網(wǎng)絡(luò)入侵調(diào)查：網(wǎng)絡(luò)工程師電子數(shù)據(jù)取證方法

譯者序
前言
致謝
作者簡介
審校者簡介
第1章　電子數(shù)據(jù)取證 1
1.1　定義電子數(shù)據(jù)取證 2
1.2　從事取證服務(wù) 4
1.3　匯報犯罪活動 6
1.4　搜查令與法律 7
1.5　取證角色 10
1.6　取證就業(yè)市場 12
1.7　取證培訓(xùn) 13
1.8　小結(jié) 19
參考文獻(xiàn) 19
第2章　網(wǎng)絡(luò)犯罪與防御 20
2.1　數(shù)字時代的犯罪 21
2.2　漏洞利用 24
2.3　對手 27
2.4　網(wǎng)絡(luò)法 28
2.5　小結(jié) 30
參考文獻(xiàn) 31
第3章　建立電子數(shù)據(jù)取證實驗室 32
3.1　桌面虛擬化 32
3.1.1　VMware Fusion 33
3.1.2　VirtualBox 33
3.2　安裝Kali Linux 34
3.3　攻擊虛擬機 40
3.4　Cuckoo沙盒 44
3.4.1　Cuckoo虛擬化軟件 45
3.4.2　安裝TCPdump 46
3.4.3　在VirtualBox上為Cuckoo創(chuàng)建賬戶 46
3.5　Binwalk 47
3.6　The Sleuth Kit 48
3.7　Cisco Snort 49
3.8　Windows 工具 54
3.9　物理訪問控制 55
3.10　存儲取證證據(jù) 57
3.11　快速取證背包 59
3.12　小結(jié) 60
參考文獻(xiàn) 60
第4章　違規(guī)應(yīng)急響應(yīng) 61
4.1　機構(gòu)在應(yīng)急響應(yīng)中失敗的原因 62
4.2　為網(wǎng)絡(luò)事件做好準(zhǔn)備 63
4.3　應(yīng)急響應(yīng)定義 64
4.4　應(yīng)急響應(yīng)計劃 65
4.5　組建應(yīng)急響應(yīng)團隊 67
4.5.1　應(yīng)急響應(yīng)團隊的介入時機 67
4.5.2　應(yīng)急響應(yīng)中容易忽略的事項 70
4.5.3　電話樹和聯(lián)系人列表 70
4.5.4　設(shè)施 71
4.6　應(yīng)急響應(yīng) 71
4.7　評估事件嚴(yán)重性 72
4.8　遵循的通知程序 73
4.9　事件后采取的行動和程序 74
4.10　了解有助于應(yīng)對違規(guī)事件的軟件 74
4.10.1　趨勢分析軟件 75
4.10.2　安全分析參考架構(gòu) 75
4.10.3　其他軟件類別 77
4.11　小結(jié) 78
參考文獻(xiàn) 78
第5章　調(diào)查 79
5.1　預(yù)調(diào)查 79
5.2　開始案件 81
5.3　應(yīng)急響應(yīng)人員 84
5.4　設(shè)備電源狀態(tài) 88
5.5　搜查和扣押 90
5.6　證據(jù)保管鏈 94
5.7　網(wǎng)絡(luò)調(diào)查 96
5.8　取證報告 101
5.8.1　案例摘要 102
5.8.2　獲取和檢查準(zhǔn)備 103
5.8.3　發(fā)現(xiàn) 103
5.8.4　結(jié)論 103
5.8.5　作者列表 104
5.9　結(jié)束案件 105
5.10　評判案件 108
5.11　小結(jié) 110
參考文獻(xiàn) 111
第6章　收集和保全證據(jù) 112
6.1　應(yīng)急響應(yīng)人員 112
6.2　證據(jù) 115
6.2.1　Autopsy 115
6.2.2　授權(quán) 116
6.3　硬盤驅(qū)動器 117
6.3.1　連接和設(shè)備 119
6.3.2　RAID 121
6.4　易失性數(shù)據(jù) 122
6.4.1　DumpIt 122
6.4.2　LiME 123
6.4.3　Volatility 124
6.5　復(fù)制 126
6.5.1　dd 128
6.5.2　dcfldd 129
6.5.3　ddrescue 129
6.5.4　Netcat 130
6.5.5　Guymager 131
6.5.6　壓縮和分片 131
6.6　哈希 133
6.6.1　MD5和SHA哈希 135
6.6.2　哈希挑戰(zhàn) 136
6.7　數(shù)據(jù)保全 136
6.8　小結(jié) 138
參考文獻(xiàn) 138
第7章　終端取證 139
7.1　文件系統(tǒng) 140
7.1.1　定位數(shù)據(jù) 143
7.1.2　未知文件 145
7.1.3　Windows注冊表 147
7.1.4　被刪除的文件 150
7.1.5　Windows回收站 151
7.1.6　快捷方式 154
7.1.7　打印緩沖池 154
7.1.8　松弛空間和損壞的簇 156
7.1.9　交換數(shù)據(jù)流 159
7.2　Mac OS X 161
7.3　日志分析 164
7.4　物聯(lián)網(wǎng)取證 169
7.5　小結(jié) 172
參考文獻(xiàn) 172
第8章　網(wǎng)絡(luò)取證 173
8.1　網(wǎng)絡(luò)協(xié)議 173
8.2　安全工具 175
8.2.1　防火墻 178
8.2.2　入侵檢測和防御系統(tǒng) 178
8.2.3　內(nèi)容過濾器 179
8.2.4　網(wǎng)絡(luò)訪問控制 179
8.2.5　數(shù)據(jù)包捕獲 182
8.2.6　網(wǎng)絡(luò)流 183
8.2.7　沙盒 184
8.2.8　蜜罐 186
8.2.9　安全信息和事件管理器 186
8.2.10　威脅分析與提要 187
8.2.11　安全工具總結(jié) 187
8.3　安全日志 187
8.4　網(wǎng)絡(luò)基線 191
8.5　威脅征兆 192
8.5.1　偵察 193
8.5.2　漏洞利用 195
8.5.3　惡意行為 198
8.5.4　信標(biāo) 200
8.5.5　暴力破解 204
8.5.6　泄露 205
8.5.7　其他指標(biāo) 208
8.6　小結(jié) 209
參考文獻(xiàn) 210
第9章　手機取證 211
9.1　移動設(shè)備 211
9.2　iOS架構(gòu) 212
9.3　iTunes取證 214
9.4　iOS快照 216
9.5　如何給iPhone越獄 218
9.6　Android 219
9.7　繞過PIN 222
9.8　使用商業(yè)工具取證 224
9.9　通話記錄和短信欺騙 225
9.10　語音郵件繞過 226
9.11　如何找到預(yù)付費手機 226
9.12　SIM卡克隆 228
9.13　小結(jié) 228
參考文獻(xiàn) 229
第10章　郵件和社交媒體 230
10.1　瓶中信 230
10.2　郵件首部 231
10.3　社交媒體 236
10.4　人員搜索 236
10.5　谷歌搜索 240
10.6　Facebook搜索 243
10.7　小結(jié) 250
參考文獻(xiàn) 251
第11章　思科取證能力 252
11.1　思科安全架構(gòu) 252
11.2　思科