網(wǎng)絡(luò)入侵調(diào)查:網(wǎng)絡(luò)工程師電子數(shù)據(jù)取證方法
定 價(jià):149 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:約瑟夫·穆尼茲(Joseph Muniz)
- 出版時(shí)間:2022/7/1
- ISBN:9787111707615
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:D918.4
- 頁(yè)碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書是幫助網(wǎng)絡(luò)工程師學(xué)習(xí)數(shù)字取證的技術(shù)參考指南,該書內(nèi)容幫助讀者了解網(wǎng)絡(luò)犯罪和當(dāng)今攻擊的現(xiàn)實(shí);建立一個(gè)數(shù)字取證實(shí)驗(yàn)室來(lái)測(cè)試工具和方法,并獲得專業(yè)知識(shí);發(fā)現(xiàn)漏洞時(shí)可以采取正確的應(yīng)對(duì)方案;確定調(diào)查的全部范圍和收集、記錄和保存證據(jù)和數(shù)據(jù);從PC、Mac、IoT設(shè)備和其他端點(diǎn)收集和分析數(shù)據(jù);使用數(shù)據(jù)包日志、NetFlow和掃描來(lái)構(gòu)建時(shí)間線、了解網(wǎng)絡(luò)活動(dòng)并收集證據(jù);分析iOS和Android設(shè)備,了解與加密相關(guān)的調(diào)查障礙;調(diào)查和追蹤電子郵件,識(shí)別欺詐或?yàn)E用;使用Cisco工具和技術(shù)收集、提取和分析漏洞數(shù)據(jù);從頭到尾仔細(xì)檢查常見(jiàn)的違規(guī)行為和應(yīng)對(duì)措施;為每項(xiàng)任務(wù)選擇正確的工具,并探索可能也有幫助的替代方法。
1.本書由資深網(wǎng)絡(luò)安全專家和行業(yè)安全架構(gòu)領(lǐng)導(dǎo)者聯(lián)袂撰寫;
2.本書闡述了識(shí)別網(wǎng)絡(luò)攻擊者的*新技術(shù),利用開源技術(shù)和專業(yè)工具,構(gòu)成完整技術(shù)鏈,跟蹤網(wǎng)絡(luò)威脅、分析漏洞、監(jiān)控網(wǎng)絡(luò),達(dá)到根除潛在惡意軟件,有效反擊網(wǎng)絡(luò)破壞的行為,該書是一本網(wǎng)絡(luò)入侵調(diào)查取證的方法指南。
本書面向網(wǎng)絡(luò)工程師、安全專業(yè)人員和紅藍(lán)團(tuán)隊(duì)成員,展現(xiàn)電子數(shù)據(jù)取證的世界。盡管他們的日常工作與取證無(wú)關(guān),但是理解電子數(shù)據(jù)取證的概念,包括取證調(diào)查人員用以提高網(wǎng)絡(luò)和機(jī)構(gòu)安全性并更加迅速、有效地應(yīng)對(duì)攻擊破壞和安全事件的工具與方法,將讓他們獲益良多。
對(duì)大多數(shù)機(jī)構(gòu)來(lái)說(shuō),問(wèn)題不是是否會(huì)被攻擊,而是何時(shí)被攻擊。當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí),你能夠提供適當(dāng)?shù)膽?yīng)對(duì)措施嗎?你能收集到對(duì)潛在的法律訴訟有用的證據(jù)嗎?你能通過(guò)搜集犯罪團(tuán)伙留下的電子數(shù)據(jù)解釋到底發(fā)生了什么嗎?電子數(shù)據(jù)取證可以幫助你處理這些問(wèn)題,以及作為網(wǎng)絡(luò)工程師可能遇到的其他情況。
誰(shuí)需要讀這本書
本書介紹了日常生活中數(shù)據(jù)泄露和安全事件的各種調(diào)查場(chǎng)景。如果網(wǎng)絡(luò)工程師、系統(tǒng)管理員、安全工程師或者安全分析師想了解更多關(guān)于電子數(shù)據(jù)取證的知識(shí),并學(xué)習(xí)如何開展調(diào)查、編寫文檔和提供證據(jù),以及使用業(yè)界認(rèn)可的工具,那么應(yīng)該閱讀本書。
