恶意代码取证

恶意代码取证
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者: [美] , ,
出版社: 科学出版社
2009-07
版次: 1
ISBN: 9787030250667
定价: 69.00
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 542页
字数: 840千字
正文语种: 简体中文
原版书名: Malware Forensics: Investigating and Analyzing Malicious Code
  •   旨在提出一套完整的恶意软件取证方法和流程,并以Windows和Linux两种操作系统为平台详细介绍了恶意软件取证过程的5个主要的阶段:易失性数据取证保存和检查、内存检查、硬盘检查、恶意软件静态分析、恶意软件动态分析。《恶意代码取证》可用作高等院校信息安全专业及计算机专业本科生、研究生的教材。同时,对于信息安全特别是网络司法取证学界的广大教师、研究人员以及公安网侦人员,《恶意代码取证》同样是不可多得的重要参考资料。
      网络犯罪是信息时代的产物。近年来随着计算机以及互联网的普及,尤其是各类金融业务通过因特网不断得到拓展,全球的网络犯罪案件迅速增长。如何有效防范并打击网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题,而且是计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。   JamesM.Aquilina是SttozFriedberg的行政主管兼代理常驻辩护律师,StrozFriedberg是一家专门从事计算机取证,电子数据的保存、分析和生产,计算机欺诈响应,滥用响应以及计算机安全的服务与咨询公司。Aquilina先生为了公司的管理经营及其法律事务的处理而劳心劳力,另外全面负责整个洛杉矶办事处的工作。他曾为政府部门、重要法律部门、公司管理和信息系统等部门指导、完成了很多数字取证和电子侦查任务,处理了很多刑事、民事、管理以及内部的公司纠纷案件,如电子伪造、擦除、大面积删除或其他形式的电子数据窃取,机密信息泄露,通过计算机盗窃商业机密和非法电子监视等。他曾经担任第三方中立专家对电子证据进行法院认可的取证检查。Aquilina先生还带头开展了该公司的在线欺诈和职权滥用调查,并定期组织技术和战略磋商会议,以保护计算机网络免受间谍软件和其他入侵软件、恶意软件和恶意代码、网络欺诈以及其他形式的非法因特网活动的侵害。他博学多知,对僵尸网络、分布式拒绝服务攻击以及其他自动化网络入侵等都有深入了解,这使他能为企业提供解决计算机欺诈和职权滥用事件等问题的咨询和解决方案,以加强其基础设施的保护。
      在加入StrozFriedberg之前,Aquilina先生是美国加利福尼亚州中部地区联邦检察官办公室刑事司的一名助理检察官,在那里他主要负责网络和知识产权犯罪科与计算机和电子通信方面相关的工作。他还担任了洛杉矶电子犯罪特遣部队成员和计算机入侵工作组(一个机构间的网络犯罪响应组织)负责人。在担任助理检察官期间,.Aquilina先生负责调查并监督与计算机入侵犯罪、拒绝服务攻击敲诈、计算机和因特网欺诈、侵权犯罪、盗窃商业机密以及其他涉及盗窃和滥用个人职权等行为相关的起诉案件。Aquilina先生主持参与过很多著名的网络犯罪调查案例,例如美国第一例起诉利用僵尸网络进行牟利的犯罪案例,“地下僵尸管理者”通过转卖其所控制的受感染计算机大军用以发动攻击、发送垃圾邮件或秘密安装广告软件来牟利:他曾推进陪审团就第一起与数码摄像机使用相关的刑事版权侵犯案件进行定罪;他曾负责监督指导政府对网络犯罪打击活动[OpreationCyberslam](一项国际入侵犯罪调查,主要调查雇佣黑客针对在线商业竞争者进行计算机攻击等犯罪行为)的起诉;他也曾协助美国洛杉矶相关检察机关收集和分析当地恐怖组织的相关电子证据。
      在其于美国联邦检察官办公室工作期间,Aquilina先生同时也任职于重大欺诈和恐怖主义,有组织犯罪科,调查和审判了很多复杂案件,例如他曾审判过一起重大的国税局税务官和会计师联合腐败案件;他曾起诉法国里昂信贷银行欺诈一家现己解散的保险公司的赔偿,并为之昭雪:他还以勒索和绑架罪审判过一个亚美尼亚有组织犯罪集团。随着2001年9月11日袭击事件的发生,Aquilina先生开始协助联邦调查局紧急行动中心法律科的组建和运作。
      Aquilina先生在从事公共服务之前,曾在纽约的Richards、Spears、Kibbe&Orbe律师事务所工作,当时主要负责解决联邦白领工作问题和纽约州的刑事、管理问题。Aquilina先生也曾担任过十分受人尊敬的加利福尼亚州南部的美国地方法院法官IrmaE.Gonzalez的法律助理。他是乔治敦大学的优秀学士,美国加利福尼亚大学伯克利分校法学院的法学博士,当时他还是理查德厄斯金的学术研究员,担任了《加利福尼亚州法律审查》(califomiaLawReview)的文章编辑和执行委员会成员。
      他目前担任国际电子商务顾问理事会(电子商务理事会)网络法律问题的名誉理事会会员,该组织提供CEH(道德黑客认证)和CHFI(黑客法医调查员认证)认证,引领世界各地的安全行业专家。
