3 符號(hào)鏈接
3.6.4 IPC(進(jìn)程間通信)端點(diǎn)
3.6.5 設(shè)備文件
3.7 首次揭密——文件系統(tǒng)內(nèi)部情況
3.8 UNIX文件系統(tǒng)布局
3.9 揭開(kāi)秘密——深入探索文件系統(tǒng)
3.10 模糊區(qū)——隱藏在文件系統(tǒng)接口之下的威脅
3.11 結(jié)論
第4章 文件系統(tǒng)分析
4.1 引言
4.2 初次接觸
4.3 準(zhǔn)備分析被入侵的文件系統(tǒng)
4.4 捕獲被入侵的文件系統(tǒng)信息
4.5 通過(guò)網(wǎng)絡(luò)發(fā)送磁盤鏡像
4.6 在分析的機(jī)器上掛載磁盤鏡像
4.7 現(xiàn)存文件的：MAC時(shí)間信息
4.8 現(xiàn)存文件的詳細(xì)分析
4.9 掩蓋現(xiàn)存文件分析

4.10 插曲：當(dāng)一個(gè)文件被刪除時(shí)，將會(huì)發(fā)生什么？
4.10.1 父目錄項(xiàng)
4.10.2 父目錄屬性
4.10.3 索引節(jié)點(diǎn)塊
4.10.4 數(shù)據(jù)塊
4.11 被刪除文件的MAC時(shí)間信息
4.12 被刪除文件的詳細(xì)分析
4.13 利用索引節(jié)點(diǎn)號(hào)發(fā)現(xiàn)異常文件
4.14 追蹤一個(gè)被刪除文件的原始位置
4.15 通過(guò)被刪除文件的索引節(jié)點(diǎn)號(hào)來(lái)追蹤被刪除的文件
4.16 回到入侵的另外一個(gè)分支
4.17 喪失無(wú)辜
4.18 結(jié)論
第5章 系統(tǒng)與破壞
5.1 引言
5.2 標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)
5.3 UNIX系統(tǒng)從啟動(dòng)到關(guān)閉的生命周期
5.4 案例研究：系統(tǒng)啟動(dòng)的復(fù)雜性
5.5 內(nèi)核配置機(jī)制
5.6 使用內(nèi)核安全等級(jí)來(lái)保護(hù)計(jì)算機(jī)取證信息
5.7 典型的進(jìn)程和系統(tǒng)狀態(tài)工具
5.8 進(jìn)程和系統(tǒng)狀態(tài)工具是如何工作的
5.9 進(jìn)程和系統(tǒng)狀態(tài)工具的局限性
5.10 用rootkit軟件進(jìn)行破壞
5.11 命令級(jí)破壞
5.12 命令級(jí)的隱蔽和檢測(cè)
5.13 庫(kù)級(jí)破壞
5.14 內(nèi)核級(jí)破壞
5.15 內(nèi)核rootkit的安裝
5.16 內(nèi)核rootkit的操作
5.17 內(nèi)核rootkit的檢測(cè)與隱藏
5.18 結(jié)論
第6章 惡意攻擊軟件分析基礎(chǔ)
6.1 引言
6.2 動(dòng)態(tài)程序分析的危險(xiǎn)
6.3 硬件虛擬機(jī)的程序限制
6.4 軟件虛擬機(jī)的程序限制
6.5 軟件虛擬機(jī)限制的危險(xiǎn)性
6.6 Jails和chroot()的程序限制
6.7 系統(tǒng)調(diào)用監(jiān)控程序的動(dòng)態(tài)分析
6.8 系統(tǒng)調(diào)用審查程序的限制
6.9 系統(tǒng)調(diào)用哄騙程序的限制
6.10 系統(tǒng)調(diào)用限制的危險(xiǎn)
6.11 庫(kù)調(diào)用監(jiān)控的動(dòng)態(tài)分析
6.12 庫(kù)調(diào)用程序的限制
6.13 庫(kù)調(diào)用限制的危險(xiǎn)
6.14 機(jī)器指令級(jí)的動(dòng)態(tài)分析
6.15 靜態(tài)分析與逆向工程
6.16 小程序存在許多問(wèn)題
6.17 惡意攻擊軟件分析對(duì)策

6.18 結(jié)論
第三部分 超越抽象
第7章 被刪除文件信息的持久性
7.1 引言
7.2 被刪除信息持久性舉例
7.3 測(cè)量被刪除文件內(nèi)容的持久性
7.4 測(cè)量被刪除文件MAC時(shí)間的持久性
7.5 被刪除文件MAC時(shí)間的強(qiáng)力持久性
7.6 被刪除文件MAC時(shí)間信息的長(zhǎng)期持久性
7.7 用戶活動(dòng)對(duì)被刪除文件的：MAC時(shí)間信息的影響
7.8 被刪除文件信息的可信度
7.9 為什么被刪除文件信息能夠保持不變
7.10 結(jié)論
第8章 超越進(jìn)程
8.1 引言
8.2 虛擬內(nèi)存的基礎(chǔ)知識(shí)
8.3 內(nèi)存頁(yè)的基礎(chǔ)知識(shí)
8.4 文件和內(nèi)存頁(yè)
8.5 匿名內(nèi)存頁(yè)
8.6 捕獲內(nèi)存
8.7 savecore命令
8.7.1 內(nèi)存設(shè)備文件：/dev/mem和/dev/kmem
8.7.2 交換分區(qū)
8.7.3 其他存儲(chǔ)單元
8.8 靜態(tài)分析：從文件中識(shí)別內(nèi)存
8.9 在無(wú)密鑰的情況下恢復(fù)加密文件的內(nèi)容
8.9.1 創(chuàng)建一個(gè)加密文件
8.9.2 從主存中恢復(fù)加密文件
8.10 文件系統(tǒng)塊VS.內(nèi)存分頁(yè)技術(shù)
8.11 識(shí)別內(nèi)存中的文件
8.12 動(dòng)態(tài)分析：內(nèi)存數(shù)據(jù)的持久性
8.13 內(nèi)存中文件的持久性
8.14 非文件或匿名數(shù)據(jù)的持久性
8.15 交換分區(qū)的持久性
8.16 引導(dǎo)進(jìn)程內(nèi)存的持久性
8.17 內(nèi)存數(shù)據(jù)的可信度和堅(jiān)韌性
8.18 結(jié)論
附錄A Coroner's工具包及其相關(guān)軟件
附錄B 數(shù)據(jù)收集和易失性順序
參考文獻(xiàn)