Analiza_sledcza_i_powlamaniowa_Zaawansowane_techniki_prowadzenia_analizy_w_systemie_Windows_7_Wydanie_III_anasl3.pdf
(
936 KB
)
Pobierz
Tytuł oryginału: Windows Forensic Analysis Toolkit, Third Edition:
Advanced Analysis Techniques for Windows 7
Tłumaczenie: Grzegorz Kowalczyk
ISBN: 978-83-246-6652-2
Syngress is an imprint of Elsevier. 225 Wyman Street, Waltham, MA 02451, USA.
Copyright © 2012 Elsevier Inc. All rights reserved.
No part of this publication may be reproduced or transmitted in any form or by any means, electronic or
mechanical, including photocopying, recording, or any information storage and retrieval system, without
permission in writing from the Publisher.
This book and the individual contributions contained in it are protected under copyright by the Publisher
(other than as may be noted herein).
This edition of Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 7 by Harlan
Carvey is published by arrengement with ELSEVIER INC., a Delaware corporation having its principal place
of business at 360 Park Avenue South, New York, NY 10010, USA.
Translation copyright © 2013 Helion SA.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji
w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także
kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich
niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były
kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane
z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą
również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych
w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/anasl3
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
•
Kup książkę
•
Poleć książkę
•
Oceń książkę
•
Księgarnia internetowa
•
Lubię to! » Nasza społeczność
Spis tre ci
Przedmowa ........................................................................................................................................... 9
PodziÚkowania ................................................................................................................................... 15
O autorze ............................................................................................................................................ 17
O korektorze merytorycznym ............................................................................................................ 19
ROZDZIA 1. Zaïo enia analizy systemów komputerowych ............................................................. 21
Wprowadzenie ................................................................................................................................21
Założenia analizy systemów komputerowych ............................................................................24
Wersje systemu Windows ......................................................................................................25
Reguły i zasady przeprowadzania analizy ............................................................................27
Dokumentacja ..........................................................................................................................40
Konwergencja ...........................................................................................................................42
Wirtualizacja .............................................................................................................................44
Konfiguracja środowiska śledczego .............................................................................................46
Podsumowanie ...............................................................................................................................50
ROZDZIA 2. Szybka reakcja na incydenty ....................................................................................... 51
Wprowadzenie ................................................................................................................................51
Jak być przygotowanym do sprawnego reagowania na incydenty? ........................................53
Pytania .......................................................................................................................................55
Najważniejszy element — przygotowania ............................................................................57
Dzienniki zdarzeń (logi) .........................................................................................................62
Gromadzenie danych .....................................................................................................................68
Szkolenia ...................................................................................................................................72
Podsumowanie ...............................................................................................................................74
ROZDZIA 3. Usïuga VSS — kopiowanie woluminów w tle .............................................................. 75
Wprowadzenie ................................................................................................................................75
Czym jest usługa kopiowania woluminów w tle? ......................................................................76
Klucze w rejestrze ....................................................................................................................78
Praca z kopiami VSS we włączonych systemach .......................................................................79
Pakiet ProDiscover ..................................................................................................................83
Pakiet F-Response ....................................................................................................................83
Praca z kopiami VSS w binarnych obrazach dysków ................................................................86
Metoda z wykorzystaniem plików VHD ..............................................................................88
Metoda z wykorzystaniem oprogramowania VMware ......................................................93
Kup książkę
Poleć książkę
6
Analiza
ledcza i powïamaniowa
Automatyzacja dostępu do kopii VSS ...................................................................................97
ProDiscover ............................................................................................................................100
Podsumowanie .............................................................................................................................103
Literatura i inne źródła ................................................................................................................103
ROZDZIA 4. Analiza systemu plików .............................................................................................. 105
Wprowadzenie ..............................................................................................................................106
Tablica MFT ..................................................................................................................................107
Mechanizm tunelowania w systemie plików ......................................................................114
Dzienniki zdarzeń systemowych ................................................................................................116
Dziennik zdarzeń systemu Windows ..................................................................................121
Folder Recycle Bin .......................................................................................................................125
Pliki prefetch .................................................................................................................................129
Zaplanowane zadania ..................................................................................................................134
Listy szybkiego dostępu ...............................................................................................................138
Pliki hibernacji ..............................................................................................................................145
Pliki aplikacji .................................................................................................................................146
Logi programów antywirusowych .......................................................................................147
