应急响应&计算机司法鉴定（第2版） (2008 年度畅销榜NO.11625 )

新增的和更新的内容如下：
·新增了贯穿全书的真实情景
·收集现场数据和调查Windows和Unix系统的最新方法
·更新了司法鉴定复制的内容
·新增了紧急网络安全监控章节
·新增了公司证据处理流程章节
·新增了数据准备章节，详细说明了硬盘接口和数据存储原则
·新增了数据提取和分析章节
·最新的网络通信分析技术
·调查和评估黑客工具的最新方法

第1部分 简 介

第1章 现实生活中的突发事件

1.1 影响响应的因素
1.2 跨国犯罪
1.2.1 欢迎来到Invita
1.2.2 PathStar阴谋
1.3 传统的黑客行为
1.4 小结

第2章 应急响应过程简介

2.1 计算机安全事件的意义
2.2 应急响应的目标
2.3 应急响应小组参与人员
2.4 应急响应方法
2.4.1 事前准备
2.4.2 发现事件
2.4.3 初始响应
2.4.4 制定响应策略
2.4.5 调查事件
2.4.6 报告
2.4.7 解决方案
2.5 小结
2.6 问题

第3章 为应急响应做准备

3.1 突发事件预防准备概述
3.2 识别风险
3.3 单个主机的准备工作
3.3.1 记录关键文件的加密校验和
3.3.2 增加或者启用安全审核日志记录
3.3.3 增强主机防御
3.3.4 备份关键数据
3.3.5 对用户进行基于主机的安全教育
3.4 准备网络
3.4.1 安装防火墙和入侵侦测系统
3.4.2 在路由器上使用访问控制列表
3.4.3 创建有助于监视的网络拓扑结构
3.4.4 加密网络流量
3.4.5 要求身份验证
3.5 制订恰当的策略和规程
3.5.1 决定响应立场
3.5.2 理解策略如何辅助调查措施
3.5.3 制定可接受的使用策略
3.5.4 设计AUP
3.5.5 制定应急响应规程
3.6 创建响应工具包
3.6.1 响应硬件
3.6.2 响应软件
3.6.3 网络监视平台
3.6.4 文档
3.7 建立应急响应小组
3.7.1 决定小组的任务
3.7.2 对小组进行培训
3.8 小结
3.9 问题

第4章 应急响应

4.1 初始响应阶段概述
4.1.1 获取初步资料
4.1.2 应对措施备案
4.2 建立突发事件通知程序
4.3 记录事发详情
4.3.1 初始响应检查表
4.3.2 案例记录
4.4 突发事件声明
4.5 组建CSIRT
4.5.1 突发事件升级处理
4.5.2 执行突发事件通知
4.5.3 审视突发事件并配备合适的资源
4.6 执行例行调查步骤
4.7 约见
4.7.1 获得联系信息
4.7.2 约见系统管理员
4.7.3 约见管理人员
4.7.4 约见终端用户
4.8 制定响应策略
4.8.1 应对策略注意事项
4.8.2 策略验证
4.9 小结
4.10 问题

第2部分 数据收集

第5章 Windows系统下的现场数据收集

5.1 创建响应工具箱
5.1.1 常用响应工具
5.1.2 准备工具箱
5.2 保存初始响应信息
5.2.1 应用netcat传输数据
5.2.2 使用cryptcat加密数据
5.3 获取易失性数据
5.3.1 组织并备案调查过程
5.3.2 收集易失性数据
5.3.3 编写初始响应脚本
5.4 进行深入的现场响应
5.4.1 收集最易失的数据
5.4.2 创建深入的调查工具箱
5.4.3 收集现场响应数据
5.5 制作司法鉴定复件的必要性
5.6 小结
5.7 问题

