網(wǎng)絡(luò)入侵調(diào)查:網(wǎng)絡(luò)工程師電子數(shù)據(jù)取證方法
定 價:149 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:約瑟夫·穆尼茲(Joseph Muniz)
- 出版時間:2022/7/1
- ISBN:9787111707615
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:D918.4
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書是幫助網(wǎng)絡(luò)工程師學(xué)習(xí)數(shù)字取證的技術(shù)參考指南,該書內(nèi)容幫助讀者了解網(wǎng)絡(luò)犯罪和當今攻擊的現(xiàn)實;建立一個數(shù)字取證實驗室來測試工具和方法,并獲得專業(yè)知識;發(fā)現(xiàn)漏洞時可以采取正確的應(yīng)對方案;確定調(diào)查的全部范圍和收集、記錄和保存證據(jù)和數(shù)據(jù);從PC、Mac、IoT設(shè)備和其他端點收集和分析數(shù)據(jù);使用數(shù)據(jù)包日志、NetFlow和掃描來構(gòu)建時間線、了解網(wǎng)絡(luò)活動并收集證據(jù);分析iOS和Android設(shè)備,了解與加密相關(guān)的調(diào)查障礙;調(diào)查和追蹤電子郵件,識別欺詐或濫用;使用Cisco工具和技術(shù)收集、提取和分析漏洞數(shù)據(jù);從頭到尾仔細檢查常見的違規(guī)行為和應(yīng)對措施;為每項任務(wù)選擇正確的工具,并探索可能也有幫助的替代方法。
1.本書由資深網(wǎng)絡(luò)安全專家和行業(yè)安全架構(gòu)領(lǐng)導(dǎo)者聯(lián)袂撰寫;
2.本書闡述了識別網(wǎng)絡(luò)攻擊者的*新技術(shù),利用開源技術(shù)和專業(yè)工具,構(gòu)成完整技術(shù)鏈,跟蹤網(wǎng)絡(luò)威脅、分析漏洞、監(jiān)控網(wǎng)絡(luò),達到根除潛在惡意軟件,有效反擊網(wǎng)絡(luò)破壞的行為,該書是一本網(wǎng)絡(luò)入侵調(diào)查取證的方法指南。
本書面向網(wǎng)絡(luò)工程師、安全專業(yè)人員和紅藍團隊成員,展現(xiàn)電子數(shù)據(jù)取證的世界。盡管他們的日常工作與取證無關(guān),但是理解電子數(shù)據(jù)取證的概念,包括取證調(diào)查人員用以提高網(wǎng)絡(luò)和機構(gòu)安全性并更加迅速、有效地應(yīng)對攻擊破壞和安全事件的工具與方法,將讓他們獲益良多。
對大多數(shù)機構(gòu)來說,問題不是是否會被攻擊,而是何時被攻擊。當網(wǎng)絡(luò)安全事件發(fā)生時,你能夠提供適當?shù)膽?yīng)對措施嗎?你能收集到對潛在的法律訴訟有用的證據(jù)嗎?你能通過搜集犯罪團伙留下的電子數(shù)據(jù)解釋到底發(fā)生了什么嗎?電子數(shù)據(jù)取證可以幫助你處理這些問題,以及作為網(wǎng)絡(luò)工程師可能遇到的其他情況。
誰需要讀這本書
本書介紹了日常生活中數(shù)據(jù)泄露和安全事件的各種調(diào)查場景。如果網(wǎng)絡(luò)工程師、系統(tǒng)管理員、安全工程師或者安全分析師想了解更多關(guān)于電子數(shù)據(jù)取證的知識,并學(xué)習(xí)如何開展調(diào)查、編寫文檔和提供證據(jù),以及使用業(yè)界認可的工具,那么應(yīng)該閱讀本書。
