Windows取证分析

图书标准信息

• 作者 [美]Harlan、王智慧、崔孝晨、陆道宏 著
• 出版社 科学出版社
• 出版时间 2009-01
• 版次 1
• ISBN 9787030233080
• 定价 45.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 219页
• 字数 320千字
• 正文语种 简体中文
• 原版书名 Windows Forensic Analysis
• 丛书 21世纪信息安全大系

【内容简介】

　　《Windows取证分析》的写作源于实战的需要，主要关注Windows取证分析这一技术领域，主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题，重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析，以及Rootkits等内容。《Windows取证分析》不仅为取证分析人员、调查人员和应急响应人员提供参考，也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。

【作者简介】

　　HarlanCarvey（CISSP），同时也是《Windows取证和事件恢复》（WindowsForensicsandIncidentRecovery）一书的作者。HarlanCarvey是硅谷北部和大都会地区的计算机取证与应急响应顾问，现在他为全美所有地区的客户提供紧急事件响应和计算机取证服务。Harlan的专业领域集中在Windows2000及其后续平台的的应急响应、注册表和内存分析、以及事后的计算机取证分析。Harlan曾作为专职的安全工程师提供漏洞评估和渗透测试服务。Harlan也为联邦政府部门提供应急响应和计算机取证服务。
　　Harlan曾获得弗吉利亚军事学院（VirginiaMilitaryInstitute）电子工程学士学位和拉瓦尔研究生学院（NavalPostgraduateSchool）电子工程硕士学位
　　Harlan在此对他的妻子——Terri，在本书写作过程中的支持、耐心和幽默表示感谢。

【目录】

前言
第1章开机取证：数据收集
引言
开机取证（LiveResponse）
诺卡德交换原理
易变信息的次序
何时进行开机取证
收集什么数据
系统时间
当前登录用户
打开的文件
网络信息（缓存的NetBIOS名字列表）
网络连接
进程信息
进程到端口的映射
进程内存
网络状态
剪贴板内容
服务/驱动信息
命令行历史
映射的驱动器
共享
非易变信息
注册表设置
事件日志
设备和其他信息
有关怎样挑选工具
开机取证方法
本地开机取证方法
远程取证方法
混合方法
小结
参考资料
快速解决方案
常见问题

第2章开机取证：数据分析
引言
数据分析
案例一
案例二
敏捷分析
扩大范围
应对
防范
小结
参考资料
快速解决方案
常见问题

第3章Windows内存分析
引言
内存分析简史
获取物理内存镜像
基于硬件的方案
利用火线接口
崩溃转储
利用虚拟机
休眠文件
DD
分析物理内存镜像
进程基础
分析内存镜像
分析进程内存
提取进程可执行文件镜像
内存镜像分析和页交换文件
根据内存镜像判断操作系统类型
分析内存池
获取进程内存
小结
参考资料
快速解决方案
常见问题

第4章注册表分析
引言
注册表内部结构
配置单元文件内的注册表结构
注册表作为日志文件
监视注册表变化
注册表分析
系统信息
自动启动位置
枚举注册表白动启动位置
USB移动存储设备
MountedDcvices
查找用户
追踪用户活动
WindowsXP系统还原点
小结
光盘内容
参考资料
快速解决方案
常见问题

第5章文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志头部
事件记录结构
Vista事件日志
IIS日志
因特网浏览器历史
其他日志文件
回收站
系统还原点
Prefetch文件
快捷方式文件
文件元数据
Word文档
PDF文档
图像文件
义件特征分析
NTFS分支数据流
其他分析方法
小结
参考资料
快速解决方案
常见问题

第6章可执行文件分析
引言
静态分析
记录文件信息
分析可执行文件
动态分析
测试环境
一次性系统
工具
流稗
小结
参考资料
快速解决方案
常见问题

第7章Rootkits及其检测
引言
Rootkits
Rootkit检测
开机柃测
GMER
Helios
MSStriderGhostBuster
F-SecureBlackLight
SophosAnti-Rootkit
AntiRootkit.com
后期检测
预防
小结
参考资料
快速解决方案
常见问题