第6章 Unix系统下的现场数据收集

6.1 创建响应工具包
6.2 保存初始响应信息
6.3 在进行司法鉴定复制之前获得易失性数据
6.3.1 收集数据
6.3.2 编写初始响应脚本
6.4 进行深入的现场响应
6.4.1 侦测可装载内核模块rootkit
6.4.2 获得现场系统曰志
6.4.3 获得重要的配置文件
6.4.4 查找系统中的非法嗅探器
6.4.5 查看/proc文件系统
6.4.6 转储系统内存
6.5 小结
6.6 问题

第7章 司法鉴定复件

7.1 可作为呈堂作证的司法鉴定复件
7.1.1 司法鉴定复件
7.1.2 合格的司法鉴定复件
7.1.3 被恢复的映像
7.1.4 镜像
7.2 司法鉴定复制工具的要求
7.3 制作硬盘的司法鉴定复件
7.3.1 用dd和dcfldd复制
7.3.2 用开放数据复制工具进行复制
7.4 制作合格的司法鉴定硬盘复件
7.4.1 制作引导盘
7.4.2 用SafeBack制作合格的司法鉴定复件
7.4.3 用EnCase制作合格的司法鉴定复件
7.5 小结
7.6 问题

第8章 收集网络证据

8.1 网络证据
8.2 网络监视的目的
8.3 网络监视的类型
8.3.1 事件监视
8.3.2 陷阱跟踪监视
8.3.3 全内容监视
8.4 安装网络监视系统
8.4.1 确定监视的目标
8.4.2 选择合适的硬件
8.4.3 选择合适的软件
8.4.4 部署网络监视器
8.4.5 评价网络监视器
8.5 执行陷阱跟踪
8.5.1 用tcpdump进行陷阱跟踪
8.5.2 用WinDump进行陷阱跟踪
8.5.3 创建陷阱跟踪输出文件
8.6 用tcpdump进行全内容监视
8.6.1 过滤全内容数据
8.6.2 保存全内容数据文件
8.7 收集网络日志文件
8.8 小结
8.9 问题

第9章 证据处理

9.1 证据
9.1.1 最优证据规则
9.1.2 原始证据
9.2 证据处理
9.2.1 证据鉴定
9.2.2 保管链
9.2.3 证据确认
9.3 证据处理程序概述
9.3.1 证据系统描述
9.3.2 数码照片
9.3.3 证据标签
9.3.4 证据标记
9.3.5 证据存储
9.3.6 证据日志
9.3.7 工作副本
9.3.8 证据备份
9.3.9 证据处置
9.3.10 证据管理员审核
9.4 小结
9.5 问题

第3部分 数据分析

第10章 计算机系统存储基础

10.1 硬盘与接口
10.1.1 快速发展的ATA标准
10.1.2 SCSI
10.2 准备硬盘
10.2.1 擦除存储介质
10.2.2 磁盘的分区和格式化
10.3 文件系统和存储层介绍
10.3.1 物理层
10.3.2 数据分类层
10.3.3 分配单元层
10.3.4 存储空间管理层
10.3.5 信息分类层和应用级存储层
10.4 小结
10.5 问题

第11章 数据分析技术

11.1 司法鉴定分析的准备工作
11.2 恢复司法鉴定复件
11.2.1 恢复硬盘的司法鉴定复件
11.2.2 恢复硬盘的合格司法鉴定复件
11.3 在Linux下准备分析用的司法鉴定复件
11.3.1 检查司法鉴定复件文件
11.3.2 联系司法鉴定复件文件与Linux环回设备
11.4 用司法鉴定套件检查映像文件
11.4.1 在EnCase中检查司法鉴定复件
11.4.2 在Forensic Toolkit中检查司法鉴定复件
11.5 将合格的司法鉴定复件转换成司法鉴定复件
11.6 在Windows系统中恢复被删除的文件
11.6.1 使用基于Windows系统的工具来恢复FAT文件系统中的文件
11.6.2 使用Linux工具来恢复FAT文件系统中的文件
11.6.3 使用文件恢复的图形用户界面：Autopsy
11.6.4 使用Foremost恢复丢失的文件
11.6.5 在Unix系统中恢复被删除的文件
11.7 恢复未分配空间、自由空间和松弛空间
11.8 生成文件列表
11.8.10 出文件的元数据
11.8.2 识别已知系统文件
11.9 准备用于查找字符串的驱动器
11.10 小结
11.11 问题