本書中大多數(shù)工具和實例都是開源的,通過簡化建設(shè)取證實驗室的需求,來嘗試完成書中提出的目標。盡管任何技術(shù)水平的讀者都可以從本書中受益,但是建議讀者具有網(wǎng)絡(luò)和安全技術(shù)方面的基礎(chǔ)。本書不會讓你成為取證調(diào)查人員,但是它能夠為你從事電子數(shù)據(jù)取證工作奠定堅實的基礎(chǔ),或者為其他工程師提供取證技術(shù)方面的幫助。
本書的組織結(jié)構(gòu)
第1章:本章介紹了電子數(shù)據(jù)取證的歷史與演變,闡述了研究電子數(shù)據(jù)取證的價值以及進行調(diào)查的益處,探討了調(diào)查人員在機構(gòu)內(nèi)部和作為外部第三方成員所扮演的不同角色,以及何時自行進行調(diào)查,何時需要外部第三方進行調(diào)查。閱讀本章可以初步認識電子數(shù)據(jù)取證。
第2章:本章展現(xiàn)了網(wǎng)絡(luò)犯罪的世界,涵蓋了網(wǎng)絡(luò)犯罪的要素,其中包括網(wǎng)絡(luò)犯罪類型、網(wǎng)絡(luò)犯罪分子如何牟利以及他們參與的攻擊類型。本章強調(diào)了為何電子數(shù)據(jù)取證調(diào)查人員需要精通多種類型的攻擊才能正確識別攻擊和進行調(diào)查。
第3章:本章闡述了如何建立一個實驗室,并在實驗室中測試本書中討論的工具和方法。使用本書中介紹的工具進行練習(xí),讀者不僅能夠領(lǐng)會專業(yè)知識和樹立信心,而且能夠獲得對本書中相關(guān)概念的實踐經(jīng)驗。
第4章:攻擊破壞已經(jīng)發(fā)生,要求對安全事件做出響應(yīng)。那么你應(yīng)當采取何種應(yīng)對措施?如何準備應(yīng)急響應(yīng)和取證調(diào)查?本章可幫助你準備應(yīng)對數(shù)據(jù)泄露時所需的知識。
第5章:在確認發(fā)生了攻擊破壞或者安全事件后,現(xiàn)在需要進行電子數(shù)據(jù)取證調(diào)查。本章討論在調(diào)查生命周期中使用的特定方法,包括如何確定調(diào)查的全部范圍以及在調(diào)查事件時你所扮演的角色。
第6章:在調(diào)查過程中,需要收集和保全證據(jù)。證據(jù)規(guī)范、保管鏈和程序文件將決定調(diào)查的成敗。本章主要探討如何正確收集、記錄、保全證據(jù)及電子數(shù)據(jù)。
第7章:本章探討如何對終端的數(shù)據(jù)進行調(diào)查、收集和分析。目前,終端包括PC、Mac、物聯(lián)網(wǎng)(IoT)和其他常見設(shè)備,本章闡述了調(diào)查這些終端設(shè)備所使用的具體技術(shù)以及它們產(chǎn)生的數(shù)據(jù)。
第8章:網(wǎng)絡(luò)數(shù)據(jù)包日志、網(wǎng)絡(luò)流和掃描為電子數(shù)據(jù)取證調(diào)查人員提供了豐富的信息。電子數(shù)據(jù)取證調(diào)查人員能夠準確地建立安全事件時間表,了解攻擊破壞活動,并收集相關(guān)證據(jù)。本章探討了電子數(shù)據(jù)取證專家用來調(diào)查網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的具體技術(shù)。
第9章:本章介紹了手機取證和分析,探討了用于分析iOS和Android設(shè)備的最新技術(shù),以及最新手機操作系統(tǒng)中的加密技術(shù)對取證和分析造成的阻礙。
第10章:本章介紹了對電子郵件和社交媒體通信的調(diào)查。從檢查郵件頭分析開始,通過不同的系統(tǒng)追蹤電子郵件,分辨出欺詐或者濫用的跡象。深入認識社交媒體,了解如何圍繞一個人或者網(wǎng)上虛擬身份進行網(wǎng)上調(diào)查。