      EoghanCasey是一位事件响应和数字取证分析专家,经常在大面积的调查范围(包括国际范围内的网络入侵)内开展安全漏洞响应和数字证据分析工作。他在数字取证方面有丰富的经验,能够根据安全漏洞响应确定计算机入侵的起源、性质和范围,并利用取证与安全技术来维护受害网络的安全。他曾研究过数百种数字取证过程中可获得的证据,包括电子邮件和文件服务器、手持设备、备份磁带、数据库系统和网络日志等。
      Casey先生是其研究领域的权威,经常在美国和国外相关专业杂志或会议上撰写相关论文并发表演讲,如数字取证研究研讨会、高科技犯罪调查协会、搜索、IT安全和Infragard等会议。他曾编写了一本十分流行的教科书:《数字取证和计算机犯罪:取证科学、计算机与网络》(学术出版社,2004年)。他还是《计算机犯罪调查手册》的编辑,并且合著过《儿童剥削和色情调查》一书。Casey先生现在担任国际期刊《调查取证》的总编辑,该期刊按季度出版数字取证和事件响应方面的文章。
      作为StrozFriedberg的数字取证调查总指导,Casey与其他人一起管理该公司在计算机取证、计算机犯罪响应和紧急事件响应领域的技术业务。此外,他还积极参与待审民事和刑事案件的作证,并提交专家报告以为计算机和网络犯罪案件的审判而向大陪审团作证。Casey先生还带头开展StrozFriedberg公司外部和内部的各种取证培训项目并担任培训负责人。
      在Casey到StrozFriedberg公司工作之前,他曾作为顾问在许多涉及与凶杀、剥削儿童和其他类型案件相关的网上犯罪活动和数字证据的刑事调查中协助执法部门办案。Casev于1999年至2002年间曾在耶鲁大学担任信息安全主管,并在后续咨询工作中负责脆弱性评估,处理关键安全漏洞,部署和维护入侵检测系统、防火墙和重要的公共基础设施,制定相关政策、规程和教育项目。自1996年以来。Casey先生一直通过在线和实地训练的方式提供培训服务,其课程涵盖了数字取证、事故响应和入侵调查。Casey先生于1991—1995年间还曾在美国航天局的极端紫外线探测卫星项目中担任高级研究助理和卫星操作员,负责编写与自动执行日常、安全性要求很高的卫星操纵流程相关的计算机程序,建立并维护一个Sybase的sQL数据库。
      Casey先生毕业于加州大学伯克利分校的机械工程专业,并获得纽约大学教育传播与技术专业硕士学位。
      CameronH.Malin是联邦调查局分配给美国加利福尼亚州洛杉矶的网络重案组的特别代理,主要负责调查计算机入侵和恶意代码等问题。
      Malin先生是一位通过国际电子商务顾问理事会(电子商务理事会)认证的道德黑客(CEH认证),是一位通过国际信息系统安全认证协会(“(ISC)2”)认证的信息系统安装专家(CISSP),还是一位通过SANS研究机构认证的资深逆向工程恶意软件分析专家、资深系统入侵分析员、资深故障处理员和资深取证分析员。
      Malin先生目前是数字取证国际期刊(UDE)的编委会成员和信息保障技术分析中心(IATAC)的主题专栏专家。
      就职于美国联邦调查局之前,Malin曾是佛罗里达州迈阿密的国家检察官助理(ASA)和美国司法部长特别助理,专门从事计算机犯罪的起诉。在其作为国家检察官助理的任职期间,Malin先生也担任了乔治华盛顿大学的硕士课程《计算机欺诈调查》的助理教授。
      本书中由CameronMatin所提及的相关技术、工具、方法、观点和意见都仅代表其个人意见,并不代表美国司法部、联邦调查局,甚至美国政府。联邦政府或者任何联邦机构不以任何方式对此书或其内容进行支持。
      译者简介:
      彭国军,男,1979年11月生,湖北荆州人。武汉大学计算机学院教师、信息安全博士。2001年起从事恶意软件及防护技术研究,曾协助公安机关进行多起网络犯罪案件的取证工作;2004年主编信息安全专业本科教材《计算机病毒分析与对抗》(“十一五”规划教材),参编和翻译的著作包括《计算机网络管理实用教程》、《信息安全原理与实践》等。主持多个省部级网络与安全科研项目,并参与多个国家“863”项目与国家自然科学基金项目。目前已发表信息安全方向科研与教学论文近20篇,各类安全技术文章近20篇。研究方向包括恶意代码、网络攻防、软件可信等。 第1章恶意软件事件响应:易失性数据收集与实时Windows系统检查
    引言
    建立实时响应工具包
    测试和验证您的工具
    易失性数据收集方法
    易失性数据的保存
    搜集目标系统详细信息
    识别登录到当前系统的用户
    检查网络连接和活动
    搜集进程信息
    关联开放端口及其活动进程(和程序)
    检查服务和驱动程序
    检查打开的文件
    收集命令的历史记录
    识别共享
    检查计划任务
    收集剪贴板内容
    从实时Windows系统收集非易失性数据
    在实时Windows系统中对存储媒介进行司法复制
    对实时Windows系统的特定数据进行司法保存
    适用于Windows的事件响应工具套件
    WindowsForensicToolchest
    从实时Windows系统中检查和提取恶意软件
    小结