第12章 调查Windows系统

12.1 Windows系统中的证据存放位置
12.2 调查Windows
12.2.1 检查所有相关日志
12.2.2 进行关键字搜索
12.2.3 检查相关文件
12.2.4 识别未授权的用户账户或用户组
12.2.6 识别恶意进程
12.2.7 查找异常或隐藏的文件
12.2.8 检查未授权的访问点
12.2.9 检查由计划程序服务所运行的任务
12.2.10 分析信任关系
12.2.11 检查安全标识符
12.3 文件审核和信息窃取
12.4 对离职雇员的处理
12.4.1 检查搜索内容和使用过的文件
12.4.2 在硬盘上进行字符串搜索
12.5 小结
12.6 问题

第13章 调查Unix系统

13.1 Unix调查步骤概述
13.2 审查相关日志
13.2.1 网络日志
13.2.2 主机日志记录
13.2.3 用户操作目志
13.3 搜索关键字
13.3.1 使用grep进行字符串搜索
13.3.2 使用find命令进行文件搜索
13.4 审查相关文件
13.4.1 事件时间和时间/日期戳
13.4.2 特殊文件
13.5 识别未经授权的用户账户或用户组
13.5.1 用户账户调查
13.5.2 组账户调查
13.6 识别恶意进程
13.7 检查未经授权的访问点
13.8 分析信任关系
13.9 检测可加载木马程序的内核模块
13.9.1 现场系统上的LKM
13.9.2 LKM元素
13.9.3 LKM检测工具
13.10 小结
13.11 问题

第14章 网络通信分析

14.1 寻找基于网络的证据
14.1.1 网络通信分析工具
14.1.2 检查用tcpdump收集的网络通信
14.2 用tcptrace生成会话数据
14.2.1 分析捕获文件
14.2.2 解释tcptrace输出
14.2.3 用Snort提取事件数据
14.2.4 检查SYN数据包
14.2.5 解释Snort输出
14.3 用tcpflow重组会话
14.3.1 FTP会话
14.3.2 解释tcpflow输出
14.3.3 查看SSH会话
14.4 用Ethereal重组会话
14.5 改进tcpdump过滤器
14.6 小结
14.7 问题

第15章 黑客工具研究

15.1 工具分析的目的
15.2 文件编译方式
15.2.1 静态链接的程序
15.2.2 动态链接的程序
15.2.3 用调试选项编译程序
15.2.4 精简化的程序
15.2.5 用UPX压缩的程序
15.2.6 编译技术和文件分析
15.3 黑客工具的静态分析
15.3.1 确定文件类型
15.3.2 检查ASCII和Unicode字符串
15.3.3 在线研究
15.3.4 检查源代码
15.4 黑客工具的动态分析
15.4.1 创建沙箱环境
15.4.2 Unix系统上的动态分析
15.4.3 Windows系统下的动态分析
15.5 小结
15.6 问题

第16章 研究路由器

16.1 在关机之前获得易失性数据
16.1.1 建立路由器连接
16.1.2 记录系统时间
16.1.3 判断登录到路由器的人
16.1.4 确定路由器的正常运行时间
16.1.5 判断侦听套接字
16.1.6 保存路由器的配置
16.1.7 查看路由表
16.1.8 检查接口配置
16.1.9 查看ARP缓存
16.2 寻找证据
16.2.1 处理直接威胁事件
16.2.2 处理路由表操纵事件
16.2.3 处理信息失窃事件
16.2.4 处理拒绝服务攻击
16.3 用路由器作为响应工具
16.3.1 理解访问控制列表
16.3.2 用路由器进行监测
16.3.3 响应DDoS攻击
16.4 小结
16.5 问题

