应急响应 计算机犯罪调查2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

应急响应 计算机犯罪调查PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分 初步了解3

第1章 内部情况与外部情况：一次案例研究3

1.1 阻止攻击3

1.2 内部的真实情况4

1.3 结束语14

第2章 应急响应介绍15

2.1 应急响应的目标15

2.2 应急响应方法论16

2.3 事先准备18

2.4 突发事件检测18

2.5 初始响应20

2.6.1 确定响应战略21

致谢21

2.6 响应战略规划21

2.6.2 将响应战略的选择提交管理部门23

2.7 司法鉴定副本23

前言23

2.8 调查24

简介25

2.9 安全措施实现25

2.10 网络监视27

2.10.1 确定监视的位置和方式27

2.10.2 确定监视内容28

2.11 恢复28

2.11.2 选择恢复战略29

2.11.1 考虑受危及的内容29

2.12 报告30

2.13 结束语31

第3章 为应急响应做准备33

3.1 确定重要的资产33

3.2 准备独立主机34

3.2.1 记录重要文件的加密校验和36

3.2.2 增加或启用安全审核记录39

3.2.3 建立主机的防御能力45

3.2.4 备份关键数据46

3.2.5 对用户进行主机安全方面的培训48

3.3.1 安装防火墙和入侵侦测系统49

3.3 网络的准备工作49

3.3.2 在路由器上使用访问控制列表50

3.3.3 创建有助于监视的网络拓扑结构51

3.3.4 对网络流量进行加密52

3.3.5 要求认证53

3.4 确立适当的策略和程序53

3.4.1 确定响应立场54

3.4.2 理解策略帮助调查步骤的方式57

3.4.3 制定可接受的使用策略(AUP)64

3.4.4 设计AUP65

3.4.5 制定应急响应程序67

3.5 创建响应工具包67

3.5.1 响应硬件67

3.5.2 响应软件69

3.5.3 网络监视平台69

3.6 组建应急响应队伍70

3.6.1 确定应急响应队伍的任务70

3.6.2 应急响应队伍的组建71

3.6.3 应急响应培训与专业机构72

3.7 结束语74

第2部分 全力出击77

第4章 调查指导方针77

4.1 进行初步评估77

4.2 突发事件通知清单78

4.2.1 检查网络拓扑结构80

4.2.2 检验策略81

4.3 调查突发事件81

4.3.1 会见人员81

4.3.2 采取实际行动83

4.4 制定响应策略84

4.4.1 确定适当的响应类型84

4.4.2 确定攻击类型85

4.4.3 对受害系统进行分类86

4.4.4 考虑其他影响86

4.4.5 获得管理部门的批准86

4.5 结束语87

第5章 计算机司法鉴定过程89

5.1 学习管理证据90

5.1.2 最佳证据标准91

5.1.1 证据管理中的常见错误91

5.1.3 保管链92

5.2 执行初始响应95

5.2.1 易失的数据95

5.2.2 现场系统检查96

5.3 执行司法鉴定复制98

5.3.1 执行司法鉴定复制的方法99

5.3.2 检查低层系统配置100

5.3.3 执行司法鉴定复制的工具102

5.4 使用Safeback103

5.4.1 创建DOS启动盘104

5.4.2 使用Safeback创建司法鉴定副本107

5.5 使用UNIX实用程序执行司法鉴定复制111

5.5.1 创建UNIX启动盘112

5.5.2 使用dd创建司法鉴定映像112

5.6 使用EnCase114

5.6.1 使用EnCase创建证据文件115

5.6.2 使用EnCase预览证据驱动器116

5.7 执行司法鉴定分析118

5.7.1 进行物理分析119

5.7.2 逻辑分析121

5.7.3 了解证据所在位置122

5.8 结束语129

第6章 学习网络协议并执行俘获和追踪131

6.1 理解TCP／IP132

6.1 封装133

6.2.1 IP报头135

6.2.2 ICP报头140

6.2.3 UDP报头144

6.3 使用嗅探器146

6.4 执行俘获和追踪148

6.5 结束语155

第7章 网络监视的执行157

7.1 为什么要执行网络监视157

7.2 基于网络的证据159

7.3 网络司法鉴定161

7.4 设置您的系统163

