網(wǎng)絡入侵調查:網(wǎng)絡工程師電子數(shù)據(jù)取證方法
定 價:149 元
叢書名:網(wǎng)絡空間安全技術叢書
- 作者:約瑟夫·穆尼茲(Joseph Muniz)
- 出版時間:2022/7/1
- ISBN:9787111707615
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:D918.4
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書是幫助網(wǎng)絡工程師學習數(shù)字取證的技術參考指南���,該書內容幫助讀者了解網(wǎng)絡犯罪和當今攻擊的現(xiàn)實;建立一個數(shù)字取證實驗室來測試工具和方法����,并獲得專業(yè)知識;發(fā)現(xiàn)漏洞時可以采取正確的應對方案�;確定調查的全部范圍和收集、記錄和保存證據(jù)和數(shù)據(jù)����;從PC、Mac�����、IoT設備和其他端點收集和分析數(shù)據(jù)��;使用數(shù)據(jù)包日志����、NetFlow和掃描來構建時間線��、了解網(wǎng)絡活動并收集證據(jù)����;分析iOS和Android設備���,了解與加密相關的調查障礙��;調查和追蹤電子郵件��,識別欺詐或濫用��;使用Cisco工具和技術收集�����、提取和分析漏洞數(shù)據(jù)�����;從頭到尾仔細檢查常見的違規(guī)行為和應對措施�;為每項任務選擇正確的工具����,并探索可能也有幫助的替代方法。
1.本書由資深網(wǎng)絡安全專家和行業(yè)安全架構領導者聯(lián)袂撰寫���;
2.本書闡述了識別網(wǎng)絡攻擊者的*新技術����,利用開源技術和專業(yè)工具�,構成完整技術鏈,跟蹤網(wǎng)絡威脅�、分析漏洞、監(jiān)控網(wǎng)絡�,達到根除潛在惡意軟件,有效反擊網(wǎng)絡破壞的行為��,該書是一本網(wǎng)絡入侵調查取證的方法指南�。
本書面向網(wǎng)絡工程師、安全專業(yè)人員和紅藍團隊成員�����,展現(xiàn)電子數(shù)據(jù)取證的世界���。盡管他們的日常工作與取證無關��,但是理解電子數(shù)據(jù)取證的概念���,包括取證調查人員用以提高網(wǎng)絡和機構安全性并更加迅速��、有效地應對攻擊破壞和安全事件的工具與方法�����,將讓他們獲益良多�。
對大多數(shù)機構來說���,問題不是是否會被攻擊�,而是何時被攻擊�����。當網(wǎng)絡安全事件發(fā)生時��,你能夠提供適當?shù)膽獙Υ胧﹩�����?你能收集到對潛在的法律訴訟有用的證據(jù)嗎�?你能通過搜集犯罪團伙留下的電子數(shù)據(jù)解釋到底發(fā)生了什么嗎�?電子數(shù)據(jù)取證可以幫助你處理這些問題���,以及作為網(wǎng)絡工程師可能遇到的其他情況��。
誰需要讀這本書
本書介紹了日常生活中數(shù)據(jù)泄露和安全事件的各種調查場景��。如果網(wǎng)絡工程師、系統(tǒng)管理員��、安全工程師或者安全分析師想了解更多關于電子數(shù)據(jù)取證的知識�,并學習如何開展調查、編寫文檔和提供證據(jù)����,以及使用業(yè)界認可的工具,那么應該閱讀本書���。
本書中大多數(shù)工具和實例都是開源的��,通過簡化建設取證實驗室的需求���,來嘗試完成書中提出的目標。盡管任何技術水平的讀者都可以從本書中受益��,但是建議讀者具有網(wǎng)絡和安全技術方面的基礎。本書不會讓你成為取證調查人員�����,但是它能夠為你從事電子數(shù)據(jù)取證工作奠定堅實的基礎����,或者為其他工程師提供取證技術方面的幫助。
本書的組織結構
第1章:本章介紹了電子數(shù)據(jù)取證的歷史與演變�,闡述了研究電子數(shù)據(jù)取證的價值以及進行調查的益處,探討了調查人員在機構內部和作為外部第三方成員所扮演的不同角色��,以及何時自行進行調查�����,何時需要外部第三方進行調查�����。閱讀本章可以初步認識電子數(shù)據(jù)取證����。
第2章:本章展現(xiàn)了網(wǎng)絡犯罪的世界,涵蓋了網(wǎng)絡犯罪的要素���,其中包括網(wǎng)絡犯罪類型����、網(wǎng)絡犯罪分子如何牟利以及他們參與的攻擊類型。本章強調了為何電子數(shù)據(jù)取證調查人員需要精通多種類型的攻擊才能正確識別攻擊和進行調查����。