第17章 撰写计算机司法鉴定报告

17.1 什么是计算机司法鉴定报告
17.1.1 什么是鉴定报告
17.1.2 报告的目标
17.2 撰写报告的指导方针
17.2.1 迅速并清楚地记录调查步骤
17.2.2 了解分析目的
17.2.3 组织报告
17.2.4 使用模板
17.2.5 使用一致的标识符
17.2.6 使用附件和附录
17.2.7 让同事阅读报告
17.2.8 使用MD5哈希
17.2.9 包括元数据
17.3 计算机司法鉴定报告模板
17.3.1 执行摘要
17.3.2 目标
17.3.3 经过分析的计算机证据
17.3.4 相关调查结果
17.3.5 支持性细节
17.3.6 调查线索
17.3.7 附加的报告部分
17.4 小结
17.5 问题

第4部分 附录

附录A 问题解答
附录B 应急响应表格

Kevin Mandia KevinMandia是Foundstone公司(一家Intemet安全公司)计算机司法鉴定部(ComputerForensics)的主管。作为特别调查员、顾问和讲师，Kevin在执行应急响应和计算机司法鉴定方面积累了大量的经验。 在加入Foundstone公司之前，Kevin是美国空军特别调查办公室(Air Force Office ofSpeciallnvestigations，AFOSl)的特别调查员，专门调查计算机入侵事件。离开AFOSI之后，Kevin开设了为期两个星期的计算机入侵响应课程，特别制订了对FBI的要求。Kevin在FBI学院教授了一年多的课程，在这里有超过300名专攻计算机入侵事件的FBI调查员参加了他的课程；—课程的内容是根据法律实施、情报人员和某些特定个体(他们必须理解计算机网络的工作方式和黑客利用网络漏洞的方法)的特殊需要而量身定制的。Kevin还为其他客户提供计算机入侵和司法鉴定培训课程，这些客户包括美国国会(State Department)、加拿大皇家骑警(RoyalCanadian：MountedPol