本書中大多數(shù)工具和實(shí)例都是開源的,通過(guò)簡(jiǎn)化建設(shè)取證實(shí)驗(yàn)室的需求,來(lái)嘗試完成書中提出的目標(biāo)。盡管任何技術(shù)水平的讀者都可以從本書中受益,但是建議讀者具有網(wǎng)絡(luò)和安全技術(shù)方面的基礎(chǔ)。本書不會(huì)讓你成為取證調(diào)查人員,但是它能夠?yàn)槟銖氖码娮訑?shù)據(jù)取證工作奠定堅(jiān)實(shí)的基礎(chǔ),或者為其他工程師提供取證技術(shù)方面的幫助。
本書的組織結(jié)構(gòu)
第1章:本章介紹了電子數(shù)據(jù)取證的歷史與演變,闡述了研究電子數(shù)據(jù)取證的價(jià)值以及進(jìn)行調(diào)查的益處,探討了調(diào)查人員在機(jī)構(gòu)內(nèi)部和作為外部第三方成員所扮演的不同角色,以及何時(shí)自行進(jìn)行調(diào)查,何時(shí)需要外部第三方進(jìn)行調(diào)查。閱讀本章可以初步認(rèn)識(shí)電子數(shù)據(jù)取證。
第2章:本章展現(xiàn)了網(wǎng)絡(luò)犯罪的世界,涵蓋了網(wǎng)絡(luò)犯罪的要素,其中包括網(wǎng)絡(luò)犯罪類型、網(wǎng)絡(luò)犯罪分子如何牟利以及他們參與的攻擊類型。本章強(qiáng)調(diào)了為何電子數(shù)據(jù)取證調(diào)查人員需要精通多種類型的攻擊才能正確識(shí)別攻擊和進(jìn)行調(diào)查。
第3章:本章闡述了如何建立一個(gè)實(shí)驗(yàn)室,并在實(shí)驗(yàn)室中測(cè)試本書中討論的工具和方法。使用本書中介紹的工具進(jìn)行練習(xí),讀者不僅能夠領(lǐng)會(huì)專業(yè)知識(shí)和樹立信心,而且能夠獲得對(duì)本書中相關(guān)概念的實(shí)踐經(jīng)驗(yàn)。
第4章:攻擊破壞已經(jīng)發(fā)生,要求對(duì)安全事件做出響應(yīng)。那么你應(yīng)當(dāng)采取何種應(yīng)對(duì)措施?如何準(zhǔn)備應(yīng)急響應(yīng)和取證調(diào)查?本章可幫助你準(zhǔn)備應(yīng)對(duì)數(shù)據(jù)泄露時(shí)所需的知識(shí)。
第5章:在確認(rèn)發(fā)生了攻擊破壞或者安全事件后,現(xiàn)在需要進(jìn)行電子數(shù)據(jù)取證調(diào)查。本章討論在調(diào)查生命周期中使用的特定方法,包括如何確定調(diào)查的全部范圍以及在調(diào)查事件時(shí)你所扮演的角色。
第6章:在調(diào)查過(guò)程中,需要收集和保全證據(jù)。證據(jù)規(guī)范、保管鏈和程序文件將決定調(diào)查的成敗。本章主要探討如何正確收集、記錄、保全證據(jù)及電子數(shù)據(jù)。
第7章:本章探討如何對(duì)終端的數(shù)據(jù)進(jìn)行調(diào)查、收集和分析。目前,終端包括PC、Mac、物聯(lián)網(wǎng)(IoT)和其他常見(jiàn)設(shè)備,本章闡述了調(diào)查這些終端設(shè)備所使用的具體技術(shù)以及它們產(chǎn)生的數(shù)據(jù)。
第8章:網(wǎng)絡(luò)數(shù)據(jù)包日志、網(wǎng)絡(luò)流和掃描為電子數(shù)據(jù)取證調(diào)查人員提供了豐富的信息。電子數(shù)據(jù)取證調(diào)查人員能夠準(zhǔn)確地建立安全事件時(shí)間表,了解攻擊破壞活動(dòng),并收集相關(guān)證據(jù)。本章探討了電子數(shù)據(jù)取證專家用來(lái)調(diào)查網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的具體技術(shù)。
第9章:本章介紹了手機(jī)取證和分析,探討了用于分析iOS和Android設(shè)備的最新技術(shù),以及最新手機(jī)操作系統(tǒng)中的加密技術(shù)對(duì)取證和分析造成的阻礙。
