惡意代碼取證

　　旨在提出一套完整的惡意軟件取證方法和流程，并以Windows和Linux兩種操作系統(tǒng)為平臺詳細(xì)介紹了惡意軟件取證過程的5個(gè)主要的階段：易失性數(shù)據(jù)取證保存和檢查、內(nèi)存檢查、硬盤檢查、惡意軟件靜態(tài)分析、惡意軟件動(dòng)態(tài)分析?！稅阂獯a取證》可用作高等院校信息安全專業(yè)及計(jì)算機(jī)專業(yè)本科生、研究生的教材。同時(shí)，對于信息安全特別是網(wǎng)絡(luò)司法取證學(xué)界的廣大教師、研究人員以及公安網(wǎng)偵人員，《惡意代碼取證》同樣是不可多得的重要參考資料。網(wǎng)絡(luò)犯罪是信息時(shí)代的產(chǎn)物。近年來隨著計(jì)算機(jī)以及互聯(lián)網(wǎng)的普及，尤其是各類金融業(yè)務(wù)通過因特網(wǎng)不斷得到拓展，全球的網(wǎng)絡(luò)犯罪案件迅速增長。如何有效防范并打擊網(wǎng)絡(luò)犯罪不但是各國立法機(jī)關(guān)、司法機(jī)關(guān)及行政機(jī)關(guān)迫切要解決的問題，而且是計(jì)算機(jī)技術(shù)領(lǐng)域、法學(xué)及犯罪學(xué)研究領(lǐng)域中最引人關(guān)注的課題。

　　James M．Aquilina是Sttoz Friedberg的行政主管兼代理常駐辯護(hù)律師，StrozFriedberg是一家專門從事計(jì)算機(jī)取證，電子數(shù)據(jù)的保存、分析和生產(chǎn)，計(jì)算機(jī)欺詐響應(yīng)，濫用響應(yīng)以及計(jì)算機(jī)安全的服務(wù)與咨詢公司。Aquilina先生為了公司的管理經(jīng)營及其法律事務(wù)的處理而勞心勞力，另外全面負(fù)責(zé)整個(gè)洛杉磯辦事處的工作。他曾為政府部門、重要法律部門、公司管理和信息系統(tǒng)等部門指導(dǎo)、完成了很多數(shù)字取證和電子偵查任務(wù)，處理了很多刑事、民事、管理以及內(nèi)部的公司糾紛案件，如電子偽造、擦除、大面積刪除或其他形式的電子數(shù)據(jù)竊取，機(jī)密信息泄露，通過計(jì)算機(jī)盜竊商業(yè)機(jī)密和非法電子監(jiān)視等。他曾經(jīng)擔(dān)任第三方中立專家對電子證據(jù)進(jìn)行法院認(rèn)可的取證檢查。Aquilina先生還帶頭開展了該公司的在線欺詐和職權(quán)濫用調(diào)查，并定期組織技術(shù)和戰(zhàn)略磋商會議，以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受間諜軟件和其他入侵軟件、惡意軟件和惡意代碼、網(wǎng)絡(luò)欺詐以及其他形式的非法因特網(wǎng)活動(dòng)的侵害。他博學(xué)多知，對僵尸網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊以及其他自動(dòng)化網(wǎng)絡(luò)入侵等都有深入了解，這使他能為企業(yè)提供解決計(jì)算機(jī)欺詐和職權(quán)濫用事件等問題的咨詢和解決方案，以加強(qiáng)其基礎(chǔ)設(shè)施的保護(hù)。在加入Stroz Friedberg之前，Aquilina先生是美國加利福尼亞州中部地區(qū)聯(lián)邦檢察官辦公室刑事司的一名助理檢察官，在那里他主要負(fù)責(zé)網(wǎng)絡(luò)和知識產(chǎn)權(quán)犯罪科與計(jì)算機(jī)和電子通信方面相關(guān)的工作。他還擔(dān)任了洛杉磯電子犯罪特遣部隊(duì)成員和計(jì)算機(jī)入侵工作組（一個(gè)機(jī)構(gòu)間的網(wǎng)絡(luò)犯罪響應(yīng)組織）負(fù)責(zé)人。在擔(dān)任助理檢察官期間，．Aquilina先生負(fù)責(zé)調(diào)查并監(jiān)督與計(jì)算機(jī)入侵犯罪、拒絕服務(wù)攻擊敲詐、計(jì)算機(jī)和因特網(wǎng)欺詐、侵權(quán)犯罪、盜竊商業(yè)機(jī)密以及其他涉及盜竊和濫用個(gè)人職權(quán)等行為相關(guān)的起訴案件。