图书介绍
Windows取证分析PDF|Epub|txt|kindle电子书版本下载
- (美)HarlanCarvey著 著
- 出版社: 北京:科学出版社
- ISBN:9787030233080
- 出版时间:2009
- 标注页数:222页
- 文件大小:66MB
- 文件页数:240页
- 主题词:窗口软件,Windows-安全技术
PDF下载
下载说明
Windows取证分析PDF格式电子书版下载
下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!
(文件页数 要大于 标注页数,上中下等多册电子书除外)
注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具
图书目录
前言1
第1章 开机取证:数据收集1
引言2
开机取证(Live Response)2
诺卡德交换原理3
易变信息的次序5
何时进行开机取证5
收集什么数据7
系统时间8
当前登录用户9
打开的文件10
网络信息(缓存的NetBIOS名字列表)11
网络连接12
进程信息13
进程到端口的映射18
进程内存20
网络状态20
剪贴板内容22
服务/驱动信息23
命令行历史24
映射的驱动器25
共享25
非易变信息26
注册表设置26
事件日志29
设备和其他信息29
有关怎样挑选工具29
开机取证方法30
本地开机取证方法31
远程取证方法32
混合方法33
小结36
参考资料36
快速解决方案38
常见问题39
第2章 开机取证:数据分析41
引言42
数据分析42
案例一43
案例二46
敏捷分析49
扩大范围51
应对52
防范53
小结54
参考资料54
快速解决方案55
常见问题55
第3章 Windows内存分析57
引言58
内存分析简史58
获取物理内存镜像59
基于硬件的方案59
利用火线接口60
崩溃转储60
利用虚拟机62
休眠文件63
DD63
分析物理内存镜像65
进程基础65
分析内存镜像67
分析进程内存72
提取进程可执行文件镜像73
内存镜像分析和页交换文件76
根据内存镜像判断操作系统类型77
分析内存池78
获取进程内存79
小结80
参考资料80
快速解决方案81
常见问题82
第4章 注册表分析85
引言86
注册表内部结构86
配置单元文件内的注册表结构88
注册表作为日志文件92
监视注册表变化93
注册表分析94
系统信息95
自动启动位置98
枚举注册表自动启动位置105
USB移动存储设备105
Mounted Devices109
查找用户111
追踪用户活动114
Windows XP系统还原点122
小结125
光盘内容126
参考资料126
快速解决方案127
常见问题128
第5章 文件分析131
引言132
事件日志132
理解事件132
事件日志文件格式135
事件日志头部136
事件记录结构137
Vista事件日志140
IIS日志141
因特网浏览器历史143
其他日志文件144
回收站151
系统还原点153
Prefetch文件154
快捷方式文件155
文件元数据156
Word文档158
PDF文档162
图像文件163
文件特征分析163
NTFS分支数据流164
其他分析方法170
小结172
参考资料173
快速解决方案174
常见问题175
第6章 可执行文件分析177
引言178
静态分析178
记录文件信息178
分析可执行文件180
动态分析196
测试环境196
一次性系统197
工具198
流程201
小结203
参考资料204
快速解决方案205
常见问题206
第7章 Rootkits及其检测207
引言208
Rootkits208
Rootkit检测212
开机检测212
GMER214
Helios215
MS StriderGhostBuster215
F-Secure BlackLight216
Sophos Anti-Rootkit217
AntiRootkit.com218
后期检测218
预防219
小结220
参考资料220
快速解决方案221
常见问题222