注冊 | 登錄讀書好,好讀書,讀好書!
讀書網-DuShu.com
當前位置: 首頁出版圖書科學技術計算機/網絡信息安全惡意代碼取證

惡意代碼取證

惡意代碼取證

定 價:¥69.00

作 者: (美)奎林娜 等著,彭國軍,陶芬 譯
出版社: 科學出版社
叢編項: 21世紀信息安全大系
標 簽: 信息安全

購買這本書可以去


ISBN: 9787030250667 出版時間: 2009-07-01 包裝: 平裝
開本: 16開 頁數: 542 字數:  

內容簡介

  旨在提出一套完整的惡意軟件取證方法和流程,并以Windows和Linux兩種操作系統(tǒng)為平臺詳細介紹了惡意軟件取證過程的5個主要的階段:易失性數據取證保存和檢查、內存檢查、硬盤檢查、惡意軟件靜態(tài)分析、惡意軟件動態(tài)分析?!稅阂獯a取證》可用作高等院校信息安全專業(yè)及計算機專業(yè)本科生、研究生的教材。同時,對于信息安全特別是網絡司法取證學界的廣大教師、研究人員以及公安網偵人員,《惡意代碼取證》同樣是不可多得的重要參考資料。網絡犯罪是信息時代的產物。近年來隨著計算機以及互聯網的普及,尤其是各類金融業(yè)務通過因特網不斷得到拓展,全球的網絡犯罪案件迅速增長。如何有效防范并打擊網絡犯罪不但是各國立法機關、司法機關及行政機關迫切要解決的問題,而且是計算機技術領域、法學及犯罪學研究領域中最引人關注的課題。