第11章:書中包含思科公司特定的工具和技術(shù),網(wǎng)絡(luò)工程師可以使用這些工具和技術(shù)來協(xié)助開展電子數(shù)據(jù)取證。本章重點介紹可以從思科公司的產(chǎn)品中收集到哪些信息,以及如何提取和分析這些數(shù)據(jù)。
第12章:本章主要對學(xué)習(xí)本書獲得的知識和技能進行實踐。我們通過模擬調(diào)查場景,詳細描述如何使用本書中介紹的工具和技術(shù)來進行調(diào)查。
第13章:本章匯集了本書中提到的所有工具,并對一些工具重新進行了介紹,以便更好地理解何時使用它們。本章還提到了許多在調(diào)查過程中可能很有價值的替代工具。
譯者序
前言
致謝
作者簡介
審校者簡介
第1章 電子數(shù)據(jù)取證 1
1.1 定義電子數(shù)據(jù)取證 2
1.2 從事取證服務(wù) 4
1.3 匯報犯罪活動 6
1.4 搜查令與法律 7
1.5 取證角色 10
1.6 取證就業(yè)市場 12
1.7 取證培訓(xùn) 13
1.8 小結(jié) 19
參考文獻 19
第2章 網(wǎng)絡(luò)犯罪與防御 20
2.1 數(shù)字時代的犯罪 21
2.2 漏洞利用 24
2.3 對手 27
2.4 網(wǎng)絡(luò)法 28
2.5 小結(jié) 30
參考文獻 31
第3章 建立電子數(shù)據(jù)取證實驗室 32
3.1 桌面虛擬化 32
3.1.1 VMware Fusion 33
3.1.2 VirtualBox 33
3.2 安裝Kali Linux 34
3.3 攻擊虛擬機 40
3.4 Cuckoo沙盒 44
3.4.1 Cuckoo虛擬化軟件 45
3.4.2 安裝TCPdump 46
3.4.3 在VirtualBox上為Cuckoo創(chuàng)建賬戶 46
3.5 Binwalk 47
3.6 The Sleuth Kit 48
3.7 Cisco Snort 49
3.8 Windows 工具 54
3.9 物理訪問控制 55
3.10 存儲取證證據(jù) 57
3.11 快速取證背包 59
3.12 小結(jié) 60
參考文獻 60
第4章 違規(guī)應(yīng)急響應(yīng) 61
4.1 機構(gòu)在應(yīng)急響應(yīng)中失敗的原因 62
4.2 為網(wǎng)絡(luò)事件做好準備 63
4.3 應(yīng)急響應(yīng)定義 64
4.4 應(yīng)急響應(yīng)計劃 65
4.5 組建應(yīng)急響應(yīng)團隊 67
4.5.1 應(yīng)急響應(yīng)團隊的介入時機 67
4.5.2 應(yīng)急響應(yīng)中容易忽略的事項 70
4.5.3 電話樹和聯(lián)系人列表 70
4.5.4 設(shè)施 71
4.6 應(yīng)急響應(yīng) 71
4.7 評估事件嚴重性 72
4.8 遵循的通知程序 73
4.9 事件后采取的行動和程序 74
4.10 了解有助于應(yīng)對違規(guī)事件的軟件 74
4.10.1 趨勢分析軟件 75
4.10.2 安全分析參考架構(gòu) 75
4.10.3 其他軟件類別 77
4.11 小結(jié) 78
參考文獻 78
第5章 調(diào)查 79
5.1 預(yù)調(diào)查 79
5.2 開始案件 81
5.3 應(yīng)急響應(yīng)人員 84
5.4 設(shè)備電源狀態(tài) 88
5.5 搜查和扣押 90
5.6 證據(jù)保管鏈 94
5.7 網(wǎng)絡(luò)調(diào)查 96
5.8 取證報告 101
5.8.1 案例摘要 102
5.8.2 獲取和檢查準備 103
5.8.3 發(fā)現(xiàn) 103
5.8.4 結(jié)論 103
5.8.5 作者列表 104
