图书介绍

应急响应 & 计算机司法鉴定 第2版PDF|Epub|txt|kindle电子书版本下载

应急响应 & 计算机司法鉴定 第2版
  • (美)Kevin Mandia,(美)Chris Prosise,(美)Matt Pepe著;汪青青,付宇光等译 著
  • 出版社: 北京:清华大学出版社
  • ISBN:7302097275
  • 出版时间:2004
  • 标注页数:400页
  • 文件大小:55MB
  • 文件页数:424页
  • 主题词:电子计算机-安全技术

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:5d8df03fd8baf3778d13db01adcc3fc6

下载说明

应急响应 & 计算机司法鉴定 第2版PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第1部分 简介1

第1章 现实生活中的突发事件1

1.1 影响响应的因素1

目录1

1.2 跨国犯罪2

1.2.1 欢迎来到Invita .2

1.2.2 PathStar阴谋3

1.3 传统的黑客行为4

1.4 小结6

2.1 计算机安全事件的意义7

第2章 应急响应过程简介7

2.2 应急响应的目标8

2.3 应急响应小组参与人员8

2.4 应急响应方法9

2.4.1 事前准备10

2.4.2 发现事件11

2.4.3 初始响应12

2.4.4 制定响应策略13

2.4.5 调查事件17

2.4.6 报告20

2.4.7 解决方案21

2.5 小结22

2.6 问题22

第3章 为应急响应做准备24

3.1 突发事件预防准备概述24

3.2 识别风险25

3.3 单个主机的准备工作26

3.3.1 记录关键文件的加 密校验和26

3.3.2 增加或者启用安全审核日志记录29

3.3.3 增强主机防御34

3.3.4 备份关键数据35

3.3.5 对用户进行基于主机的安全教育37

3.4 准备网络37

3.4.1 安装防火墙和入侵侦测系统38

3.4.2 在路由器上使用访问控制列表38

3.4.3 创建有助于监视的网络拓扑结构39

3.4.4 加密网络流量40

3.4.5 要求身份验证40

3.5 制订恰当的策略和规程41

3.5.1 决定响应立场42

3.5.2 理解策略如何辅助调查措施44

3.5.3 制定可接受的使用策略49

3.5.4 设计AUP51

3.5.5 制定应急响应规程52

3.6 创建响应工具包53

3.6.1 响应硬件53

3.6.2 响应软件54

3.6.3 网络监视平台54

3.6.4 文档55

3.7 建立应急响应小组55

3.7.1 决定小组的任务55

3.7.2 对小组进行培训56

3.8 小结58

3.9 问题58

第4章 应急响应59

4.1 初始响应阶段概述59

4.1.1 获取初步资料60

4.1.2 应对措施备案60

4.2 建立突发事件通知程序60

4.3 记录事发详情61

4.3.1 初始响应检查表61

4.4 突发事件声明63

4.3.2 案例记录63

4.5 组建CSIRT64

4.5.1 突发事件升级处理64

4.5.2 执行突发事件通知65

4.5.3 审视突发事件并配备合适的资源66

4.6 执行例行调查步骤68

4.7 约见68

4.7.1 获得联系信息69

4.7.2 约见系统管理员70

4.7.3 约见管理人员70

4.8 制定响应策略71

4.7.4 约见终端用户71

4.8.1 应对策略注意事项72

4.8.2 策略验证72

4.9 小结73

4.10 问题73

第2部分 数据收集74

第5章 Windows系统下的现场数据收集74

5.1 创建响应工具箱74

5.1.1 常用响应工具75

5.1.2 准备工具箱76

5.2.1 用netcat传输数据77

5.2 保存初始响应信息77

5.2.2 使用cryptcat加密数据79

5.3 获取易失性数据79

5.3.1 组织并备案调查过程80

5.3.2 收集易失性数据81

5.3.3 编写初始响应脚本89

5.4 进行深入的现场响应90

5.4.1 收集最易失的数据90

5.4.3 收集现场响应数据91

5.4.2 创建深入的调查工具箱91

5.5 制作司法鉴定复件的必要性97

5.6 小结98

5.7 问题98

第6章 Unix系统下的现场数据收集99

6.1 创建响应工具包99

6.2 保存初始响应信息100

6.3 在进行司法鉴定复制之前获得易失性数据101

6.3.1 收集数据101

6.4 进行深入的现场响应110

6.4.1 侦测可装载内核模块rootkit110

6.3.2 编写初始响应脚本110

6.4.2 获得现场系统日志112

6.4.3 获得重要的配置文件113

6.4.4 查找系统中的非法嗅探器113

6.4.5 查看/proc件系统116

6.4.6 转储系统内存119