第3章:本章闡述了如何建立一個實驗室,并在實驗室中測試本書中討論的工具和方法�����。使用本書中介紹的工具進行練習�,讀者不僅能夠領會專業(yè)知識和樹立信心��,而且能夠獲得對本書中相關概念的實踐經(jīng)驗�����。
第4章:攻擊破壞已經(jīng)發(fā)生�����,要求對安全事件做出響應����。那么你應當采取何種應對措施�?如何準備應急響應和取證調查�?本章可幫助你準備應對數(shù)據(jù)泄露時所需的知識。
第5章:在確認發(fā)生了攻擊破壞或者安全事件后���,現(xiàn)在需要進行電子數(shù)據(jù)取證調查��。本章討論在調查生命周期中使用的特定方法���,包括如何確定調查的全部范圍以及在調查事件時你所扮演的角色。
第6章:在調查過程中��,需要收集和保全證據(jù)����。證據(jù)規(guī)范、保管鏈和程序文件將決定調查的成敗����。本章主要探討如何正確收集、記錄�、保全證據(jù)及電子數(shù)據(jù)。
第7章:本章探討如何對終端的數(shù)據(jù)進行調查����、收集和分析���。目前,終端包括PC��、Mac����、物聯(lián)網(wǎng)(IoT)和其他常見設備,本章闡述了調查這些終端設備所使用的具體技術以及它們產(chǎn)生的數(shù)據(jù)�。
第8章:網(wǎng)絡數(shù)據(jù)包日志、網(wǎng)絡流和掃描為電子數(shù)據(jù)取證調查人員提供了豐富的信息�����。電子數(shù)據(jù)取證調查人員能夠準確地建立安全事件時間表���,了解攻擊破壞活動,并收集相關證據(jù)�。本章探討了電子數(shù)據(jù)取證專家用來調查網(wǎng)絡和網(wǎng)絡設備的具體技術。
第9章:本章介紹了手機取證和分析��,探討了用于分析iOS和Android設備的最新技術�����,以及最新手機操作系統(tǒng)中的加密技術對取證和分析造成的阻礙。
第10章:本章介紹了對電子郵件和社交媒體通信的調查����。從檢查郵件頭分析開始,通過不同的系統(tǒng)追蹤電子郵件�,分辨出欺詐或者濫用的跡象。深入認識社交媒體��,了解如何圍繞一個人或者網(wǎng)上虛擬身份進行網(wǎng)上調查�����。
第11章:書中包含思科公司特定的工具和技術��,網(wǎng)絡工程師可以使用這些工具和技術來協(xié)助開展電子數(shù)據(jù)取證�����。本章重點介紹可以從思科公司的產(chǎn)品中收集到哪些信息����,以及如何提取和分析這些數(shù)據(jù)。
第12章:本章主要對學習本書獲得的知識和技能進行實踐���。我們通過模擬調查場景�,詳細描述如何使用本書中介紹的工具和技術來進行調查。
第13章:本章匯集了本書中提到的所有工具�,并對一些工具重新進行了介紹,以便更好地理解何時使用它們�。本章還提到了許多在調查過程中可能很有價值的替代工具。
譯者序
前言
致謝
作者簡介
審校者簡介
第1章 電子數(shù)據(jù)取證 1
1.1 定義電子數(shù)據(jù)取證 2
1.2 從事取證服務 4
1.3 匯報犯罪活動 6
1.4 搜查令與法律 7
1.5 取證角色 10
1.6 取證就業(yè)市場 12
1.7 取證培訓 13
1.8 小結 19
參考文獻 19
第2章 網(wǎng)絡犯罪與防御 20
2.1 數(shù)字時代的犯罪 21
2.2 漏洞利用 24
2.3 對手 27
2.4 網(wǎng)絡法 28
2.5 小結 30
參考文獻 31
第3章 建立電子數(shù)據(jù)取證實驗室 32
3.1 桌面虛擬化 32
3.1.1 VMware Fusion 33
3.1.2 VirtualBox 33
3.2 安裝Kali Linux 34
3.3 攻擊虛擬機 40
3.4 Cuckoo沙盒 44
3.4.1 Cuckoo虛擬化軟件 45
3.4.2 安裝TCPdump 46
3.4.3 在VirtualBox上為Cuckoo創(chuàng)建賬戶 46
3.5 Binwalk 47
3.6 The Sleuth Kit 48
3.7 Cisco Snort 49
3.8 Windows 工具 54
3.9 物理訪問控制 55
3.10 存儲取證證據(jù) 57
3.11 快速取證背包 59
3.12 小結 60
參考文獻 60
第4章 違規(guī)應急響應 61
4.1 機構在應急響應中失敗的原因 62
4.2 為網(wǎng)絡事件做好準備 63
4.3 應急響應定義 64
4.4 應急響應計劃 65
4.5 組建應急響應團隊 67
4.5.1 應急響應團隊的介入時機 67
