網絡入侵調查 : 網絡工程師電子數據取證方法 Investigating the Cyber Breach: The Digital Forensics Guide for the Network Engineer

Joseph Muniz

買這商品的人也買了...

相關主題

商品描述

本書是幫助網絡工程師學習數字取證的技術參考指南,
該書內容幫助讀者了解網絡犯罪和當今攻擊的現實;
建立一個數字取證實驗室來測試工具和方法,並獲得專業知識;
發現漏洞時可以採取正確的應對方案;
確定調查的全部範圍和收集、記錄和保存證據和數據;
從PC、Mac、IoT設備和其他端點收集和分析數據;
使用數據包日誌、NetFlow和掃描來構建時間線、了解網絡活動並收集證據;
分析iOS和Android設備,了解與加密相關的調查障礙;
調查和追踪電子郵件,識別欺詐或濫用;
使用Cisco工具和技術收集、提取和分析漏洞數據;
從頭到尾仔細檢查常見的違規行為和應對措施;
為每項任務選擇正確的工具,並探索可能也有幫助的替代方法。

目錄大綱

譯者序
前言
致謝
作者簡介
審校者簡介
第1章電子數據取證 1
1.1 定義電子數據取證 2
1.2 從事取證服務 4
1.3 匯報犯罪活動 6
1.4 搜查令與法律 7
1.5 取證角色 10
1.6 取證就業市場 12
1.7 取證培訓 13
1.8 小結 19
參考文獻 19
第2章網絡犯罪與防禦 20
2.1 數字時代的犯罪 21
2.2 漏洞利用 24
2.3 對手 27
2.4 網絡法 28
2.5 小結 30
參考文獻 31
第3章建立電子數據取證實驗室 32
3.1 桌面虛擬化 32
3.1.1 VMware Fusion 33
3.1.2 VirtualBox 33
3.2 安裝Kali Linux 34
3.3 攻擊虛擬機 40
3.4 Cuckoo沙盒 44
3.4.1 Cuckoo虛擬化軟件 45
3.4.2 安裝TCPdump 46
3.4.3 在VirtualBox上為Cuckoo創建賬戶 46
3.5 Binwalk 47
3.6 The Sleuth Kit 48
3.7 Cisco Snort 49
3.8 Windows 工具 54
3.9 物理訪問控制 55
3.10 存儲取證證據 57
3.11 快速取證背包 59
3.12 小結 60
參考文獻 60
第4章違規應急響應 61
4.1 機構在應急響應中失敗的原因 62
4.2 為網絡事件做好準備 63
4.3 應急響應定義 64
4.4 應急響應計劃 65
4.5 組建應急響應團隊 67
4.5.1 應急響應團隊的介入時機 67
4.5.2 應急響應中容易忽略的事項 70
4.5.3 電話樹和聯繫人列表 70
4.5.4 設施 71
4.6 應急響應 71
4.7 評估事件嚴重性 72
4.8 遵循的通知程序 73
4.9 事件後採取的行動和程序 74
4.10 了解有助於應對違規事件的軟件 74
4.10.1 趨勢分析軟件 75
4.10.2 安全分析參考架構 75
4.10.3 其他軟件類別 77
4.11 小結 78
參考文獻 78
第5章調查 79
5.1 預調查 79
5.2 開始案件 81
5.3 應急響應人員 84
5.4 設備電源狀態 88
5.5 搜查和扣押 90
5.6 證據保管鏈 94
5.7 網絡調查 96
5.8 取證報告 101
5.8.1 案例摘要 102
5.8.2 獲取和檢查準備 103
5.8.3 發現 103
5.8.4 結論 103
5.8.5 作者列表 104
5.9 結束案件 105
5.10 評判案件 108
5.11 小結 110
參考文獻 111
第6章收集和保全證據 112
6.1 應急響應人員 112
6.2 證據 115
6.2.1 Autopsy 115
6.2.2 授權 116
6.3 硬盤驅動器 117
6.3.1 連接和設備 119
6.3.2 RAID 121
6.4 易失性數據 122
6.4.1 DumpIt 122
6.4.2 LiME 123
6.4.3 Volatility 124
6.5 複製 126
6.5.1 dd 128
6.5.2 dcfldd 129
6.5.3 ddrescue 129
6.5.4 Netcat 130
6.5.5 Guymager 131
6.5.6 壓縮和分片 131
6.6 哈希 133
6.6.1 MD5和SHA哈希 135
6.6.2 哈希挑戰 136
6.7 數據保全 136
6.8 小結 138
參考文獻 138
第7章終端取證 139
7.1 文件系統 140
7.1.1 定位數據 143
7.1.2 未知文件 145
7.1.3 Windows註冊表 147
7.1.4 被刪除的文件 150
7.1.5 Windows回收站 151
7.1.6 快捷方式 154
7.1.7 打印緩衝池 154
7.1.8 鬆弛空間和損壞的簇 156
7.1.9 交換數據流 159
7.2 Mac OS X 161
7.3 日誌分析 164
7.4 物聯網取證 169
7.5 小結 172
參考文獻 172
第8章網絡取證 173
8.1 網絡協議 173
