| 本书主要论述使用极为广泛的Windows系统平台的计算机取证问题,从理论、实践、技术等多角度进行详细的阐述,给出了在目标机和分析工具方面均立足于windows平台的指南,旨在为UNIX/Linux专家提供Windows操作系统中适合取证分析的工作细节,为那些希望进入计算机取证世界的Windows专家们提供坚实的基础,让更多的取证爱好者得以借由本书进入Windows取证这个充满魅力和挑战的领域。 本书适合不同层次读者使用:企业网络安全管理人员、网络(监察)警察、本科生、研究生、科研教学人员及广大计算机使用及爱好者。具体而言,本书不但适合信息安全领域的企业实践人员使用,也适合该领域科研人员使用,同时也适合于在企业、高校内进行计算机取证人才培训,包括作为企业安全管理员和取证分析师培训教材,高校信息安全专业的本科生、研究生专业课教材,或计算机、信息技术等相相关专业的本科生和研究生(尤其是工程硕士)等选修课教材。 |
| Chad Steel调查了300多起计算机安全事件,具有丰富的经验。在美国宾夕法尼亚州的工程师培养计划中,他作为兼职教师设立并承担了研究生课程“计算机取证”,并且为美国联邦和地方执法机关、商业客户和研究生提供取证分析方面的指导。他曾任一家全球百强企业的IT调查负责人,以及一个全球财富百强企业顾问组的首席安全官和负责系统集成与安全服务的业务主管。 Chad拥有计算机工程专业的本科和硕士学位,目前正在攻读美国弗吉尼亚理工大学的博士学位,其联系方式为:csteel@yahoo.tom。 |
| 译者序 作者简介 出品团队 致谢 第1章 Windows取证 1.1企业计算机取证分析师 1.2 Windows取证 1.3人、程序和工具 1.4计算机取证:当前和未来 1.5补充参考资源 第2章 处理数字犯罪现场 2.1确认现场 2.2执行远程调查 2.3保护现场 2.4记录现场 2.5处理物理证据现场 2.6处理数字证据现场 2.7保管链 2.8最佳证据 2.9与执法机关共事 2.1 0补充参考资源 第3章 Windows取证基础 3.1历史和版本 3.1.1 MS.DOS 3.1.2 Windows 1.x、2.x和3.x 3.1.3 Windows NT雨II Windows 2000 3.1.4 Windows 95/98/Me 3.1.5 Windows XP/2003 3.2非易失性存储器 3.2.1软盘 3.2.2磁带 3.2.3 CD和DVD- 3.2.4 USB闪存驱动器 3.2.5硬盘 3.3补充参考资源 第4章 分区和文件系统 4.1主引导记录 4.2 Windows文件系统 4.2.1 FAT 4.2.2 VFAT 4.2.3 NITS 4.3补充参考资源 第5章 目录结构和特殊文件 5.1Windows NI/2000/XP 5.1.1目录 5.1.2文件 5.2 Windows 9x 5.2.1目录 5.2.2文件 5.3补充参考资源 第6章 注册表 6.1历史 6.2注册表基础知识 6.3注册表分析 6.3.1常规注册表键 6.3.2文件夹位置 6.3.3自启动项目 6.3.4智能表单 6.4高级注册表分析 6.5补充参考资源 第7章 取证分析 第8章 系统联机分析 8.1隐秘分析 8.1.1系统状态分析 8.1.2监控 8.2公开分析 8.2.1基于GUI的公开分析 8.2.2本地命令行分析 8.2.3远程命令行分析 8.2.4基本信息收集 8.2.5系统状态信息 8.2.6运行程序的信息 8.2.7主存分析 8.3补充参考资源 第9章 取证复制 9.1硬盘复制 9.1.1原地复制 9.1.2直连复制 9.2日志文件复制 9.3补充参考资源 第10章 文件系统分析 10.1搜索 10.1.1索引搜索 10.1.2按位搜索 10.1.3搜索方法 10.2散列分析 10.2.1正散列分析 10.2.2反散列分析 10.3文件恢复 10.4特殊文件 10.4.1打印队列文件 10.4.2 Windows快捷方式 10.4.3分页文件 10.5补充参考资源 第11章 日志文件分析 11.1事件日志 11.1.1应用程序日志 11.1.2系统日志 11.1.3安全日志 11.2因特网日志 11.2.1 HTTP日志 11.2.2 FTP日志 11.2.3 SMTP日志 11.3补充参考资源 第12章 因特网使用分析 12.1网络活动 12.1.1 IE浏览器 12.1.2 Firefox 12.1.3工具栏历史 12.1.4网络、代理和DNS历史记录 12.2对等网络 12.2.1 Gnutella客户端 12.2.2 Limewire 12.2.3 Fasfr'rack客户端 12.2.4 Overact、eMule、eDonkey 2000客户端 12.3即时消息 12.3.1 AOI。Instant Messenger 12.3.2 Microsoft Messenger 12.4补充参考资源 第13章 电子邮件调查 13.1 0utlOOk/0utlOOk Exoress 13.1.1 Outlook Express 13.1.2 Outlook 13.2 Lotus Notes 13.2.1获取 13.2.2访问控制与日志记录 13.2.3分析 13.2.4地址簿 13.3补充参考资源 附录1 保管链表格的样例 附录2 主引导记录的结构 附录3 分区类型 附录4 FAT32引导扇区的结构 附录5 NTFS引导扇区结构 附录6 NTFS元文件 附录7 常见的安全标识符 |
内容加载中,请稍后...
商品评论(0条)