    第2章恶意软件事件响应:易失性数据收集与实时Linux系统检查
    引言
    易失性数据收集方法
    Linux上的事件响应工具集
    实时UNIX系统的完整内存转储
    在实时UNIX系统上保存进程内存信息
    获取目标系统的详细信息
    识别出登录到系统的用户
    检查网络连接
    收集进程信息
    /proc目录中的易失性数据
    打开的文件和附属资源
    检查已加载的模块
    收集命令行历史信息
    识别出已安装的共享驱动器
    确定计划任务
    实时Linux系统中的非易失性数据收集
    对实时Linux系统中的存储介质的取证拷贝
    对实时Linux系统中的指定数据进行取证保存
    评估安全配置
    评估主机的信任关系
    收集登录日志和系统日志信息
    小结

    第3章内存取证:分析物理内存和进程内存获取取证线索
    引言
    内存取证方法学
    传统内存分析方法
    Windows内存取证工具
    深入分析内存映像
    活动的、未活动的和隐藏的进程
    Windows内存取证工具机理
    虚拟内存地址
    进程和线程
    恢复提取可执行文件
    提取进程内存数据
    进程内存数据的导出和Windows系统实时分析
    对实时运行的进程进行安全评估
    捕获进程并分析内存
    Linux内存取证分析工具
    进程元数据
    Linux内存取证分析工具机理
    定位内存数据结构
    进程
    其他内存数据结构
    在Linux系统上导出进程内存并进行分析
    系统上的进程活动
    用ps搜集进程信息
    利用lsof识别进程活动
    在/proc中定位可疑进程
    从Jproc目录拷贝可疑可执行文件
    捕获并检测进程内存数据
    用gcore导出核心进程映像
    用Pcat获取进程内存数据
    用Memfetch获取进程内存数据
    用ProcessDumper获取进程内存数据
    其他事项
    小结