4.5.2 應急響應中容易忽略的事項 70
4.5.3 電話樹和聯(lián)系人列表 70
4.5.4 設施 71
4.6 應急響應 71
4.7 評估事件嚴重性 72
4.8 遵循的通知程序 73
4.9 事件后采取的行動和程序 74
4.10 了解有助于應對違規(guī)事件的軟件 74
4.10.1 趨勢分析軟件 75
4.10.2 安全分析參考架構 75
4.10.3 其他軟件類別 77
4.11 小結 78
參考文獻 78
第5章 調查 79
5.1 預調查 79
5.2 開始案件 81
5.3 應急響應人員 84
5.4 設備電源狀態(tài) 88
5.5 搜查和扣押 90
5.6 證據(jù)保管鏈 94
5.7 網(wǎng)絡調查 96
5.8 取證報告 101
5.8.1 案例摘要 102
5.8.2 獲取和檢查準備 103
5.8.3 發(fā)現(xiàn) 103
5.8.4 結論 103
5.8.5 作者列表 104
5.9 結束案件 105
5.10 評判案件 108
5.11 小結 110
參考文獻 111
第6章 收集和保全證據(jù) 112
6.1 應急響應人員 112
6.2 證據(jù) 115
6.2.1 Autopsy 115
6.2.2 授權 116
6.3 硬盤驅動器 117
6.3.1 連接和設備 119
6.3.2 RAID 121
6.4 易失性數(shù)據(jù) 122
6.4.1 DumpIt 122
6.4.2 LiME 123
6.4.3 Volatility 124
6.5 復制 126
6.5.1 dd 128
6.5.2 dcfldd 129
6.5.3 ddrescue 129
6.5.4 Netcat 130
6.5.5 Guymager 131
6.5.6 壓縮和分片 131
6.6 哈希 133
6.6.1 MD5和SHA哈希 135
6.6.2 哈希挑戰(zhàn) 136
6.7 數(shù)據(jù)保全 136
6.8 小結 138
參考文獻 138
第7章 終端取證 139
7.1 文件系統(tǒng) 140
7.1.1 定位數(shù)據(jù) 143
7.1.2 未知文件 145
7.1.3 Windows注冊表 147
7.1.4 被刪除的文件 150
7.1.5 Windows回收站 151
7.1.6 快捷方式 154
7.1.7 打印緩沖池 154
7.1.8 松弛空間和損壞的簇 156
7.1.9 交換數(shù)據(jù)流 159
7.2 Mac OS X 161
7.3 日志分析 164
7.4 物聯(lián)網(wǎng)取證 169
7.5 小結 172
參考文獻 172
第8章 網(wǎng)絡取證 173
8.1 網(wǎng)絡協(xié)議 173
8.2 安全工具 175
8.2.1 防火墻 178
8.2.2 入侵檢測和防御系統(tǒng) 178
8.2.3 內容過濾器 179
8.2.4 網(wǎng)絡訪問控制 179
8.2.5 數(shù)據(jù)包捕獲 182
8.2.6 網(wǎng)絡流 183
8.2.7 沙盒 184
8.2.8 蜜罐 186
8.2.9 安全信息和事件管理器 186
8.2.10 威脅分析與提要 187
8.2.11 安全工具總結 187
8.3 安全日志 187
8.4 網(wǎng)絡基線 191
8.5 威脅征兆 192
8.5.1 偵察 193
8.5.2 漏洞利用 195
8.5.3 惡意行為 198
8.5.4 信標 200
8.5.5 暴力破解 204
8.5.6 泄露 205
8.5.7 其他指標 208
8.6 小結 209
參考文獻 210
第9章 手機取證 211
9.1 移動設備 211
9.2 iOS架構 212
9.3 iTunes取證 214
9.4 iOS快照 216
9.5 如何給iPhone越獄 218
9.6 Android 219
9.7 繞過PIN 222
9.8 使用商業(yè)工具取證 224
9.9 通話記錄和短信欺騙 225
9.10 語音郵件繞過 226
9.11 如何找到預付費手機 226
9.12 SIM卡克隆 228
9.13 小結 228
參考文獻 229
第10章 郵件和社交媒體 230
10.1 瓶中信 230
10.2 郵件首部 231
10.3 社交媒體 236
10.4 人員搜索 236
10.5 谷歌搜索 240
10.6 Facebook搜索 243
10.7 小結 250
參考文獻 251
第11章 思科取證能力 252
11.1 思科安全架構 252
11.2 思科
書單推薦