6.5 小结120

6.6 问题121

第7章 司法鉴定复件122

7.1 可作为呈堂作证的司法鉴定复件122

7.1.3 被恢复的映像123

7.1.1 司法鉴定复件123

7.1.2 合格的司法鉴定复件123

7.1.4 镜像124

7.2 司法鉴定复制工具的要求125

7.3 制作硬盘的司法鉴定复件126

7.3.1 用dd和dcfldd复制127

7.3.2 用开放数据复制工具进行复制128

7.4 制作合格的司法鉴定硬盘复件132

7.4.1 制作引导盘132

7.4.2 用SafeBack制作合格的司法鉴定复件134

7.4.3 用EnCase制作合格的司法鉴定复件136

7.5 小结139

7.6 问题140

第8章 收集网络证据141

8.1 网络证据141

8.2 网络监视的目的141

8.3 网络监视的类型142

8.3.1 事件监视142

8.3.2 陷阱跟踪监视142

8.3.3 全内容监视143

8.4 安装网络监视系统144

8.4.1 确定监视的目标144

8.4.2 选择合适的硬件145

8.4.3 选择合适的软件147

8.4.4 部署网络监视器150

8.4.5 评价网络监视器151

8.5 执行陷阱跟踪152

8.5.1 用tcpdump进行陷阱跟踪153

8.5.2 用WinDump进行陷阱跟踪155

8.5.3 创建陷阱跟踪输出文件155

8.6 用tcpdump进行全内容监视156

8.6.1 过滤全内容数据157

8.6.2 保存全内容数据文件157

8.7 收集网络日志文件158

8.9 问题159

8.8 小结159

第9章 证据处理161

9.1 证据161

9.1.1 最优证据规则162

9.1.2 原始证据162

9.2 证据处理162

9.2.1 证据鉴定163

9.2.2 保管链163

9.2.3 据确认164

9.3.1 证据系统描述165

9.3 证据处理程序概述165

9.3.2 数码照片167

9.3.3 证据标签167

9.3.4 证据标记169

9.3.5 证据存储169

9.3.6 证据日志171

9.3.7 工作副本172

9.3.8 证据备份172

9.3.9 证据处置173

9.3.10 证据管理员审核173

9.5 问题174

9.4 小结174

第3部分 数据分析175

第10章 计算机系统存储基础175

10.1 硬盘与接口175

10.1.1 快速发展的ATA标准176

10.1.2 SCSI179

10.2 准备硬盘182

10.2.1 擦除存储介质182

10.2.2 磁盘的分区和格式化183

10.3 文件系统和存储层介绍186

10.3.2 数据分类层187

10.3.1 物理层187

10.3.3 分配单元层188

10.3.4 存储空间管理层189

10.3.5 信息分类层和应用级存储层190

10.4 小结190

10.5 问题191

第11章 数据分析技术192

11.1 司法鉴定分析的准备工作192

11.2 恢复司法鉴定复件193

11.2.1 恢复硬盘的司法鉴定复件193

11.2.2 恢复硬盘的合格司法鉴定复件195

11.3 在Linux下准备分析用的司法鉴定复件199

11.3.1 检查司法鉴定复件文件201

11.3.2 联系司法鉴定复件文件与Linux环回设备202

11.4 用司法鉴定套件检查映像文件204

11.4.1 在EnCase中检查司法鉴定复件204

11.4.2 在ForensicToolkit中检查司法鉴定复件205

11.5 将合格的司法鉴定复件转换成司法鉴定复件207

11.6 在Windows系统中恢复被删除的文件209

11.6.1 使用基于Windows系统的工具来恢复FAT文件系统中的文件209

11.6.2 使用Linux工具来恢复FAT文件系统中的文件209

11.6.3 使用文件恢复的图形用户界面:Autopsy213

11.6.4 使用Foremost恢复丢失的文件216

11.6.5 在Unix系统中恢复被删除的文件218

11.7 恢复未分配空间、自由空间和松弛空间223

11.8 生成文件列表225

11.8.1 列出文件的元数据225

11.8.2 识别已知系统文件228

11.9 准备用于查找字符串的驱动器228

11.10 小结233

11.11 问题233

12.1 Windows系统中的证据存放位置235

第12章 调查Windows系统235

12.2 调查Windows236

12.2.1 检查所有相关日志236

12.2.2 进行关键字搜索243

12.2.3 检查相关文件244

12.2.4 识别未授权的用户账户或用户组258

12.2.6 识别恶意进程259

12.2.7 查找异常或隐藏的文件260

12.2.8 检查未授权的访问点261

12.2.9 检查由计划程序服务所运行的任务264

12.2.10 分析信任关系265