    第4章事后取证:从windows系统中搜索并提取恶意软件以及相关线索
    引言
    受害windows系统的司法检查
    时间分析:不仅仅只是一个时间轴
    功能分析:重载一台windows计算机镜像
    关系分析
    关联与重载
    从windows系统中发现并提取恶意软件
    搜索已知的恶意软件
    检查已安装的程序
    检查预取文件
    检查可执行文件
    检查服务、驱动自启动位置以及计划任务
    审查日志
    检查用户账户
    检查文件系统
    检查注册表
    还原点
    关键词搜索
    深入的wlndows系统中的恶意软件发现与提取技术
    定制解药
    小结

    第5章事后取证:从Linux系统中搜索并提取恶意软件以及相关线索
    引言
    从Linux系统上发现和提取恶意软件
    搜索已知的恶意软件
    审查已安装的程序和潜在的可疑可执行文件
    审查自启动区域、配置文件和计划任务
    检查日志
    审查用户账户
    检查文件系统
    关键字搜索
    小结

    第6章法律规范
    引言
    注意事项
    调查机构
    司法机构
    私人调查机构
    调查机构的法定约束
    存储数据
    实时数据
    非内容数据
    受保护数据
    联邦法律
    洲际法律
    数据获取工具
    跨境获得数据
    执法部门介入
    增加被法院受理的机会

    第7章文件识别和构型:Windows系统中可疑文件的初步分析
    引言
    案例:“HotNewVideo!”
    文件构型过程概述
    可执行文件分析
    系统详细信息
    哈希值
    文件相似性索引
    文件特征识别与分类
    反病毒特征码
    提取文件嵌入线索:字符串、符号信息,以及文件元数据
    文件混淆技术:加壳和加密文件的鉴别
    嵌入线索的再提取
    小结