作者簡介

  James M.Aquilina是Sttoz Friedberg的行政主管兼代理常駐辯護律師,StrozFriedberg是一家專門從事計算機取證,電子數據的保存、分析和生產,計算機欺詐響應,濫用響應以及計算機安全的服務與咨詢公司。Aquilina先生為了公司的管理經營及其法律事務的處理而勞心勞力,另外全面負責整個洛杉磯辦事處的工作。他曾為政府部門、重要法律部門、公司管理和信息系統(tǒng)等部門指導、完成了很多數字取證和電子偵查任務,處理了很多刑事、民事、管理以及內部的公司糾紛案件,如電子偽造、擦除、大面積刪除或其他形式的電子數據竊取,機密信息泄露,通過計算機盜竊商業(yè)機密和非法電子監(jiān)視等。他曾經擔任第三方中立專家對電子證據進行法院認可的取證檢查。Aquilina先生還帶頭開展了該公司的在線欺詐和職權濫用調查,并定期組織技術和戰(zhàn)略磋商會議,以保護計算機網絡免受間諜軟件和其他入侵軟件、惡意軟件和惡意代碼、網絡欺詐以及其他形式的非法因特網活動的侵害。他博學多知,對僵尸網絡、分布式拒絕服務攻擊以及其他自動化網絡入侵等都有深入了解,這使他能為企業(yè)提供解決計算機欺詐和職權濫用事件等問題的咨詢和解決方案,以加強其基礎設施的保護。在加入Stroz Friedberg之前,Aquilina先生是美國加利福尼亞州中部地區(qū)聯邦檢察官辦公室刑事司的一名助理檢察官,在那里他主要負責網絡和知識產權犯罪科與計算機和電子通信方面相關的工作。他還擔任了洛杉磯電子犯罪特遣部隊成員和計算機入侵工作組(一個機構間的網絡犯罪響應組織)負責人。在擔任助理檢察官期間,.Aquilina先生負責調查并監(jiān)督與計算機入侵犯罪、拒絕服務攻擊敲詐、計算機和因特網欺詐、侵權犯罪、盜竊商業(yè)機密以及其他涉及盜竊和濫用個人職權等行為相關的起訴案件。Aquilina先生主持參與過很多著名的網絡犯罪調查案例,例如美國第一例起訴利用僵尸網絡進行牟利的犯罪案例,“地下僵尸管理者”通過轉賣其所控制的受感染計算機大軍用以發(fā)動攻擊、發(fā)送垃圾郵件或秘密安裝廣告軟件來牟利:他曾推進陪審團就第一起與數碼攝像機使用相關的刑事版權侵犯案件進行定罪;他曾負責監(jiān)督指導政府對網絡犯罪打擊活動[Opreation Cyberslam](一項國際入侵犯罪調查,主要調查雇傭黑客針對在線商業(yè)競爭者進行計算機攻擊等犯罪行為)的起訴;他也曾協(xié)助美國洛杉磯相關檢察機關收集和分析當地恐怖組織的相關電子證據。在其于美國聯邦檢察官辦公室工作期間,Aquilina先生同時也任職于重大欺詐和恐怖主義,有組織犯罪科,調查和審判了很多復雜案件,例如他曾審判過一起重大的國稅局稅務官和會計師聯合腐敗案件;他曾起訴法國里昂信貸銀行欺詐一家現己解散的保險公司的賠償,并為之昭雪:他還以勒索和綁架罪審判過一個亞美尼亞有組織犯罪集團。隨著2001年9月11日襲擊事件的發(fā)生,Aquilina先生開始協(xié)助聯邦調查局緊急行動中心法律科的組建和運作。Aquilina先生在從事公共服務之前,曾在紐約的Richards、Spears、Kibbe&Orbe律師事務所工作,當時主要負責解決聯邦白領工作問題和紐約州的刑事、管理問題。Aquilina先生也曾擔任過十分受人尊敬的加利福尼亞州南部的美國地方法院法官Irma E.Gonzalez的法律助理。他是喬治敦大學的優(yōu)秀學士,美國加利福尼亞大學伯克利分校法學院的法學博士,當時他還是理查德厄斯金的學術研究員,擔任了《加利福尼亞州法律審查》(califomiaLawReview)的文章編輯和執(zhí)行委員會成員。他目前擔任國際電子商務顧問理事會(電子商務理事會)網絡法律問題的名譽理事會會員,該組織提供CEH(道德黑客認證)和CHFI(黑客法醫(yī)調查員認證)認證,引領世界各地的安全行業(yè)專家。Eoghan Casey是一位事件響應和數字取證分析專家,經常在大面積的調查范圍(包括國際范圍內的網絡入侵)內開展安全漏洞響應和數字證據分析工作。他在數字取證方面有豐富的經驗,能夠根據安全漏洞響應確定計算機入侵的起源、性質和范圍,并利用取證與安全技術來維護受害網絡的安全。