Komunikator Skype ...............................................................................................................148
Produkty firmy Apple ...........................................................................................................149
Pliki graficzne (zdjęcia, obrazy) ...........................................................................................151
Podsumowanie .............................................................................................................................153
Literatura i inne źródła ................................................................................................................154
ROZDZIA 5. Analiza rejestru systemu Windows ............................................................................ 155
Wprowadzenie ..............................................................................................................................156
Analiza rejestru .............................................................................................................................157
Nomenklatura rejestru ..........................................................................................................158
Rejestr jako plik dziennika ....................................................................................................159
Analiza historii urządzeń USB .............................................................................................160
Gałąź System ...........................................................................................................................175
Gałąź Software ........................................................................................................................178
Gałęzie rejestru związane z profilem użytkownika ...........................................................188
Dodatkowe źródła informacji ..............................................................................................199
Narzędzia ................................................................................................................................202
Podsumowanie .............................................................................................................................204
Literatura i inne źródła ................................................................................................................204
ROZDZIA 6. Wykrywanie zïo liwego oprogramowania .................................................................. 205
Wprowadzenie ..............................................................................................................................206
Typowe cechy złośliwego oprogramowania .............................................................................207
Początkowy wektor infekcji ..................................................................................................209
Mechanizm propagacji ..........................................................................................................212
Mechanizm przetrwania .......................................................................................................214
Artefakty ..................................................................................................................................219
Kup książkę
Poleć książkę
Spis tre ci
7
Wykrywanie złośliwego oprogramowania ...............................................................................222
Analiza logów .........................................................................................................................223
Skany antywirusowe ..............................................................................................................229
Zaglądamy głębiej ..................................................................................................................234
Złośliwe strony internetowe .................................................................................................251
Podsumowanie .............................................................................................................................254
Literatura i inne źródła ................................................................................................................254
ROZDZIA 7. Analiza zdarzeñ w osi czasu ...................................................................................... 255
Wprowadzenie ..............................................................................................................................256
Zestawienie zdarzeń w osi czasu ................................................................................................256
Źródła danych ........................................................................................................................259
Formaty czasu .........................................................................................................................260
Koncepcje ................................................................................................................................261
Zalety analizy czasowej .........................................................................................................263
Format .....................................................................................................................................267
Tworzenie historii zdarzeń w osi czasu .....................................................................................273
Metadane systemu plików ....................................................................................................275
Dzienniki zdarzeń ..................................................................................................................282
Pliki prefetch ...........................................................................................................................286
Dane z rejestru ........................................................................................................................287
Dodatkowe źródła danych ....................................................................................................290
Konwersja pliku zdarzeń na finalną postać ........................................................................292
Kilka uwag związanych z wizualizacją ................................................................................294
Studium przypadku .....................................................................................................................295
Podsumowanie .............................................................................................................................299
ROZDZIA 8. Analiza aplikacji ......................................................................................................... 301
Wprowadzenie ..............................................................................................................................301
Pliki logów .....................................................................................................................................303
Analiza dynamiczna .....................................................................................................................305
Przechwytywanie ruchu sieciowego ..........................................................................................310
Analiza pamięci zajmowanej przez aplikację ...........................................................................312
Podsumowanie .............................................................................................................................313
Literatura i inne źródła ................................................................................................................313
SKOROWIDZ ...................................................................................................................................... 315
Kup książkę
Poleć książkę
Plik z chomika:
cyfrak
Inne pliki z tego folderu:
ABC_ochrony_komputera_przed_atakami_hakera_abchak.pdf
(192 KB)
ABC_ochrony_przed_wirusami_abcwir.pdf
(1204 KB)
AIX_PowerVM_UNIX_wirtualizacja_bezpieczenstwo_Podrecznik_administratora_aixpow.pdf
(1765 KB)
Analiza_sledcza_i_powlamaniowa_Zaawansowane_techniki_prowadzenia_analizy_w_systemie_Windows_7_Wydanie_III_anasl3.pdf
(936 KB)
Anti_Hacker_Tool_Kit_Edycja_polska_antiha.pdf
(789 KB)
Inne foldery tego chomika:
3ds max
Access
Acrobat
After Effects
Agile - Programowanie
Zgłoś jeśli
naruszono regulamin