內(nèi)存取證原理與實(shí)踐

第 1章 內(nèi)存取證技術(shù)概述\t1
1．1　計(jì)算機(jī)取證技術(shù)　1
1．2　計(jì)算機(jī)取證技術(shù)的發(fā)展　3
1．3　計(jì)算機(jī)取證類型　4
1．4　內(nèi)存取證　7
1．5　本章小結(jié)　10
第　2章 內(nèi)存取證基礎(chǔ)知識(shí)　11
2．1　PC硬件架構(gòu)　11
2．2　內(nèi)存管理　14
2．3　地址轉(zhuǎn)換　17
2．4　ARM架構(gòu)　21
2．5　本章小結(jié)　23
第3章　內(nèi)存獲取技術(shù)　24
3．1　基于軟件的內(nèi)存獲取技術(shù)和工具　24
3．2　基于硬件的內(nèi)存獲取技術(shù)和工具　28
3．3　禁止DMA獲取內(nèi)存的技術(shù)　33
3．4　內(nèi)存獲取的其他方式　36
3．5　本章小結(jié)　38
第4章　基于物理內(nèi)存分析的在線取證模型及其可信性評(píng)估　39
4．1　基于物理內(nèi)存分析的在線取證模型　39
4．2　影響內(nèi)存獲取可信性的因素　41
4．3　基于測(cè)量理論的內(nèi)存取證的可信性評(píng)估　43
4．4　內(nèi)存獲取的精密度、準(zhǔn)確度和系統(tǒng)誤差分析　45
4．5　內(nèi)存獲取工具的加載活動(dòng)覆蓋關(guān)鍵痕跡的概率　50
4．6　內(nèi)存鏡像文件提取的數(shù)據(jù)與實(shí)際電子數(shù)據(jù)之間的比較　52
4．7　本章小結(jié)　54
第5章　Windows內(nèi)存分析原理　55
5．1　Windows操作系統(tǒng)關(guān)鍵組件　55
5．2　基于系統(tǒng)組件名稱查找的Windows內(nèi)存分析方法　57
5．3　基于池特征掃描的內(nèi)存分析方法　61
5．4　基于KPCR結(jié)構(gòu)的方法　66
5．5　本章小結(jié)　74
第6章　Windows內(nèi)存分析　75
6．1　進(jìn)程信息分析　75
6．2　Windows事件日志內(nèi)存分析　92
6．3　Windows注冊(cè)表內(nèi)存分析　95
6．4　Windows內(nèi)存的網(wǎng)絡(luò)信息分析　102
6．5　Windows服務(wù)的內(nèi)存分析　106
6．6　Windows內(nèi)存中的文件　110
6．7　從PageFile中獲取更多內(nèi)存數(shù)據(jù)　111
6．8　本章小結(jié)　113
第7章　Linux操作系統(tǒng)內(nèi)存分析原理　114
7．1　Linux操作系統(tǒng)關(guān)鍵組件　114
7．2　ELF二進(jìn)制格式　122
7．3　Volatility物理內(nèi)存分析方法　128
7．4　不依賴于內(nèi)核符號(hào)表文件的Linux物理內(nèi)存分析方法　129
7．5　本章小結(jié)　132
第8章　Linux內(nèi)存分析　133
8．1　進(jìn)程信息　133
8．2　文件系統(tǒng)信息　141
8．3　網(wǎng)絡(luò)連接信息　145
8．4　模塊信息　149
8．5　系統(tǒng)信息　152
8．6　交換文件的分析　156
8．7　本章小結(jié)　158
第9章　Mac OS內(nèi)存分析原理　159
9．1　Mac OS的發(fā)展史　159
9．2　Mac OS X架構(gòu)　162
9．3　Mach-O 可執(zhí)行文件格式　167
9．4　內(nèi)核符號(hào)表　170
9．5　內(nèi)核/用戶空間虛擬地址的劃分　170
9．6　內(nèi)核地址空間布局隨機(jī)化　171
9．7　地址轉(zhuǎn)換　172
9．8　Matthieu Suiche的Mac OS內(nèi)存分析原理　174
9．9　不依賴mach_kernel文件的Mac OS內(nèi)存分析方法　174
9．10　本章小結(jié)　177
第　10章 Mac OS內(nèi)存分析技術(shù)　178
10．1　系統(tǒng)配置信息的分析　178
10．2　掛載的文件系統(tǒng)信息的分析　179
10．3　進(jìn)程信息的分析　181
10．4　內(nèi)核擴(kuò)展（驅(qū)動(dòng)、內(nèi)核模塊）的分析　195
10．5　系統(tǒng)調(diào)用的分析　196
10．6　網(wǎng)絡(luò)信息的分析　197
10．7　SLAB分配器的分析　201
10．8　Bash命令的獲取　203
10．9　內(nèi)核調(diào)試緩沖區(qū)信息的獲取　203
10．10　本章小結(jié)　204
第　11章 安卓智能手機(jī)內(nèi)存取證　205
11．1　智能手機(jī)的硬件組成　206
11．2　從數(shù)字取證到智能手機(jī)取證　207
11．3　智能手機(jī)的數(shù)據(jù)獲取　210
11．4　安卓系統(tǒng)概述　211
11．5　安卓智能手機(jī)內(nèi)存獲取　214
11．6　安卓智能手機(jī)內(nèi)存分析　218
11．7　本章小結(jié)　222
第　12章 內(nèi)存分析在云安全中的應(yīng)用　223
12．1　云計(jì)算服務(wù)模型　223
12．2　虛擬化環(huán)境下面臨的安全風(fēng)險(xiǎn)及研究現(xiàn)狀　225
12．3　基于內(nèi)存分析的虛擬機(jī)安全監(jiān)控方法　227
12．4　基于內(nèi)存旁路的云安全威脅監(jiān)控技術(shù)　239
12．5　本章小結(jié)　242
第　13章 基于uKey的認(rèn)證機(jī)制的破解　243
13．1　身份認(rèn)證技術(shù)　243
13．2　uKey的認(rèn)證機(jī)制　244
13．3　破解基于uKey的Windows登錄認(rèn)證機(jī)制　249
13．4　本章小結(jié)　255
第　14章 木馬的檢測(cè)分析　256
14．1　惡意代碼　256
14．2　APT攻擊　263
14．3　Windows特種木馬檢測(cè)　266
14．4　Linux惡意代碼檢測(cè)　291
14．5　Mac OS惡意代碼檢測(cè)　309
14．6　本章小結(jié)　318
第　15章 系統(tǒng)密碼的破解　319
15．1　密碼認(rèn)證機(jī)制　319
15．2　Windows系統(tǒng)密碼破解　325
15．3　Linux系統(tǒng)密碼破解　330
15．4　Mac OS X登錄屏保密碼破解　331
15．5　以修改內(nèi)存方式向Mac OS植入應(yīng)用程序　335
15．6　本章小結(jié)　337
參考文獻(xiàn)　339