他曾研究過數百種數字取證過程中可獲得的證據,包括電子郵件和文件服務器、手持設備、備份磁帶、數據庫系統(tǒng)和網絡日志等。Casey先生是其研究領域的權威,經常在美國和國外相關專業(yè)雜志或會議上撰寫相關論文并發(fā)表演講,如數字取證研究研討會、高科技犯罪調查協(xié)會、搜索、IT安全和Infragard等會議。他曾編寫了一本十分流行的教科書:《數字取證和計算機犯罪:取證科學、計算機與網絡》(學術出版社,2004年)。他還是《計算機犯罪調查手冊》的編輯,并且合著過《兒童剝削和色情調查》一書。Casey先生現在擔任國際期刊《調查取證》的總編輯,該期刊按季度出版數字取證和事件響應方面的文章。作為Stroz Friedberg的數字取證調查總指導,Casey與其他人一起管理該公司在計算機取證、計算機犯罪響應和緊急事件響應領域的技術業(yè)務。此外,他還積極參與待審民事和刑事案件的作證,并提交專家報告以為計算機和網絡犯罪案件的審判而向大陪審團作證。Casey先生還帶頭開展Stroz Friedberg公司外部和內部的各種取證培訓項目并擔任培訓負責人。在Casey到Stroz Friedberg公司工作之前,他曾作為顧問在許多涉及與兇殺、剝削兒童和其他類型案件相關的網上犯罪活動和數字證據的刑事調查中協(xié)助執(zhí)法部門辦案。Casev于1999年至2002年間曾在耶魯大學擔任信息安全主管,并在后續(xù)咨詢工作中負責脆弱性評估,處理關鍵安全漏洞,部署和維護入侵檢測系統(tǒng)、防火墻和重要的公共基礎設施,制定相關政策、規(guī)程和教育項目。自1996年以來。Casey先生一直通過在線和實地訓練的方式提供培訓服務,其課程涵蓋了數字取證、事故響應和入侵調查。Casey先生于1991—1995年間還曾在美國航天局的極端紫外線探測衛(wèi)星項目中擔任高級研究助理和衛(wèi)星操作員,負責編寫與自動執(zhí)行日常、安全性要求很高的衛(wèi)星操縱流程相關的計算機程序,建立并維護一個Sybase的sQL數據庫。Casey先生畢業(yè)于加州大學伯克利分校的機械工程專業(yè),并獲得紐約大學教育傳播與技術專業(yè)碩士學位。Cameron H.Malin是聯邦調查局分配給美國加利福尼亞州洛杉磯的網絡重案組的特別代理,主要負責調查計算機入侵和惡意代碼等問題。Malin先生是一位通過國際電子商務顧問理事會(電子商務理事會)認證的道德黑客(CEH認證),是一位通過國際信息系統(tǒng)安全認證協(xié)會(“(ISC)2”)認證的信息系統(tǒng)安裝專家(CISSP),還是一位通過SANS研究機構認證的資深逆向工程惡意軟件分析專家、資深系統(tǒng)入侵分析員、資深故障處理員和資深取證分析員。Malin先生目前是數字取證國際期刊(UDE)的編委會成員和信息保障技術分析中心(IATAC)的主題專欄專家。就職于美國聯邦調查局之前,Malin曾是佛羅里達州邁阿密的國家檢察官助理(ASA)和美國司法部長特別助理,專門從事計算機犯罪的起訴。在其作為國家檢察官助理的任職期間,Malin先生也擔任了喬治華盛頓大學的碩士課程《計算機欺詐調查》的助理教授。本書中由Cameron Matin所提及的相關技術、工具、方法、觀點和意見都僅代表其個人意見,并不代表美國司法部、聯邦調查局,甚至美國政府。聯邦政府或者任何聯邦機構不以任何方式對此書或其內容進行支持。譯者簡介:彭國軍,男,1979年11月生,湖北荊州人。武漢大學計算機學院教師、信息安全博士。2001年起從事惡意軟件及防護技術研究,曾協(xié)助公安機關進行多起網絡犯罪案件的取證工作;2004年主編信息安全專業(yè)本科教材《計算機病毒分析與對抗》(“十一五”規(guī)劃教材),參編和翻譯的著作包括《計算機網絡管理實用教程》、《信息安全原理與實踐》等。主持多個省部級網絡與安全科研項目,并參與多個國家“863”項目與國家自然科學基金項目。目前已發(fā)表信息安全方向科研與教學論文近20篇,各類安全技術文章近20篇。研究方向包括惡意代碼、網絡攻防、軟件可信等。