第10章:本章介紹了對(duì)電子郵件和社交媒體通信的調(diào)查。從檢查郵件頭分析開始,通過(guò)不同的系統(tǒng)追蹤電子郵件,分辨出欺詐或者濫用的跡象。深入認(rèn)識(shí)社交媒體,了解如何圍繞一個(gè)人或者網(wǎng)上虛擬身份進(jìn)行網(wǎng)上調(diào)查。
第11章:書中包含思科公司特定的工具和技術(shù),網(wǎng)絡(luò)工程師可以使用這些工具和技術(shù)來(lái)協(xié)助開展電子數(shù)據(jù)取證。本章重點(diǎn)介紹可以從思科公司的產(chǎn)品中收集到哪些信息,以及如何提取和分析這些數(shù)據(jù)。
第12章:本章主要對(duì)學(xué)習(xí)本書獲得的知識(shí)和技能進(jìn)行實(shí)踐。我們通過(guò)模擬調(diào)查場(chǎng)景,詳細(xì)描述如何使用本書中介紹的工具和技術(shù)來(lái)進(jìn)行調(diào)查。
第13章:本章匯集了本書中提到的所有工具,并對(duì)一些工具重新進(jìn)行了介紹,以便更好地理解何時(shí)使用它們。本章還提到了許多在調(diào)查過(guò)程中可能很有價(jià)值的替代工具。
譯者序
前言
致謝
作者簡(jiǎn)介
審校者簡(jiǎn)介
第1章 電子數(shù)據(jù)取證 1
1.1 定義電子數(shù)據(jù)取證 2
1.2 從事取證服務(wù) 4
1.3 匯報(bào)犯罪活動(dòng) 6
1.4 搜查令與法律 7
1.5 取證角色 10
1.6 取證就業(yè)市場(chǎng) 12
1.7 取證培訓(xùn) 13
1.8 小結(jié) 19
參考文獻(xiàn) 19
第2章 網(wǎng)絡(luò)犯罪與防御 20
2.1 數(shù)字時(shí)代的犯罪 21
2.2 漏洞利用 24
2.3 對(duì)手 27
2.4 網(wǎng)絡(luò)法 28
2.5 小結(jié) 30
參考文獻(xiàn) 31
第3章 建立電子數(shù)據(jù)取證實(shí)驗(yàn)室 32
3.1 桌面虛擬化 32
3.1.1 VMware Fusion 33
3.1.2 VirtualBox 33
3.2 安裝Kali Linux 34
3.3 攻擊虛擬機(jī) 40
3.4 Cuckoo沙盒 44
3.4.1 Cuckoo虛擬化軟件 45
3.4.2 安裝TCPdump 46
3.4.3 在VirtualBox上為Cuckoo創(chuàng)建賬戶 46
3.5 Binwalk 47
3.6 The Sleuth Kit 48
3.7 Cisco Snort 49
3.8 Windows 工具 54
3.9 物理訪問(wèn)控制 55
3.10 存儲(chǔ)取證證據(jù) 57
3.11 快速取證背包 59
3.12 小結(jié) 60
參考文獻(xiàn) 60
第4章 違規(guī)應(yīng)急響應(yīng) 61
4.1 機(jī)構(gòu)在應(yīng)急響應(yīng)中失敗的原因 62
4.2 為網(wǎng)絡(luò)事件做好準(zhǔn)備 63
4.3 應(yīng)急響應(yīng)定義 64
4.4 應(yīng)急響應(yīng)計(jì)劃 65
4.5 組建應(yīng)急響應(yīng)團(tuán)隊(duì) 67
4.5.1 應(yīng)急響應(yīng)團(tuán)隊(duì)的介入時(shí)機(jī) 67
4.5.2 應(yīng)急響應(yīng)中容易忽略的事項(xiàng) 70
4.5.3 電話樹和聯(lián)系人列表 70
4.5.4 設(shè)施 71
4.6 應(yīng)急響應(yīng) 71
4.7 評(píng)估事件嚴(yán)重性 72
4.8 遵循的通知程序 73
4.9 事件后采取的行動(dòng)和程序 74
4.10 了解有助于應(yīng)對(duì)違規(guī)事件的軟件 74
4.10.1 趨勢(shì)分析軟件 75
4.10.2 安全分析參考架構(gòu) 75
4.10.3 其他軟件類別 77
4.11 小結(jié) 78
參考文獻(xiàn) 78
第5章 調(diào)查 79
5.1 預(yù)調(diào)查 79
5.2 開始案件 81
5.3 應(yīng)急響應(yīng)人員 84
5.4 設(shè)備電源狀態(tài) 88
5.5 搜查和扣押 90
5.6 證據(jù)保管鏈 94