    第8章文件识别和构型:Linux系统上可疑文件的初步分析
    引言
    文件构型过程概述
    分析Linux可执行文件
    可执行文件是如何被编译的
    静态链接vs动态链接
    ……
    第9章Windows平台下可疑软件分析
    第10章Linux平台下可疑程序分析
  • 内容简介:
      旨在提出一套完整的恶意软件取证方法和流程,并以Windows和Linux两种操作系统为平台详细介绍了恶意软件取证过程的5个主要的阶段:易失性数据取证保存和检查、内存检查、硬盘检查、恶意软件静态分析、恶意软件动态分析。《恶意代码取证》可用作高等院校信息安全专业及计算机专业本科生、研究生的教材。同时,对于信息安全特别是网络司法取证学界的广大教师、研究人员以及公安网侦人员,《恶意代码取证》同样是不可多得的重要参考资料。
      网络犯罪是信息时代的产物。近年来随着计算机以及互联网的普及,尤其是各类金融业务通过因特网不断得到拓展,全球的网络犯罪案件迅速增长。如何有效防范并打击网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题,而且是计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。
  • 作者简介:
      JamesM.Aquilina是SttozFriedberg的行政主管兼代理常驻辩护律师,StrozFriedberg是一家专门从事计算机取证,电子数据的保存、分析和生产,计算机欺诈响应,滥用响应以及计算机安全的服务与咨询公司。Aquilina先生为了公司的管理经营及其法律事务的处理而劳心劳力,另外全面负责整个洛杉矶办事处的工作。他曾为政府部门、重要法律部门、公司管理和信息系统等部门指导、完成了很多数字取证和电子侦查任务,处理了很多刑事、民事、管理以及内部的公司纠纷案件,如电子伪造、擦除、大面积删除或其他形式的电子数据窃取,机密信息泄露,通过计算机盗窃商业机密和非法电子监视等。他曾经担任第三方中立专家对电子证据进行法院认可的取证检查。Aquilina先生还带头开展了该公司的在线欺诈和职权滥用调查,并定期组织技术和战略磋商会议,以保护计算机网络免受间谍软件和其他入侵软件、恶意软件和恶意代码、网络欺诈以及其他形式的非法因特网活动的侵害。他博学多知,对僵尸网络、分布式拒绝服务攻击以及其他自动化网络入侵等都有深入了解,这使他能为企业提供解决计算机欺诈和职权滥用事件等问题的咨询和解决方案,以加强其基础设施的保护。
      在加入StrozFriedberg之前,Aquilina先生是美国加利福尼亚州中部地区联邦检察官办公室刑事司的一名助理检察官,在那里他主要负责网络和知识产权犯罪科与计算机和电子通信方面相关的工作。他还担任了洛杉矶电子犯罪特遣部队成员和计算机入侵工作组(一个机构间的网络犯罪响应组织)负责人。在担任助理检察官期间,.Aquilina先生负责调查并监督与计算机入侵犯罪、拒绝服务攻击敲诈、计算机和因特网欺诈、侵权犯罪、盗窃商业机密以及其他涉及盗窃和滥用个人职权等行为相关的起诉案件。Aquilina先生主持参与过很多著名的网络犯罪调查案例,例如美国第一例起诉利用僵尸网络进行牟利的犯罪案例,“地下僵尸管理者”通过转卖其所控制的受感染计算机大军用以发动攻击、发送垃圾邮件或秘密安装广告软件来牟利:他曾推进陪审团就第一起与数码摄像机使用相关的刑事版权侵犯案件进行定罪;他曾负责监督指导政府对网络犯罪打击活动[OpreationCyberslam](一项国际入侵犯罪调查,主要调查雇佣黑客针对在线商业竞争者进行计算机攻击等犯罪行为)的起诉;他也曾协助美国洛杉矶相关检察机关收集和分析当地恐怖组织的相关电子证据。
      在其于美国联邦检察官办公室工作期间,Aquilina先生同时也任职于重大欺诈和恐怖主义,有组织犯罪科,调查和审判了很多复杂案件,例如他曾审判过一起重大的国税局税务官和会计师联合腐败案件;他曾起诉法国里昂信贷银行欺诈一家现己解散的保险公司的赔偿,并为之昭雪:他还以勒索和绑架罪审判过一个亚美尼亚有组织犯罪集团。随着2001年9月11日袭击事件的发生,Aquilina先生开始协助联邦调查局紧急行动中心法律科的组建和运作。
      Aquilina先生在从事公共服务之前,曾在纽约的Richards、Spears、Kibbe&Orbe律师事务所工作,当时主要负责解决联邦白领工作问题和纽约州的刑事、管理问题。Aquilina先生也曾担任过十分受人尊敬的加利福尼亚州南部的美国地方法院法官IrmaE.Gonzalez的法律助理。他是乔治敦大学的优秀学士,美国加利福尼亚大学伯克利分校法学院的法学博士,当时他还是理查德厄斯金的学术研究员,担任了《加利福尼亚州法律审查》(califomiaLawReview)的文章编辑和执行委员会成员。
      他目前担任国际电子商务顾问理事会(电子商务理事会)网络法律问题的名誉理事会会员,该组织提供CEH(道德黑客认证)和CHFI(黑客法医调查员认证)认证,引领世界各地的安全行业专家。