8.2 安全工具 175
8.2.1 防火牆 178
8.2.2 入侵檢測和防禦系統 178
8.2.3 內容過濾器 179
8.2.4 網絡訪問控制 179
8.2.5 數據包捕獲 182
8.2.6 網絡流 183
8.2.7 沙盒 184
8.2.8 蜜罐 186
8.2.9 安全信息和事件管理器 186
8.2.10 威脅分析與提要 187
8.2.11 安全工具總結 187
8.3 安全日誌 187
8.4 網絡基線 191
8.5 威脅徵兆 192
8.5.1 偵察 193
8.5.2 漏洞利用 195
8.5.3 惡意行為 198
8.5.4 信標 200
8.5.5 暴力破解 204
8.5.6 洩露 205
8.5.7 其他指標 208
8.6 小結 209
參考文獻 210
第9章手機取證 211
9.1 移動設備 211
9.2 iOS架構 212
9.3 iTunes取證 214
9.4 iOS快照 216
9.5 如何給iPhone越獄 218
9.6 Android 219
9.7 繞過PIN 222
9.8 使用商業工具取證 224
9.9 通話記錄和短信欺騙 225
9.10 語音郵件繞過 226
9.11 如何找到預付費手機 226
9.12 SIM卡克隆 228
9.13 小結 228
參考文獻 229
第10章郵件和社交媒體 230
10.1 瓶中信 230
10.2 郵件首部 231
10.3 社交媒體 236
10.4 人員搜索 236
10.5 谷歌搜索 240
10.6 Facebook搜索 243
10.7 小結 250
參考文獻 251
第11章思科取證能力 252
11.1 思科安全架構 252
11.2 思科開源工具 254
11.3 思科Firepower 255
11.4 思科高級惡意軟件防護 257
11.5 思科威脅網格 262
11.6 思科Web安全設備 265
11.7 思科認知威脅分析 266
11.8 Meraki 267
11.9 電子郵件安全設備 269
11.10 思科身份識別服務引擎 270
11.11 思科Stealthwatch 273
11.12 思科Tetration 276
11.13 思科保護傘 277
11.14 思科Cloudlock 281
11.15 思科網絡技術 282
11.16 小結 282
參考文獻 283
第12章取證案例場景 284
12.1 場景1:網絡通信調查 284
12.1.1 預定方案 285
12.1.2 網絡數據調查策略 286
12.1.3 調查 288
12.1.4 結束調查 293
12.2 場景2:正在使用的終端設備的取證 294
12.2.1 預定方案 294
12.2.2 終端設備調查策略 295
12.2.3 調查 296
12.2.4 可能採取的步驟 296
12.2.5 結束調查 299
12.3 場景3:惡意軟件調查 300
12.3.1 預定方案 301
12.3.2 惡意文件的調查策略 301
12.3.3 調查 302
12.3.4 結束調查 305
12.4 場景4:易失性數據調查 306
12.4.1 預定方案 306
12.4.2 易失性數據的調查策略 307
12.4.3 調查 307
12.4.4 結束調查 310
12.5 場景5:充當應急響應人員 311
12.5.1 預定方案 311
12.5.2 應急響應人員的策略 311
12.5.3 結束調查 313
12.6 小結 314
參考文獻 315
第13章取證工具 316
13.1 工具 317
13.1.1 Slowloris DDOS工具:第2章 317
13.1.2 Low Orbit Ion Cannon網站壓力測試工具 318
13.1.3 VMware Fusion:第3章 319
13.1.4 VirtualBox:第3章 319
13.1.5 Metasploit:第3章 320
13.1.6 Cuckoo 沙盒:第3章 321
13.1.7 Cisco Snort:第3章 321
13.1.8 FTK Imager:第3章、第9章 322
13.1.9 FireEye Redline:第3章 323
13.1.10 P2 eXplorer:第3章 324
13.1.11 PlainSight:第3章 324
13.1.12 Sysmon:第3章 324
13.1.13 WebUtil:第3章 325
13.1.14 ProDiscover Basics:第3章 325
13.1.15 Solarwinds Trend Analysis Module:第4章 325
13.1.16 Splunk:第4章 326
13.1.17 RSA Security Analytics:第4章 327
13.1.18 IBM的QRadar:第4章 327
13.1.19 HawkeyeAP:第4章 327
13.1.20 WinHex:第6章、第7章 328
13.1.21 OSForensics:第6章 328
13.1.22 Mount Image Pro:第6章 329
13.1.23 DumpIt:第6章 329