我(ScottK．Larson)做了13年FBI特别调查员，现在是一家咨询和技术服务公司的执行副总裁，参与了高技术犯罪的预防、侦测、调查和取证工作。作为FBI调查员，我调查过计算机入侵、拒绝服务攻击、在线儿童色情文学、专用分组交换机／语音邮件欺骗、侵权、恶意代码／病毒／蠕虫和Intemet：欺骗。作为FBI实验室计算机分析和响应小组(ComputerAnalysisandResponseTeam，CART)司法鉴定领域的审查员，我收集了各种调查的计算机／电子证据，包括上面提到的内容，以及社会腐败、毒品交易、银行抢劫、团伙犯罪和白领犯罪。作为督察员，为FBI总部计算机调查部提供程序管理服务，监察计算机犯罪领域的56个办公室。作为美国国家基础设施保护中心培训和继续教育部(National lnfrastructureProtectionCenter’sTrainingandContinuingEducationUnit，在这里看到了来自KevinMandia的第一手的知识、技巧和专业经验)的培训开发人员和程序管理员，我创建并合作开设了计算机犯罪调查、网络调查和基础设施保护课程。最后，作为现场调查的管理人，我不停地调查计算机入侵、拒绝拒绝攻击、恶意代码／病毒／蠕虫和非法数据截取(嗅探器)，包括反间谍行动、网络恐怖、犯罪、间谍和私人—公共合作程序，通过联合其他部门，如InfraGard和ANSIR(美国国家安全突发事件和响应识别)，来防止计算机犯罪。 按照我的经验，即使在具有健全的安全基础设施的最好的政府和各行业系统，可以说外部和内部入侵仍然会持续存在。9·11事件后的环境提醒我们，国家和网络安全的全球威胁受制于犯罪分子和恐怖分子集团的毁灭性想象力。在FBI工作期间，我看到RobertHanssen有效地使用’FBI的计算机系统对美国进行间谍活动。而恐怖集团想获得达到非法目的所需的攻击工具和技术。因为网络计算、犯罪动机、敌对情报服务和恐怖分子的普遍存在，所以应急响应和计算机司法鉴定的需求正在扩展。 好消息是，周边安全技术的有效性和分析能力正在提高。计算机司法鉴定技术也同样如此。但是，未知因素是管理和分析计算机数据的人。不管是执法官员、私人调查员、信息安全专家、顾问，或者是其他安全专家，成功防止和响应网络威胁的关键在于对计算机证据的合理鉴定、收集、保存和分析。本书提供了有效响应突发事件、收集计算机司法鉴定证据和分析合适的日志、文件所必需的知识、技巧和工具。这同时提高了各单位对突发事件的处理能力，或者事发前就汲取了教训。一盎司的预防效果等于一磅的治疗。 另外，本书还介绍了如何获取可能留下痕迹的位置和可能的对调查目标的警告，从而可以帮助公司或司法部门调查员主动执行在线调查。现在，公司的宝贵资料通常放在计算机中，这容易受到知识渊博的内部人员或机智的计算机黑客的攻击，他们可能敲诈你、贩卖信息，或将信息公布到Intemet。当然，如果需要处理敏感问题，那么在采取措施之前，应该咨询安全部门、律师、知识丰富的计算机司法鉴定咨询公司(最好有执法或情报方面的经验)或执法机构。 总而言之，每个信息安全专家——不管是系统管理员、调查员、顾问或者执法官员——都应该遵循本书的建议。信息系统内忧外患，受过良好训练的协同保护、应急响应和司法鉴定分析团队对于所有要保护自身和财产免受网络威胁的组织而言，都是必需的。 Scott K．Larson Stroz Friedberg，LLC执行副总裁 www．strozllc．com ScottLarson，前FBI特别调查员，是Stroz Friedberg，LLC公司明尼阿波利斯办事处执行副总裁和常务董事。StrozFriedberg，LLC公司是在网络犯罪响应、计算机司法鉴定和计算机安全领域领先的咨询和技术服务公司。 致谢 感谢下面所有人：CurtisRose，他是我们所知的最有条不紊、最谨慎的计算机调查员。Keith Jones坚韧不渝。RichardBejtlich编写了本书中的两章，他是我所知的学习知识最快的天才。Julie Darmstadt完成了我们没有完成或无法完成的任务。1988年拉斐特大学足球队教练组。MicheleDempsey非常勤勉，而且颇具创造力，熠熠生辉。Dave Pahanish谱写了伟大的歌曲。一起旅行的BruceSpringsteen。Rick拍摄了所有的精彩照片。TimMcNight透露了Kevin经常去的地方。EleanorPoplar女士有一座很好的海滨别墅，并让Kevin使用。MattFrazier接受了顾问位置，最可信任。JayMiller的哲学讨论和疯狂的饮食习惯。Stephanie是作者的知己，具有尚未发掘的文学天赋。BrainHutchison是敬业的榜样。TomMason维护电源供给。LaineFast老把红笔放在破的后袋中。MikeDietszch再次败给·了Kevin。DavePoplar在注意到多起突发事件后，及时提供了简洁的法律建议。 还要感谢FBI、AFOSI和AFIWC的许多人，他们教会了我们很多知识，包括GregDominguez、ChuckCoe和最初的实验室工作人员：Jon、James、Chen、Jason和Rob等，真希望有机会报答你们。 如果没有Osborne小组(特别是JaneBrownlow、CarolynWelch和MarilynSmith无尽的耐心和持续的努力)本书无法完成，在此十分感谢