      EoghanCasey是一位事件响应和数字取证分析专家,经常在大面积的调查范围(包括国际范围内的网络入侵)内开展安全漏洞响应和数字证据分析工作。他在数字取证方面有丰富的经验,能够根据安全漏洞响应确定计算机入侵的起源、性质和范围,并利用取证与安全技术来维护受害网络的安全。他曾研究过数百种数字取证过程中可获得的证据,包括电子邮件和文件服务器、手持设备、备份磁带、数据库系统和网络日志等。
      Casey先生是其研究领域的权威,经常在美国和国外相关专业杂志或会议上撰写相关论文并发表演讲,如数字取证研究研讨会、高科技犯罪调查协会、搜索、IT安全和Infragard等会议。他曾编写了一本十分流行的教科书:《数字取证和计算机犯罪:取证科学、计算机与网络》(学术出版社,2004年)。他还是《计算机犯罪调查手册》的编辑,并且合著过《儿童剥削和色情调查》一书。Casey先生现在担任国际期刊《调查取证》的总编辑,该期刊按季度出版数字取证和事件响应方面的文章。
      作为StrozFriedberg的数字取证调查总指导,Casey与其他人一起管理该公司在计算机取证、计算机犯罪响应和紧急事件响应领域的技术业务。此外,他还积极参与待审民事和刑事案件的作证,并提交专家报告以为计算机和网络犯罪案件的审判而向大陪审团作证。Casey先生还带头开展StrozFriedberg公司外部和内部的各种取证培训项目并担任培训负责人。
      在Casey到StrozFriedberg公司工作之前,他曾作为顾问在许多涉及与凶杀、剥削儿童和其他类型案件相关的网上犯罪活动和数字证据的刑事调查中协助执法部门办案。Casev于1999年至2002年间曾在耶鲁大学担任信息安全主管,并在后续咨询工作中负责脆弱性评估,处理关键安全漏洞,部署和维护入侵检测系统、防火墙和重要的公共基础设施,制定相关政策、规程和教育项目。自1996年以来。Casey先生一直通过在线和实地训练的方式提供培训服务,其课程涵盖了数字取证、事故响应和入侵调查。Casey先生于1991—1995年间还曾在美国航天局的极端紫外线探测卫星项目中担任高级研究助理和卫星操作员,负责编写与自动执行日常、安全性要求很高的卫星操纵流程相关的计算机程序,建立并维护一个Sybase的sQL数据库。
      Casey先生毕业于加州大学伯克利分校的机械工程专业,并获得纽约大学教育传播与技术专业硕士学位。
      CameronH.Malin是联邦调查局分配给美国加利福尼亚州洛杉矶的网络重案组的特别代理,主要负责调查计算机入侵和恶意代码等问题。
      Malin先生是一位通过国际电子商务顾问理事会(电子商务理事会)认证的道德黑客(CEH认证),是一位通过国际信息系统安全认证协会(“(ISC)2”)认证的信息系统安装专家(CISSP),还是一位通过SANS研究机构认证的资深逆向工程恶意软件分析专家、资深系统入侵分析员、资深故障处理员和资深取证分析员。
      Malin先生目前是数字取证国际期刊(UDE)的编委会成员和信息保障技术分析中心(IATAC)的主题专栏专家。
      就职于美国联邦调查局之前,Malin曾是佛罗里达州迈阿密的国家检察官助理(ASA)和美国司法部长特别助理,专门从事计算机犯罪的起诉。在其作为国家检察官助理的任职期间,Malin先生也担任了乔治华盛顿大学的硕士课程《计算机欺诈调查》的助理教授。
      本书中由CameronMatin所提及的相关技术、工具、方法、观点和意见都仅代表其个人意见,并不代表美国司法部、联邦调查局,甚至美国政府。联邦政府或者任何联邦机构不以任何方式对此书或其内容进行支持。
      译者简介:
      彭国军,男,1979年11月生,湖北荆州人。武汉大学计算机学院教师、信息安全博士。2001年起从事恶意软件及防护技术研究,曾协助公安机关进行多起网络犯罪案件的取证工作;2004年主编信息安全专业本科教材《计算机病毒分析与对抗》(“十一五”规划教材),参编和翻译的著作包括《计算机网络管理实用教程》、《信息安全原理与实践》等。主持多个省部级网络与安全科研项目,并参与多个国家“863”项目与国家自然科学基金项目。目前已发表信息安全方向科研与教学论文近20篇,各类安全技术文章近20篇。研究方向包括恶意代码、网络攻防、软件可信等。
  • 目录:
    第1章恶意软件事件响应:易失性数据收集与实时Windows系统检查
    引言
    建立实时响应工具包
    测试和验证您的工具
    易失性数据收集方法
    易失性数据的保存
    搜集目标系统详细信息
    识别登录到当前系统的用户
    检查网络连接和活动
    搜集进程信息
    关联开放端口及其活动进程(和程序)
    检查服务和驱动程序
    检查打开的文件
    收集命令的历史记录
    识别共享
    检查计划任务
    收集剪贴板内容
    从实时Windows系统收集非易失性数据
    在实时Windows系统中对存储媒介进行司法复制
    对实时Windows系统的特定数据进行司法保存
    适用于Windows的事件响应工具套件
    WindowsForensicToolchest
    从实时Windows系统中检查和提取恶意软件
    小结