13.1.24 LiME:第6章 329
13.1.25 TrIDENT:第7章 329
13.1.26 PEiD:第7章 330
13.1.27 Lnkanalyser:第7章 330
13.1.28 Windows File Analyzer:第7章 330
13.1.29 LECmd:第7章 331
13.1.30 SplViewer:第7章 332
13.1.31 PhotoRec:第7章 332
13.1.32 Windows事件日誌:第7章 333
13.1.33 Log Parser Studio:第7章 334
13.1.34 LogRhythm:第8章 334
13.2 移動設備 334
13.2.1 Elcomsoft:第9章 334
13.2.2 Cellebrite:第9章 335
13.2.3 iPhone Backup Extractor:第9章 335
13.2.4 iPhone Backup Browser:第9章 335
13.2.5 Pangu:第9章 335
13.2.6 KingoRoot Application:第9章 335
13.3 Kali Linux工具 336
13.3.1 Fierce:第8章 336
13.3.2 TCPdump:第3章 336
13.3.3 Autopsy和使用Sleuth Kit的Autopsy:第3章、第6章 336
13.3.4 Wireshark:第8章 336
13.3.5 Exiftool:第7章 337
13.3.6 dd:第6章 337
13.3.7 dcfldd:第6章 338
13.3.8 ddrescue:第6章 338
13.3.9 Netcat:第6章 338
13.3.10 Volatility:第6章 338
13.4 思科工具 338
13.4.1 思科AMP 338
13.4.2 Stealthwatch:第8章 339
13.4.3 思科WebEx:第4章 339
13.4.4 Snort:第11章 339
13.4.5 ClamAV:第10章 339
13.4.6 Razorback:第10章 340
13.4.7 Daemonlogger:第11章 340
13.4.8 Moflow Framework:第10章 340
13.4.9 Firepower:第10章 340
13.4.10 Threat Grid:第10章 340
13.4.11 WSA:第10章 340
13.4.12 Meraki:第10章 341
13.4.13 Email Security:第10章 341
13.4.14 ISE:第10章 341
13.4.15 思科Tetration:第10章 341
13.4.16 Umbrella:第10章 341
13.4.17 Norton ConnectSafe:前面未提及 342
13.4.18 Cloudlock:第10章 343
13.5 取證軟件包 343
13.5.1 FTK Toolkit:第3章 343
13.5.2 X-Ways Forensics:第3章 343
13.5.3 OSforensics:第6章 343
13.5.4 EnCase:第7章 344
13.5.5 Digital Forensics Framework(DFF):第7章 344
13.6 有用的網站 344
13.6.1 Shodan:第1章 344
13.6.2 Wayback Machine:第3章 345
13.6.3 Robot.txt 文件:第2章 345
13.6.4 Hidden Wiki:第2章 345
13.6.5 NIST:第4章 345
13.6.6 CVE:第4章 345
13.6.7 Exploit-DB:第4章 346
13.6.8 Pastebin:第4章、第10章 346
13.6.9 賓夕法尼亞大學證據保管鍊錶格:第6章 346
13.6.10 文件簽名列表:第9章 347
13.6.11 Windows註冊表取證Wiki:第7章 347
13.6.12 Mac OS取證Wiki:第7章 347
13.7 雜項網站 347
13.7.1 可搜索的FCC ID 數據庫 347
13.7.2 服務名稱和傳輸協議端口號註冊表 348
13.7.3 NetFlow版本9流記錄格式 348
13.7.4 NMAP 348
13.7.5 Pwnable 348
13.7.6 Embedded Security CTF 348
13.7.7 CTF Learn 349
13.7.8 Reversing.Kr 349
13.7.9 Hax Tor 349
13.7.10 W3Challs 349
13.7.11 RingZer0 Team Online CTF 349
13.7.12 Hellbound Hackers 350
13.7.13 Over the Wire 350
13.7.14 Hack This Site 350
13.7.15 VulnHub 350
13.7.16 Application Security Challenge 350
13.7.17 iOS技術概述 351
13.8 小結 351
技術縮略語表 352