Windows取證分析檢視原始碼討論檢視歷史
 |
《Windows取證分析》,ISBN:9787030233080,作者:(美)Harlan Carvey 著,王智慧,崔孝晨,陸道宏 譯 , 出版社:科學出版社 。
書籍對於人類原有很重大的意義,但,書籍不僅對那些不會讀書的人是毫無用處,就是對那些機械地讀完了書還不會從死的文字中引申活的思想[1]的人也是無用的。 —— 烏申斯基[2]
作者介紹
Harlan Carvey(CISSP),同時也是《Windows取證和事件恢復》(Windows Forensics and Incident Recovery)一書的作者。Harlan Carvey是硅谷北部和大都會地區的計算機取證與應急響應顧問,現在他為全美所有地區的客戶提供緊急事件響應和計算機取證服務。Harlan的專業領域
目錄
前言
章 開機取證:數據收集
引言
開機取證(Live Response)
諾卡德交換原理
易變信息的次序
何時進行開機取證
收集什麼數據
系統時間
當前登錄用戶
打開的文件
網絡信息(緩存的NetBIOS名字列表)
網絡連接
進程信息
前言
章 開機取證:數據收集
引言
開機取證(Live Response)
諾卡德交換原理
易變信息的次序
何時進行開機取證
收集什麼數據
系統時間
當前登錄用戶
打開的文件
網絡信息(緩存的NetBIOS名字列表)
網絡連接
進程信息
進程到端口的映射
進程內存
網絡狀態
剪貼板內容
服務/驅動信息
命令行歷史
映射的驅動器
共享
非易變信息
註冊表設置
事件日誌
設備和其他信息
有關怎樣挑選工具
開機取證方法
本地開機取證方法
遠程取證方法
混合方法
小結
參考資料
快速解決方案
常見問題
第2章 開機取證:數據分析
引言
數據分析
案例一
案例二
敏捷分析
擴大範圍
應對
防範
小結
參考資料
快速解決方案
常見問題
第3章 Windows內存分析
引言
內存分析簡史
獲取物理內存鏡像
基於硬件的方案
利用火線接口
崩潰轉儲
利用虛擬機
休眠文件
DD
分析物理內存鏡像
進程基礎
分析內存鏡像
分析進程內存
提取進程可執行文件鏡像
內存鏡像分析和頁交換文件
根據內存鏡像判斷操作系統類型
分析內存池
獲取進程內存
小結
參考資料
快速解決方案
常見問題
第4章 註冊表分析
引言
註冊表內部結構
配置單元文件內的註冊表結構
註冊表作為日誌文件
監視註冊表變化
註冊表分析
系統信息
自動啟動位置
枚舉註冊表白動啟動位置
USB移動存儲設備
Mounted Dcvices
查找用戶
追蹤用戶活動
Windows XP系統還原點
小結
光盤內容
參考資料
快速解決方案
常見問題
第5章 文件分析
引言
事件日誌
理解事件
事件日誌文件格式
事件日誌頭部
事件記錄結構
Vista事件日誌
IIS 日誌
因特網瀏覽器歷史
其他日誌文件
回收站
系統還原點
Prefetc件
快捷方式文件
文件元數據
Word文檔
PDF文檔
圖像文件
義件特徵分析
NTFS分支數據流
其他分析方法
小結
參考資料
快速解決方案
常見問題
第6章 可執行文件分析
引言
靜態分析
記錄文件信息
分析可執行文件
動態分析
測試環境
一次性系統
工具
流稗
小結
參考資料
快速解決方案
常見問題
第7章 Rootkits及其檢測
引言
Rootkits
Rootkit檢測
開機柃測
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.
後期檢測
預防
小結
參考資料
快速解決方案
常見問題顯示信息