    第2章恶意软件事件响应:易失性数据收集与实时Linux系统检查
    引言
    易失性数据收集方法
    Linux上的事件响应工具集
    实时UNIX系统的完整内存转储
    在实时UNIX系统上保存进程内存信息
    获取目标系统的详细信息
    识别出登录到系统的用户
    检查网络连接
    收集进程信息
    /proc目录中的易失性数据
    打开的文件和附属资源
    检查已加载的模块
    收集命令行历史信息
    识别出已安装的共享驱动器
    确定计划任务
    实时Linux系统中的非易失性数据收集
    对实时Linux系统中的存储介质的取证拷贝
    对实时Linux系统中的指定数据进行取证保存
    评估安全配置
    评估主机的信任关系
    收集登录日志和系统日志信息
    小结

    第3章内存取证:分析物理内存和进程内存获取取证线索
    引言
    内存取证方法学
    传统内存分析方法
    Windows内存取证工具
    深入分析内存映像
    活动的、未活动的和隐藏的进程
    Windows内存取证工具机理
    虚拟内存地址
    进程和线程
    恢复提取可执行文件
    提取进程内存数据
    进程内存数据的导出和Windows系统实时分析
    对实时运行的进程进行安全评估
    捕获进程并分析内存
    Linux内存取证分析工具
    进程元数据
    Linux内存取证分析工具机理
    定位内存数据结构
    进程
    其他内存数据结构
    在Linux系统上导出进程内存并进行分析
    系统上的进程活动
    用ps搜集进程信息
    利用lsof识别进程活动
    在/proc中定位可疑进程
    从Jproc目录拷贝可疑可执行文件
    捕获并检测进程内存数据
    用gcore导出核心进程映像
    用Pcat获取进程内存数据
    用Memfetch获取进程内存数据
    用ProcessDumper获取进程内存数据
    其他事项
    小结

    第4章事后取证:从windows系统中搜索并提取恶意软件以及相关线索
    引言
    受害windows系统的司法检查
    时间分析:不仅仅只是一个时间轴
    功能分析:重载一台windows计算机镜像
    关系分析
    关联与重载
    从windows系统中发现并提取恶意软件
    搜索已知的恶意软件
    检查已安装的程序
    检查预取文件
    检查可执行文件
    检查服务、驱动自启动位置以及计划任务
    审查日志
    检查用户账户
    检查文件系统
    检查注册表
    还原点
    关键词搜索
    深入的wlndows系统中的恶意软件发现与提取技术
    定制解药
    小结

    第5章事后取证:从Linux系统中搜索并提取恶意软件以及相关线索
    引言
    从Linux系统上发现和提取恶意软件
    搜索已知的恶意软件
    审查已安装的程序和潜在的可疑可执行文件
    审查自启动区域、配置文件和计划任务
    检查日志
    审查用户账户
    检查文件系统
    关键字搜索
    小结

    第6章法律规范
    引言
    注意事项
    调查机构
    司法机构
    私人调查机构
    调查机构的法定约束
    存储数据
    实时数据
    非内容数据
    受保护数据
    联邦法律
    洲际法律
    数据获取工具
    跨境获得数据
    执法部门介入
    增加被法院受理的机会

    第7章文件识别和构型:Windows系统中可疑文件的初步分析
    引言
    案例:“HotNewVideo!”
    文件构型过程概述
    可执行文件分析
    系统详细信息
    哈希值
    文件相似性索引
    文件特征识别与分类
    反病毒特征码
    提取文件嵌入线索:字符串、符号信息,以及文件元数据
    文件混淆技术:加壳和加密文件的鉴别
    嵌入线索的再提取
    小结