5.9 結(jié)束案件 105
5.10 評判案件 108
5.11 小結(jié) 110
參考文獻 111
第6章 收集和保全證據(jù) 112
6.1 應(yīng)急響應(yīng)人員 112
6.2 證據(jù) 115
6.2.1 Autopsy 115
6.2.2 授權(quán) 116
6.3 硬盤驅(qū)動器 117
6.3.1 連接和設(shè)備 119
6.3.2 RAID 121
6.4 易失性數(shù)據(jù) 122
6.4.1 DumpIt 122
6.4.2 LiME 123
6.4.3 Volatility 124
6.5 復(fù)制 126
6.5.1 dd 128
6.5.2 dcfldd 129
6.5.3 ddrescue 129
6.5.4 Netcat 130
6.5.5 Guymager 131
6.5.6 壓縮和分片 131
6.6 哈希 133
6.6.1 MD5和SHA哈希 135
6.6.2 哈希挑戰(zhàn) 136
6.7 數(shù)據(jù)保全 136
6.8 小結(jié) 138
參考文獻 138
第7章 終端取證 139
7.1 文件系統(tǒng) 140
7.1.1 定位數(shù)據(jù) 143
7.1.2 未知文件 145
7.1.3 Windows注冊表 147
7.1.4 被刪除的文件 150
7.1.5 Windows回收站 151
7.1.6 快捷方式 154
7.1.7 打印緩沖池 154
7.1.8 松弛空間和損壞的簇 156
7.1.9 交換數(shù)據(jù)流 159
7.2 Mac OS X 161
7.3 日志分析 164
7.4 物聯(lián)網(wǎng)取證 169
7.5 小結(jié) 172
參考文獻 172
第8章 網(wǎng)絡(luò)取證 173
8.1 網(wǎng)絡(luò)協(xié)議 173
8.2 安全工具 175
8.2.1 防火墻 178
8.2.2 入侵檢測和防御系統(tǒng) 178
8.2.3 內(nèi)容過濾器 179
8.2.4 網(wǎng)絡(luò)訪問控制 179
8.2.5 數(shù)據(jù)包捕獲 182
8.2.6 網(wǎng)絡(luò)流 183
8.2.7 沙盒 184
8.2.8 蜜罐 186
8.2.9 安全信息和事件管理器 186
8.2.10 威脅分析與提要 187
8.2.11 安全工具總結(jié) 187
8.3 安全日志 187
8.4 網(wǎng)絡(luò)基線 191
8.5 威脅征兆 192
8.5.1 偵察 193
8.5.2 漏洞利用 195
8.5.3 惡意行為 198
8.5.4 信標 200
8.5.5 暴力破解 204
8.5.6 泄露 205
8.5.7 其他指標 208
8.6 小結(jié) 209
參考文獻 210
第9章 手機取證 211
9.1 移動設(shè)備 211
9.2 iOS架構(gòu) 212
9.3 iTunes取證 214
9.4 iOS快照 216
9.5 如何給iPhone越獄 218
9.6 Android 219
9.7 繞過PIN 222
9.8 使用商業(yè)工具取證 224
9.9 通話記錄和短信欺騙 225
9.10 語音郵件繞過 226
9.11 如何找到預(yù)付費手機 226
9.12 SIM卡克隆 228
9.13 小結(jié) 228
參考文獻 229
第10章 郵件和社交媒體 230
10.1 瓶中信 230
10.2 郵件首部 231
10.3 社交媒體 236
10.4 人員搜索 236
10.5 谷歌搜索 240
10.6 Facebook搜索 243
10.7 小結(jié) 250
參考文獻 251
第11章 思科取證能力 252
11.1 思科安全架構(gòu) 252
11.2 思科