5.7 網(wǎng)絡(luò)調(diào)查 96
5.8 取證報(bào)告 101
5.8.1 案例摘要 102
5.8.2 獲取和檢查準(zhǔn)備 103
5.8.3 發(fā)現(xiàn) 103
5.8.4 結(jié)論 103
5.8.5 作者列表 104
5.9 結(jié)束案件 105
5.10 評(píng)判案件 108
5.11 小結(jié) 110
參考文獻(xiàn) 111
第6章 收集和保全證據(jù) 112
6.1 應(yīng)急響應(yīng)人員 112
6.2 證據(jù) 115
6.2.1 Autopsy 115
6.2.2 授權(quán) 116
6.3 硬盤驅(qū)動(dòng)器 117
6.3.1 連接和設(shè)備 119
6.3.2 RAID 121
6.4 易失性數(shù)據(jù) 122
6.4.1 DumpIt 122
6.4.2 LiME 123
6.4.3 Volatility 124
6.5 復(fù)制 126
6.5.1 dd 128
6.5.2 dcfldd 129
6.5.3 ddrescue 129
6.5.4 Netcat 130
6.5.5 Guymager 131
6.5.6 壓縮和分片 131
6.6 哈希 133
6.6.1 MD5和SHA哈希 135
6.6.2 哈希挑戰(zhàn) 136
6.7 數(shù)據(jù)保全 136
6.8 小結(jié) 138
參考文獻(xiàn) 138
第7章 終端取證 139
7.1 文件系統(tǒng) 140
7.1.1 定位數(shù)據(jù) 143
7.1.2 未知文件 145
7.1.3 Windows注冊(cè)表 147
7.1.4 被刪除的文件 150
7.1.5 Windows回收站 151
7.1.6 快捷方式 154
7.1.7 打印緩沖池 154
7.1.8 松弛空間和損壞的簇 156
7.1.9 交換數(shù)據(jù)流 159
7.2 Mac OS X 161
7.3 日志分析 164
7.4 物聯(lián)網(wǎng)取證 169
7.5 小結(jié) 172
參考文獻(xiàn) 172
第8章 網(wǎng)絡(luò)取證 173
8.1 網(wǎng)絡(luò)協(xié)議 173
8.2 安全工具 175
8.2.1 防火墻 178
8.2.2 入侵檢測(cè)和防御系統(tǒng) 178
8.2.3 內(nèi)容過(guò)濾器 179
8.2.4 網(wǎng)絡(luò)訪問(wèn)控制 179
8.2.5 數(shù)據(jù)包捕獲 182
8.2.6 網(wǎng)絡(luò)流 183
8.2.7 沙盒 184
8.2.8 蜜罐 186
8.2.9 安全信息和事件管理器 186
8.2.10 威脅分析與提要 187
8.2.11 安全工具總結(jié) 187
8.3 安全日志 187
8.4 網(wǎng)絡(luò)基線 191
8.5 威脅征兆 192
8.5.1 偵察 193
8.5.2 漏洞利用 195
8.5.3 惡意行為 198
8.5.4 信標(biāo) 200
8.5.5 暴力破解 204
8.5.6 泄露 205
8.5.7 其他指標(biāo) 208
8.6 小結(jié) 209
參考文獻(xiàn) 210
第9章 手機(jī)取證 211
9.1 移動(dòng)設(shè)備 211
9.2 iOS架構(gòu) 212
9.3 iTunes取證 214
9.4 iOS快照 216
9.5 如何給iPhone越獄 218
9.6 Android 219
9.7 繞過(guò)PIN 222
9.8 使用商業(yè)工具取證 224
9.9 通話記錄和短信欺騙 225
9.10 語(yǔ)音郵件繞過(guò) 226
9.11 如何找到預(yù)付費(fèi)手機(jī) 226
9.12 SIM卡克隆 228
9.13 小結(jié) 228
參考文獻(xiàn) 229
第10章 郵件和社交媒體 230
10.1 瓶中信 230
10.2 郵件首部 231
10.3 社交媒體 236
10.4 人員搜索 236
10.5 谷歌搜索 240
10.6 Facebook搜索 243
10.7 小結(jié) 250
參考文獻(xiàn) 251
第11章 思科取證能力 252
11.1 思科安全架構(gòu) 252
11.2 思科