Aquilina先生主持參與過很多著名的網(wǎng)絡(luò)犯罪調(diào)查案例，例如美國第一例起訴利用僵尸網(wǎng)絡(luò)進(jìn)行牟利的犯罪案例，“地下僵尸管理者”通過轉(zhuǎn)賣其所控制的受感染計(jì)算機(jī)大軍用以發(fā)動(dòng)攻擊、發(fā)送垃圾郵件或秘密安裝廣告軟件來牟利：他曾推進(jìn)陪審團(tuán)就第一起與數(shù)碼攝像機(jī)使用相關(guān)的刑事版權(quán)侵犯案件進(jìn)行定罪；他曾負(fù)責(zé)監(jiān)督指導(dǎo)政府對網(wǎng)絡(luò)犯罪打擊活動(dòng)[Opreation Cyberslam]（一項(xiàng)國際入侵犯罪調(diào)查，主要調(diào)查雇傭黑客針對在線商業(yè)競爭者進(jìn)行計(jì)算機(jī)攻擊等犯罪行為）的起訴；他也曾協(xié)助美國洛杉磯相關(guān)檢察機(jī)關(guān)收集和分析當(dāng)?shù)乜植澜M織的相關(guān)電子證據(jù)。在其于美國聯(lián)邦檢察官辦公室工作期間，Aquilina先生同時(shí)也任職于重大欺詐和恐怖主義，有組織犯罪科，調(diào)查和審判了很多復(fù)雜案件，例如他曾審判過一起重大的國稅局稅務(wù)官和會計(jì)師聯(lián)合腐敗案件；他曾起訴法國里昂信貸銀行欺詐一家現(xiàn)己解散的保險(xiǎn)公司的賠償，并為之昭雪：他還以勒索和綁架罪審判過一個(gè)亞美尼亞有組織犯罪集團(tuán)。隨著2001年9月11日襲擊事件的發(fā)生，Aquilina先生開始協(xié)助聯(lián)邦調(diào)查局緊急行動(dòng)中心法律科的組建和運(yùn)作。Aquilina先生在從事公共服務(wù)之前，曾在紐約的Richards、Spears、Kibbe＆Orbe律師事務(wù)所工作，當(dāng)時(shí)主要負(fù)責(zé)解決聯(lián)邦白領(lǐng)工作問題和紐約州的刑事、管理問題。Aquilina先生也曾擔(dān)任過十分受人尊敬的加利福尼亞州南部的美國地方法院法官Irma E．Gonzalez的法律助理。他是喬治敦大學(xué)的優(yōu)秀學(xué)士，美國加利福尼亞大學(xué)伯克利分校法學(xué)院的法學(xué)博士，當(dāng)時(shí)他還是理查德厄斯金的學(xué)術(shù)研究員，擔(dān)任了《加利福尼亞州法律審查》（califomiaLawReview）的文章編輯和執(zhí)行委員會成員。他目前擔(dān)任國際電子商務(wù)顧問理事會（電子商務(wù)理事會）網(wǎng)絡(luò)法律問題的名譽(yù)理事會會員，該組織提供CEH（道德黑客認(rèn)證）和CHFI（黑客法醫(yī)調(diào)查員認(rèn)證）認(rèn)證，引領(lǐng)世界各地的安全行業(yè)專家。Eoghan Casey是一位事件響應(yīng)和數(shù)字取證分析專家，經(jīng)常在大面積的調(diào)查范圍（包括國際范圍內(nèi)的網(wǎng)絡(luò)入侵）內(nèi)開展安全漏洞響應(yīng)和數(shù)字證據(jù)分析工作。他在數(shù)字取證方面有豐富的經(jīng)驗(yàn)，能夠根據(jù)安全漏洞響應(yīng)確定計(jì)算機(jī)入侵的起源、性質(zhì)和范圍，并利用取證與安全技術(shù)來維護(hù)受害網(wǎng)絡(luò)的安全。他曾研究過數(shù)百種數(shù)字取證過程中可獲得的證據(jù)，包括電子郵件和文件服務(wù)器、手持設(shè)備、備份磁帶、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)日志等。Casey先生是其研究領(lǐng)域的權(quán)威，經(jīng)常在美國和國外相關(guān)專業(yè)雜志或會議上撰寫相關(guān)論文并發(fā)表演講，如數(shù)字取證研究研討會、高科技犯罪調(diào)查協(xié)會、搜索、IT安全和Infragard等會議。他曾編寫了一本十分流行的教科書：《數(shù)字取證和計(jì)算機(jī)犯罪：取證科學(xué)、計(jì)算機(jī)與網(wǎng)絡(luò)》（學(xué)術(shù)出版社，2004年）。他還是《計(jì)算機(jī)犯罪調(diào)查手冊》的編輯，并且合著過《兒童剝削和色情調(diào)查》一書。Casey先生現(xiàn)在擔(dān)任國際期刊《調(diào)查取證》的總編輯，該期刊按季度出版數(shù)字取證和事件響應(yīng)方面的文章。作為Stroz Friedberg的數(shù)字取證調(diào)查總指導(dǎo)，Casey與其他人一起管理該公司在計(jì)算機(jī)取證、計(jì)算機(jī)犯罪響應(yīng)和緊急事件響應(yīng)領(lǐng)域的技術(shù)業(yè)務(wù)。