7.4.1 确定目的164

7.4.3 选择适当的硬件165

7.4.2 与法律顾问一起进行检查165

7.4.4 选择适当的软件166

7.4.5 监视器的位置和安全性170

7.5 执行监视171

7.5.1 监视Telnet171

7.5.2 监视文件传输协议181

7.5.3 监视Web通信189

7.6 解释网络攻击192

7.7 结束语197

8.1 精英攻击者的目标199

第8章 高级网络监视199

8.1.1 通常免受监视的行为200

8.1.2 难以检测的行为201

8.1.3 难以回放的行为201

8.1.4 难以跟踪到源IP地址的攻击202

8.1.5 使得证据难以收集202

8.1.6 花言巧语地否认203

8.2 ICMP隐蔽通道204

8.2.1 检查ping通信205

8.2.2 识别Loki隐蔽通道208

8.2.3 识别下一代ICMP隐蔽通道213

8.3 无国界的TCP隐蔽通道215

8.3.1 检查无国界TCP会话215

8.3.2 识别无国界TCP隐蔽通道216

8.4 HTTP隐蔽通道218

8.5 检测非法服务器222

8.6 结束语224

第3部分 投入战斗：调查系统227

第9章 对Windows NT／2000的初始响应227

9.1.2 工具包内容228

9.1 创建一个响应工具包228

9.1.1 工具包标签228

9.2 保存在初始响应期间获得的信息231

9.3 在司法鉴定复制之前获得易失的数据233

9.3.1 组织和记录调查结果234

9.3.2 执行一个可信任的cmd.exe235

9.3.3 确定谁登录了系统236

9.3.4 决定打开的端口和监听应用程序237

9.3.5 列出所有运行的进程239

9.3.6 列出当前和最近的连接241

9.3.8 为初始响应编制脚本242

9.3.7 记录在初始响应期间使用的命令242

9.4 执行一次深入的现场响应243

9.4.1 在现场响应期间获得事件日志245

9.4.2 在现场响应期间查看注册表248

9.4.3 获得所有文件的修改、创建和访问时间250

9.4.5 转储系统RAM251

9.5 司法鉴定复制是必须的吗251

9.4.4 获得系统密码251

9.6 结束语252

第10章 调查Windows NT／2000253

10.1 证据驻留在Windows NT／2000系统的哪些地方254

10.2 建立司法鉴定工作站254

10.2.1 检查逻辑文件255

10.2.2 处理密码256

10.2.3 完成初始的低层分析258

10.3 执行一次Windows NT／2000调查258

10.3.1 检查所有相关的日志259

10.3.2 执行关键字搜索267

10.3.3 检查相关文件268

10.3.4 鉴定未授权的用户账号或组285

10.3.5 鉴定“流氓”进程286

10.3.6 寻找异常或隐藏文件286

10.3.7 检查未授权的访问点288

10.3.8 检查Scheduler Service运行的任务292

10.3.9 分析信任关系293

10.3.10 检查安全标识符(SID)293

10.4 文件审核与信息偷窃294

10.5.2 在硬盘驱动器上执行字符串搜索297

10.5 处理即将离职的雇员297

10.5.1 检查搜索历史和使用过的文件297

10.4 结束语298

第11章 对UNIX系统的初始响应301

11.1 创建响应工具包301

11.2 存储初始响应中获得的信息303

11.3 在司法鉴定复制之前获取易失的数据304

11.3.1 执行可信shell305

11.3.2 确定谁登录到系统306

11.3.3 确定运行的进程307

11.3.4 检测可加载的内核模块rootkits309

11.3.5 确定开放端口和监听应用程序311

11.3.6 检查／proc文件系统316

11.3.7 清除您的行踪321

11.4 执行深入的现场响应322

11.4.1 获取所有文件的修改、创建和访问时间322

11.4.3 获取重要的配置文件322

11.4.2 在现场响应中获取系统日志323

11.4.4 转储系统RAM324

11.5 结束语325

第12章 调查UNIX327

12.1 准备查看还原的映像327

12.1.1 启动原有操作系统328

12.1.2 进行初步的低级分析329

12.2 进行UNIX调查329

12.2.1 检查相关日志330