12.2.11 检查安全标识符266

12.3 文件审核和信息窃取266

12.4 对离职雇员的处理268

12.4.1 检查搜索内容和使用过的文件268

12.4.2 在硬盘上进行字符串搜索269

12.5 小结269

12.6 问题269

第13章 调查Unix系统270

13.1 Unix调查步骤概述270

1 3.2.1 网络日志271

13.2 审查相关日志271

13.2.2 主机日志记录274

13.2.3 用户操作日志275

13.3 搜索关键字276

13.3.1 使用grep进行字符串搜索277

13.3.2 使用find命令进行文件搜索278

13.4 审查相关文件278

13.4.1 事件时间和时间/日期戳279

13.4.2 特殊文件280

13.5.2 组账户调查284

13.5.1 用户账户调查284

13.5 识别未经授权的用户账户或用户组284

13.6 识别恶意进程285

13.7 检查未经授权的访问点286

13.8 分析信任关系286

13.9 检测可加载木马程序的内核模块287

13.9.1 现场系统上的LKM287

13.9.2 LKM元素288

13.9.3 LKM检测工具289

13.10 小结292

13.11 问题292

14.1.1 网络通信分析工具293

第14章 网络通信分析293

14.1 寻找基于网络的证据293

14.1.2 检查用tcpdump收集的网络通信294

14.2 用tcptrace生成会话数据295

14.2.1 分析捕获文件295

14.2.2 解释tcptrace输出297

14.2.3 用Snort提取事件数据298

14.2.4 检查SYN数据包298

14.2.5 解释Snort输出302

14.3 用tcpflow重组会话302

14.3.2 解释tcpflow输出303

14.3.1 FTP会话303

14.3.3 查看SSH会话307

14.4 用Ethereal重组会话309

14.5 改进tcpdump过滤器311

14.6 小结312

14.7 问题312

第15章 黑客工具研究317

15.1 工具分析的目的317

15.2 文件编译方式317

15.2.2 动态链接的程序318

15.2.1 静态链接的程序318

15.2.3 用调试选项编译程序319

15.2.4 精简化的程序320

15.2.5 用UPX压缩的程序320

15.2.6 编译技术和文件分析322

15.3 黑客工具的静态分析324

15.3.1 确定文件类型325

15.3.2 检查ASCII和Unicode字符串326

15.3.3 在线研究328

15.4.1 创建沙箱环境329

15.4 黑客工具的动态分析329

15.3.4 检查源代码329

15.4.2 Unix系统上的动态分析331

15.4.3 Windows系统下的动态分析339

15.5 小结343

15.6 问题343

第16章 研究路由器344

16.1 在关机之前获得易失性数据344

16.1.1 建立路由器连接345

16.1.2 记录系统时间345

16.1.3 判断登录到路由器的人345

16.1.4 确定路由器的正常运行时间346

16.1.5 判断侦听套接字347

16.1.6 保存路由器的配置348

16.1.7 查看路由表349

16.1.8 检查接口配置350

16.1.9 查看ARP缓存350

16.2 寻找证据351

16.2.1 处理直接威胁事件351

16.2.2 处理路由表操纵事件353

16.2.3 处理信息失窃事件353

16.2.4 处理拒绝服务攻击354

16.3.1 理解访问控制列表355

16.3 用路由器作为响应工具355

16.3.2 用路由器进行监测357

16.3.3 响应DDoS攻击358

16.4 小结359

16.5 问题359

第17章 撰写计算机司法鉴定报告360

17.1 什么是计算机司法鉴定报告360

17.1.1 什么是鉴定报告360

17.1.2 报告的目标361

17.2 撰写报告的指导方针362

17.2.2 了解分析目的363

17.2.1 迅速并清楚地记录调查步骤363

17.2.3 组织报告364

17.2.4 使用模板364

17.2.5 使用一致的标识符365

17.2.6 使用附件和附录365

17.2.7 让同事阅读报告365

17.2.8 使用MD5哈希366

17.2.9 包括元数据366

17.3 计算机司法鉴定报告模板367

17.3.2 目标368

17.3.1 执行摘要368

17.3.3 经过分析的计算机证据369

17.3.4 相关调查结果370

17.3.5 支持性细节370

17.3.6 调查线索372

17.3.7 附加的报告部分373

17.4 小结374

17.5 问题374

第4部分 附录375

附录A 问题解答375

附录B 应急响应表格393

热门推荐