此外，他還積極參與待審民事和刑事案件的作證，并提交專家報(bào)告以為計(jì)算機(jī)和網(wǎng)絡(luò)犯罪案件的審判而向大陪審團(tuán)作證。Casey先生還帶頭開展Stroz Friedberg公司外部和內(nèi)部的各種取證培訓(xùn)項(xiàng)目并擔(dān)任培訓(xùn)負(fù)責(zé)人。在Casey到Stroz Friedberg公司工作之前，他曾作為顧問在許多涉及與兇殺、剝削兒童和其他類型案件相關(guān)的網(wǎng)上犯罪活動(dòng)和數(shù)字證據(jù)的刑事調(diào)查中協(xié)助執(zhí)法部門辦案。Casev于1999年至2002年間曾在耶魯大學(xué)擔(dān)任信息安全主管，并在后續(xù)咨詢工作中負(fù)責(zé)脆弱性評估，處理關(guān)鍵安全漏洞，部署和維護(hù)入侵檢測系統(tǒng)、防火墻和重要的公共基礎(chǔ)設(shè)施，制定相關(guān)政策、規(guī)程和教育項(xiàng)目。自1996年以來。Casey先生一直通過在線和實(shí)地訓(xùn)練的方式提供培訓(xùn)服務(wù)，其課程涵蓋了數(shù)字取證、事故響應(yīng)和入侵調(diào)查。Casey先生于1991—1995年間還曾在美國航天局的極端紫外線探測衛(wèi)星項(xiàng)目中擔(dān)任高級研究助理和衛(wèi)星操作員，負(fù)責(zé)編寫與自動(dòng)執(zhí)行日常、安全性要求很高的衛(wèi)星操縱流程相關(guān)的計(jì)算機(jī)程序，建立并維護(hù)一個(gè)Sybase的sQL數(shù)據(jù)庫。Casey先生畢業(yè)于加州大學(xué)伯克利分校的機(jī)械工程專業(yè)，并獲得紐約大學(xué)教育傳播與技術(shù)專業(yè)碩士學(xué)位。Cameron H．Malin是聯(lián)邦調(diào)查局分配給美國加利福尼亞州洛杉磯的網(wǎng)絡(luò)重案組的特別代理，主要負(fù)責(zé)調(diào)查計(jì)算機(jī)入侵和惡意代碼等問題。Malin先生是一位通過國際電子商務(wù)顧問理事會（電子商務(wù)理事會）認(rèn)證的道德黑客（CEH認(rèn)證），是一位通過國際信息系統(tǒng)安全認(rèn)證協(xié)會（“（ISC）2”）認(rèn)證的信息系統(tǒng)安裝專家（CISSP），還是一位通過SANS研究機(jī)構(gòu)認(rèn)證的資深逆向工程惡意軟件分析專家、資深系統(tǒng)入侵分析員、資深故障處理員和資深取證分析員。Malin先生目前是數(shù)字取證國際期刊（UDE）的編委會成員和信息保障技術(shù)分析中心（IATAC）的主題專欄專家。就職于美國聯(lián)邦調(diào)查局之前，Malin曾是佛羅里達(dá)州邁阿密的國家檢察官助理（ASA）和美國司法部長特別助理，專門從事計(jì)算機(jī)犯罪的起訴。在其作為國家檢察官助理的任職期間，Malin先生也擔(dān)任了喬治華盛頓大學(xué)的碩士課程《計(jì)算機(jī)欺詐調(diào)查》的助理教授。本書中由Cameron Matin所提及的相關(guān)技術(shù)、工具、方法、觀點(diǎn)和意見都僅代表其個(gè)人意見，并不代表美國司法部、聯(lián)邦調(diào)查局，甚至美國政府。聯(lián)邦政府或者任何聯(lián)邦機(jī)構(gòu)不以任何方式對此書或其內(nèi)容進(jìn)行支持。譯者簡介：彭國軍，男，1979年11月生，湖北荊州人。武漢大學(xué)計(jì)算機(jī)學(xué)院教師、信息安全博士。2001年起從事惡意軟件及防護(hù)技術(shù)研究，曾協(xié)助公安機(jī)關(guān)進(jìn)行多起網(wǎng)絡(luò)犯罪案件的取證工作；2004年主編信息安全專業(yè)本科教材《計(jì)算機(jī)病毒分析與對抗》（“十一五”規(guī)劃教材），參編和翻譯的著作包括《計(jì)算機(jī)網(wǎng)絡(luò)管理實(shí)用教程》、《信息安全原理與實(shí)踐》等。主持多個(gè)省部級網(wǎng)絡(luò)與安全科研項(xiàng)目，并參與多個(gè)國家“863”項(xiàng)目與國家自然科學(xué)基金項(xiàng)目。目前已發(fā)表信息安全方向科研與教學(xué)論文近20篇，各類安全技術(shù)文章近20篇。研究方向包括惡意代碼、網(wǎng)絡(luò)攻防、軟件可信等。