    第8章文件识别和构型:Linux系统上可疑文件的初步分析
    引言
    文件构型过程概述
    分析Linux可执行文件
    可执行文件是如何被编译的
    静态链接vs动态链接
    ……
    第9章Windows平台下可疑软件分析
    第10章Linux平台下可疑程序分析
查看详情
系列丛书 / 更多
恶意代码取证
完美口令:菜鸟也能防黑客
[美]伯内特 著;陈萍 译
恶意代码取证
V1sta信息安全
[美]查芬 著;沈晴霓、卿斯汉 译
恶意代码取证
僵尸网络
[美]席勒 著;邢健、党开放、刘孜文 译
恶意代码取证
开放资源安全工具实践
[美]奥尔德 著;傅建明 译
恶意代码取证
Vista安全管理
[印度]巴德瓦杰 著;王祺 译
恶意代码取证
免费保护你的网络
[美]西格伦 著;张骏温、贾卓生 译
恶意代码取证
网络安全保护
[加拿大]克劳斯 著;贾军保 译
恶意代码取证
Oracle安全实践:来自第三方的关系型数据库安全指南
[美]肖尔 著;李桢 译
恶意代码取证
虚拟安全:沙盒、灾备、高可用性、取证分析和蜜罐
[美]胡普斯 著;杨谦、谢志强 译
恶意代码取证
Windows取证分析
[美]Harlan、王智慧、崔孝晨、陆道宏 著
恶意代码取证
计算机安全精要:电子邮件、因特网及无线安全指南
[美]布拉德利 著;罗守山 译
恶意代码取证
无线网络安全
[美]赫尔利 著;杨青 译
相关图书 / 更多
恶意代码取证
恶意诉讼的识别与治理
康宝奇 编
恶意代码取证
恶意的基因
[澳]阎立宏 著
恶意代码取证
恶意
[日]东野圭吾 著;娄美莲 译
恶意代码取证
恶意软件、Rootkit和僵尸网络
[美]Christopher C. Elisan 著;郭涛、章磊、张普含、张翀斌 译
恶意代码取证
恶意代码防范
刘功申、张月国、孟魁 编著
恶意代码取证
恶意传播代码:Windows病毒防护
[美]Roger A.Grimes 著;张
恶意代码取证
恶意的平方
胡正欣 著
恶意代码取证
恶意软件分析与检测
王俊峰 著
恶意代码取证
恶意网络环境下的Linux防御之道
凯尔·兰金(Kyle Rankin) 著;李枫 译
恶意代码取证
恶意欠薪治理机制研究
许杏彬 著
恶意代码取证
恶意代码调查技术/普通高等教育“十一五”国家级规划教材·高等院校信息安全专业系列教材
于晓聪、秦玉海 编
恶意代码取证
恶意之山(精装)
[以]阿摩司·奥兹 著
您可能感兴趣 / 更多
恶意代码取证
性格修正:如何突破你的原生性格
[美]本杰明·哈迪
恶意代码取证
能言善辩:律师职场说服术
[美]玛莎·亨特 著;[美]布莱恩· K. 约翰逊
恶意代码取证
蒙特卡洛之锁:小谜题大逻辑
[美]雷蒙德·斯穆里安(Raymond Smullyan)
恶意代码取证
什么造就了城市:交通拥堵、雾霾污染、贫民窟乱象、阶级割裂等城市困境,是否存在四两拨千斤的解决之道?
[美]乔纳森·罗斯
恶意代码取证
深入理解微电子电路设计——模拟电子技术及应用(原书第5版)(清华开发者书库)
[美]理查德·C.耶格(Richard C.Jaeger) 著
恶意代码取证
KLUTZ手工益智玩具书:外星世界制作黏土橡皮6-8-10岁幼儿DIY手工游戏书培养孩子动手能力
[美]Klutz编辑团队 编;张雪萌 译
恶意代码取证
寻找油气之路--油气显示和封堵性的启示/国外油气勘探开发新进展丛书
[美]约翰·多尔森 著;马朋善、何辉、赵健、刘计国、汪望泉 译
恶意代码取证
对小霸王说不(精)/你不能欺负我
[美]帕蒂·洛弗尔 著;魏凡 译
恶意代码取证
银色大地的传说/纽伯瑞
[美]查尔斯·芬格 著;何静嘉 译
恶意代码取证
我的世界观(科学天才的自画像)
[美]阿尔伯特·爱因斯坦 著;余荃 译
恶意代码取证
神奇树屋(15仙境的小精灵进阶版)/故事系列
[美]玛丽·波·奥斯本 著
恶意代码取证
基于生态系统的海洋管理实践
[美]朱莉娅·M.旺多莱克(Julia M.Wondolleck) 著;相文玺、曹英志、魏莱 译