恶意代码取证
¥ 13.2 1.9折 ¥ 69 九五品
仅1件
作者奎林娜(James M.Aquilina)
出版社科学出版社
ISBN9787030250667
出版时间2009-07
版次1
装帧平装
开本16开
纸张胶版纸
页数542页
字数99999千字
定价69元
上书时间2024-12-08
商品详情
- 品相描述:九五品
- 商品描述
-
基本信息
书名:恶意代码取证
定价:69元
作者:奎林娜(James M.Aquilina)
出版社:科学出版社
出版日期:2009-07-01
ISBN:9787030250667
字数:840000
页码:542
版次:1
装帧:平装
开本:16开
商品重量:
编辑推荐
《恶意代码取证》特色: 本详细描述恶意代码取证技术的作品,获得2008 Bejtlich 图书奖(Winner of Best Book Bejtlich Read in 2008),《恶意代码取证》作者参与了许多恶意入侵案件的调查审理工作,具有丰富的实践经验,全书结合实例对相关的技术和工具进行说明,同时给出相关法律思考、法律后果及必要的治理方法。
内容提要
目录
章 恶意软件事件响应:易失性数据收集与实时Windows系统检查引言建立实时响应工具包测试和验证您的工具易失性数据收集方法易失性数据的保存搜集目标系统详细信息识别登录到当前系统的用户检查网络连接和活动搜集进程信息关联开放端口及其活动进程(和程序)检查服务和驱动程序检查打开的文件收集命令的历史记录识别共享检查计划任务收集剪贴板内容从实时Windows系统收集非易失性数据在实时Windows系统中对存储媒介进行司法复制对实时Windows系统的特定数据进行司法保存适用于Windows的事件响应工具套件Windows Forensic Toolchest从实时Windows系统中检查和提取恶意软件小结第2章 恶意软件事件响应:易失性数据收集与实时Linux系统检查引言易失性数据收集方法Linux上的事件响应工具集实时UNIX系统的完整内存转储在实时UNIX系统上保存进程内存信息获取目标系统的详细信息识别出登录到系统的用户检查网络连接收集进程信息/proc目录中的易失性数据打开的文件和附属资源检查已加载的模块收集命令行历史信息识别出已安装的共享驱动器确定计划任务实时Linux系统中的非易失性数据收集对实时Linux系统中的存储介质的取证拷贝对实时Linux系统中的指定数据进行取证保存评估安全配置评估主机的信任关系收集登录日志和系统日志信息小结第3章 内存取证:分析物理内存和进程内存获取取证线索引言内存取证方法学传统内存分析方法Windows内存取证工具深入分析内存映像活动的、未活动的和隐藏的进程Windows内存取证工具机理虚拟内存地址进程和线程恢复提取可执行文件提取进程内存数据进程内存数据的导出和Windows系统实时分析对实时运行的进程进行安全评估捕获进程并分析内存Linux内存取证分析工具进程元数据Linux内存取证分析工具机理定位内存数据结构进程其他内存数据结构在Linux系统上导出进程内存并进行分析系统上的进程活动用ps搜集进程信息利用lsof识别进程活动在/proc中定位可疑进程从Jproc目录拷贝可疑可执行文件捕获并检测进程内存数据用gcore导出核心进程映像用Pcat获取进程内存数据用Memfetch获取进程内存数据用ProcessDumper获取进程内存数据其他事项小结第4章 事后取证:从windows系统中搜索并提取恶意软件以及相关线索引言受害windows系统的司法检查时间分析:不仅仅只是一个时间轴功能分析:重载一台windows计算机镜像关系分析关联与重载从windows系统中发现并提取恶意软件搜索已知的恶意软件检查已安装的程序检查预取文件检查可执行文件检查服务、驱动自启动位置以及计划任务审查日志检查用户账户检查文件系统检查注册表还原点关键词搜索深入的wlndows系统中的恶意软件发现与提取技术定制解药小结第5章 事后取证:从Linux系统中搜索并提取恶意软件以及相关线索引言从Linux系统上发现和提取恶意软件搜索已知的恶意软件审查已安装的程序和潜在的可疑可执行文件审查自启动区域、配置文件和计划任务检查日志审查用户账户检查文件系统关键字搜索小结第6章 法律规范引言注意事项调查机构司法机构私人调查机构调查机构的法定约束存储数据实时数据非内容数据受保护数据联邦法律洲际法律数据获取工具跨境获得数据执法部门介入增加被法院受理的机会第7章 文件识别和构型:Windows系统中可疑文件的初步分析引言案例:“HotNewVideo!”文件构型过程概述可执行文件分析系统详细信息哈希值文件相似性索引文件特征识别与分类反病毒特征码提取文件嵌入线索:字符串、符号信息,以及文件元数据文件混淆技术:加壳和加密文件的鉴别嵌入线索的再提取小结第8章 文件识别和构型:Linux系统上可疑文件的初步分析引言文件构型过程概述分析Linux可执行文件可执行文件是如何被编译的静态链接vs动态链接……第9章 Windows平台下可疑软件分析0章 Linux平台下可疑程序分析
作者介绍
序言
网络犯罪是信息时代的产物。近年来随着计算机及信息网络的普遍运用,特别是各类金融业务通过因特网不断得到拓展,全球的网络犯罪案件一直呈上升趋势。仅2008年,我国各大反病毒公司所捕获的新恶意程序样本数量已经突破1000万。黑客/病毒产业链在近年来发展迅猛,通过非正常手段获取的个人资料已经从QQ密码、网游密码等发展到银行账号、信用卡账号等,同时越来越多的黑客团伙开始利用木马、病毒进行敲诈和受雇攻击等。黑客/病毒地下产业链的日趋壮大使得网络犯罪已经成为一个不容忽视的社会问题。如何有效防范并打击网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题,而且是计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。本书由本领域具有丰富实际经验的信息安全专家编写,也是目前国内外恶意软件取证领域唯一一本实际的动手体验指南。本书旨在提出一套完整的恶意软件取证方法和流程,并以Windows和Linox两种操作系统为平台详细介绍了恶意软件取证过程的5个主要的阶段:易失性数据取证保存和检查、内存检查、硬盘检查、恶意软件静态分析、恶意软件动态分析。在具体介绍每个取证阶段的主要技术和方法的同时,也给出了很多实例分析用于对相关的技术和工具进行说明,并且给出了相关法律指导。我们期望此书的翻译出版能够在积极借鉴国外先进取证思想的同时,促进国内取证技术手段的发展,并对提高我国网络安全事件应急响应及网侦队伍的整体水平有所裨益。本书可用作高等院校信息安全专业及计算机专业本科生、研究生的教材。同时,对于信息安全特别是网络司法取证学界的广大教师、研究人员及公安网侦人员,本书同样是不可多得的重要参考资料。在网络安全事件应急响应人员与网侦人员的培训方面,本书更是以其实用性见长。本书由武汉大学计算机学院彭国军和陶芬负责翻译。参与本书翻译工作的还有熊思阳、张志峰、潘宣辰、乔伟和程斌林,同时他们参与了本书部分章节的校对。全书最后由彭国军统稿、审定。科学出版社的田慎鹏编辑及其他工作人员为本书的顺利出版、发行做了大量艰苦细致的工作。在此,谨向他们表示由衷的谢意!由于本书篇幅较长、译文工作量较大,加之译者水平、能力有限,理解和翻译表达不妥或错误之处在所难免,敬请广大读者批评指正。
-
【封面】
— 没有更多了 —
以下为对购买帮助不大的评价