圖書目錄

第1章 惡意軟件事件響應:易失性數據收集與實時Windows系統(tǒng)檢查
引言
建立實時響應工具包
測試和驗證您的工具
易失性數據收集方法
易失性數據的保存
搜集目標系統(tǒng)詳細信息
識別登錄到當前系統(tǒng)的用戶
檢查網絡連接和活動
搜集進程信息
關聯開放端口及其活動進程(和程序)
檢查服務和驅動程序
檢查打開的文件
收集命令的歷史記錄
識別共享
檢查計劃任務
收集剪貼板內容
從實時Windows系統(tǒng)收集非易失性數據
在實時Windows系統(tǒng)中對存儲媒介進行司法復制
對實時Windows系統(tǒng)的特定數據進行司法保存
適用于Windows的事件響應工具套件
Windows Forensic Toolchest
從實時Windows系統(tǒng)中檢查和提取惡意軟件
小結
第2章 惡意軟件事件響應:易失性數據收集與實時Linux系統(tǒng)檢查
引言
易失性數據收集方法
Linux上的事件響應工具集
實時UNIX系統(tǒng)的完整內存轉儲
在實時UNIX系統(tǒng)上保存進程內存信息
獲取目標系統(tǒng)的詳細信息
識別出登錄到系統(tǒng)的用戶
檢查網絡連接
收集進程信息
/proc目錄中的易失性數據
打開的文件和附屬資源
檢查已加載的模塊
收集命令行歷史信息
識別出已安裝的共享驅動器
確定計劃任務
實時Linux系統(tǒng)中的非易失性數據收集
對實時Linux系統(tǒng)中的存儲介質的取證拷貝
對實時Linux系統(tǒng)中的指定數據進行取證保存
評估安全配置
評估主機的信任關系
收集登錄日志和系統(tǒng)日志信息
小結
第3章 內存取證:分析物理內存和進程內存獲取取證線索
引言
內存取證方法學
傳統(tǒng)內存分析方法
Windows內存取證工具
深入分析內存映像
活動的、未活動的和隱藏的進程
Windows內存取證工具機理
虛擬內存地址
進程和線程
恢復提取可執(zhí)行文件
提取進程內存數據
進程內存數據的導出和Windows系統(tǒng)實時分析
對實時運行的進程進行安全評估
捕獲進程并分析內存
Linux內存取證分析工具
進程元數據
Linux內存取證分析工具機理
定位內存數據結構
進程
其他內存數據結構
在Linux系統(tǒng)上導出進程內存并進行分析
系統(tǒng)上的進程活動
用ps搜集進程信息
利用lsof識別進程活動
在/proc中定位可疑進程
從Jproc目錄拷貝可疑可執(zhí)行文件
捕獲并檢測進程內存數據
用gcore導出核心進程映像
用Pcat獲取進程內存數據
用Memfetch獲取進程內存數據
用ProcessDumper獲取進程內存數據
其他事項
小結
第4章 事后取證:從windows系統(tǒng)中搜索并提取惡意軟件以及相關線索
引言
受害windows系統(tǒng)的司法檢查
時間分析:不僅僅只是一個時間軸
功能分析:重載一臺windows計算機鏡像
關系分析
關聯與重載
從windows系統(tǒng)中發(fā)現并提取惡意軟件
搜索已知的惡意軟件
檢查已安裝的程序
檢查預取文件
檢查可執(zhí)行文件
檢查服務、驅動自啟動位置以及計劃任務
審查日志
檢查用戶賬戶
檢查文件系統(tǒng)
檢查注冊表
還原點
關鍵詞搜索
深入的wlndows系統(tǒng)中的惡意軟件發(fā)現與提取技術
定制解藥
小結
第5章 事后取證:從Linux系統(tǒng)中搜索并提取惡意軟件以及相關線索
引言
從Linux系統(tǒng)上發(fā)現和提取惡意軟件
搜索已知的惡意軟件
審查已安裝的程序和潛在的可疑可執(zhí)行文件
審查自啟動區(qū)域、配置文件和計劃任務
檢查日志
審查用戶賬戶
檢查文件系統(tǒng)
關鍵字搜索
小結
第6章 法律規(guī)范
引言
注意事項
調查機構
司法機構
私人調查機構
調查機構的法定約束
存儲數據
實時數據
非內容數據
受保護數據
聯邦法律
洲際法律
數據獲取工具
跨境獲得數據
執(zhí)法部門介入
增加被法院受理的機會
第7章 文件識別和構型:Windows系統(tǒng)中可疑文件的初步分析
引言
案例:“HotNewVideo!”
文件構型過程概述
可執(zhí)行文件分析
系統(tǒng)詳細信息
哈希值
文件相似性索引
文件特征識別與分類
反病毒特征碼
提取文件嵌入線索:字符串、符號信息,以及文件元數據
文件混淆技術:加殼和加密文件的鑒別
嵌入線索的再提取
小結
第8章 文件識別和構型:Linux系統(tǒng)上可疑文件的初步分析
引言
文件構型過程概述
分析Linux可執(zhí)行文件
可執(zhí)行文件是如何被編譯的
靜態(tài)鏈接vs動態(tài)鏈接
……
第9章 Windows平臺下可疑軟件分析
第10章 Linux平臺下可疑程序分析

本目錄推薦

掃描二維碼
Copyright ? 讀書網 m.hotzeplotz.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網安備 42010302001612號