12.2.2 进行关键字搜索336

12.2.3 检查相关文件338

12.2.4 识别未经授权的用户帐号或组345

12.2.5 识别“流氓”进程346

12.2.6 检查未经授权的访问点347

12.2.7 分析信任关系347

12.3 结束语348

第4部分 调查与平台无关的技术351

第13章 调查路由器351

13.1 在断电之前获得易失数据351

13.1.1 建立一个路由器连接352

13.1.2 记录系统时间352

13.1.4 确定路由器的正常运行时间353

13.1.3 确定已登录的人353

13.1.5 确定监听套接字354

13.1.6 存储路由器配置355

13.1.7 检查路由表356

13.1.8 检查接口配置357

13.1.9 查看ARP缓存358

13.2 找出证据358

13.2.1 处理直接危害型突发事件359

13.2.2 处理路由表操纵型突发事件361

13.2.4 处理拒绝服务型攻击362

13.2.3 处理偷取信息型突发事件362

13.3 使用路由器作为响应工具363

13.3.1 理解访问控制列表364

13.3.2 用路由器进行监视366

13.3.3 对DDoS攻击做出响应367

13.4 结束语369

第14章 调查Web攻击事件371

14.1 在关闭系统之前371

14.2.1 研究日志文件372

14.2 找到证据372

14.2.2 调查篡改Web站点网页事件379

14.2.3 调查应用程序级攻击380

14.2.4 确定攻击来源382

14.3 结束语383

第15章 调查应用程序服务器385

15.1 调查域名服务器突发事件385

15.1.1 处理直接攻击386

15.1.2 调查缓存的破坏388

15.2.1 处理直接危害型突发事件389

15.2 调查FTP服务器突发事件389

15.2.2 调查文件存储滥用392

15.3 调查RPC服务突发事件394

15.4 使用在线聊天程序记录调查突发事件395

15.5 处理牵涉Microsoft Office的突发事件396

15.5.1 在Office文档中发现线索396

15.5.2 解密Office文档397

15.6 确定应用程序攻击的来源399

15.7 恢复受危及的应用程序服务器401

15.8 结束语402

16.1 文件是怎样编译的404

16.1.1 静态链接的程序404

16.1.2 动态链接的程序405

16.1.3 使用debug选项编译的程序405

16.1.4 被剥离的(stripped)程序406

16.1.5 用UPX打包的程序407

16.2 黑客工具的静态分析407

第16章 调查黑客工具408

16.2.1 确定文件类型408

16.2.2 查看ASCII和UNICODE字符串409

16.2.3 进行在线搜索412

16.2.4 检查源代码412

16.3 黑客工具的动态分析413

16.3.1 创建沙箱(sandbox)环境413

16.3.2 UNIX系统上的动态分析414

16.3.3 Windows系统上的动态分析425

16.4 结束语429

A.1 调查IP地址433

附录A 在计算机世界中确定身份433

第5部分 附录433

A.1.1 使用nslookup命令434

A.1.2 使用traceroute或tracert命令436

A.1.3 使用Whois数据库438

A.1.4 调查动态IP地址441

A.2 调查MAC地址449

A.3 追踪电子邮件452

A.3.1 追踪假冒邮件454

A.3.2 追踪基于Web的电子邮件456

A.4 调查电子邮件的地址、昵称、用户名以及主机名称460

A.5.1 填写John Doe诉讼461

A.5 通过合法渠道识破匿名者461

A.5.2 将突发事件报告给执法机构462

附录B 信息安全策略和可接受的使用策略465

B.1 信息安全策略所涉及的领域465

B.2 可接受的使用策略466

B.3 可接受的使用策略的示例466

附录C 计算机犯罪条例469

C.1 联邦计算机入侵法469

C.2.3 走私犯罪470

C.2.5 商业机密犯罪470

C.2.4 商标犯罪470

C.2 联邦知识产权法470

C.2.2 版权管理犯罪470

C.2.1 侵犯版权470

C.2.6 有关IP系统完整性的犯罪471

C.2.7 有关滥用传播系统的犯罪471

C.3 商业和贸易法471

附录D 响应组织473