图书介绍

计算机取证PDF|Epub|txt|kindle电子书版本网盘下载

计算机取证
  • (美)法莫尔(Farmer,D.),(美)温玛(Venema,W.)著;何泾沙等译 著
  • 出版社: 北京:机械工业出版社
  • ISBN:711121241X
  • 出版时间:2007
  • 标注页数:186页
  • 文件大小:14MB
  • 文件页数:198页
  • 主题词:计算机犯罪-证据-调查-研究

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:16c735c8f10cc619aa97e8c300f8a9d0

下载说明

计算机取证PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第一部分 基本概念第1章 计算机取证宗旨3

1.1 引言3

1.2 突显异常活动4

1.3 易失性顺序5

1.4 层与假象7

1.5 信息的可信度8

1.6 被删除信息的固化10

1.7 数字考古学与地质学11

第2章 时间机器15

2.1 引言15

2.2 故障的第一个特征15

2.3 MAC时间介绍16

2.4 MAC时间的局限性18

2.5 Argus:情况变得更为复杂19

2.6 淘金:在隐蔽的地方寻找时间信息23

2.7 DNS和时间25

2.8 日志文件系统和MAC时间28

2.9 时间的缺陷31

2.10 结论32

第二部分 探讨系统抽象第3章 文件系统基础35

3.1 引言35

3.2 文件系统的字母表35

3.3 UNIX文件组织结构36

3.4 UNIX文件名39

3.5 UNIX路径名40

3.6 UNIX文件类型41

3.6.1 普通文件41

3.6.2 目录41

3.6.3 符号链接42

3.6.4 IPC(进程间通信)端点42

3.6.5 设备文件42

3.7 首次揭密——文件系统内部情况43

3.8 UNIX文件系统布局49

3.9 揭开秘密——深入探索文件系统49

3.10 模糊区——隐藏在文件系统接口之下的威胁51

3.11 结论52

第4章 文件系统分析53

4.1 引言53

4.2 初次接触53

4.3 准备分析被入侵的文件系统54

4.4 捕获被入侵的文件系统信息55

4.5 通过网络发送磁盘镜像56

4.6 在分析的机器上挂载磁盘镜像59

4.7 现存文件的MAC时间信息61

4.8 现存文件的详细分析63

4.9 掩盖现存文件分析65

4.10 插曲:当一个文件被删除时,将会发生什么?66

4.10.1 父目录项67

4.10.2 父目录属性68

4.10.3 索引节点块68

4.10.4 数据块68

4.11 被删除文件的MAC时间信息69

4.12 被删除文件的详细分析69

4.13 利用索引节点号发现异常文件71

4.14 追踪一个被删除文件的原始位置72

4.15 通过被删除文件的索引节点号来追踪被删除的文件73

4.16 回到入侵的另外一个分支74

4.17 丧失无辜74

4.18 结论76

第5章 系统与破坏77

5.1 引言77

5.2 标准计算机系统结构78

5.3 UNIX系统从启动到关闭的生命周期79

5.4 案例研究:系统启动的复杂性80

5.5 内核配置机制81

5.6 使用内核安全等级来保护计算机取证信息83

5.7 典型的进程和系统状态工具84

5.8 进程和系统状态工具是如何工作的87

5.9 进程和系统状态工具的局限性87

5.10 用rootkit软件进行破坏89

5.11 命令级破坏89

5.12 命令级的隐蔽和检测90

5.13 库级破坏93

5.14 内核级破坏94

5.15 内核rootkit的安装94

5.16 内核rootkit的操作95

5.17 内核rootkit的检测与隐藏97

5.18 结论101

第6章 恶意攻击软件分析基础103

6.1 引言103

6.2 动态程序分析的危险104

6.3 硬件虚拟机的程序限制104

6.4 软件虚拟机的程序限制105

6.5 软件虚拟机限制的危险性106

6.6 Jails和chroot()的程序限制107

6.7 系统调用监控程序的动态分析109

6.8 系统调用审查程序的限制111

6.9 系统调用哄骗程序的限制114

6.10 系统调用限制的危险116

6.11 库调用监控的动态分析117

6.12 库调用程序的限制117

6.13 库调用限制的危险120

6.14 机器指令级的动态分析120

6.15 静态分析与逆向工程120

6.16 小程序存在许多问题124

6.17 恶意攻击软件分析对策124

6.18 结论125

第三部分 超越抽象第7章 被删除文件信息的持久性129

7.1 引言129

7.2 被删除信息持久性举例130

7.3 测量被删除文件内容的持久性131

7.4 测量被删除文件MAC时间的持久性132

7.5 被删除文件MAC时间的强力持久性133

7.6 被删除文件MAC时间信息的长期持久性136

7.7 用户活动对被删除文件的MAC时间信息的影响138

7.8 被删除文件信息的可信度139

7.9 为什么被删除文件信息能够保持不变140

7.10 结论142

第8章 超越进程145

8.1 引言145

8.2 虚拟内存的基础知识146

8.3 内存页的基础知识147

8.4 文件和内存页148

8.5 匿名内存页149

8.6 捕获内存149

8.7 savecore命令150

8.7.1 内存设备文件:/dev/mem和/dev/kmem151

8.7.2 交换分区152

8.7.3 其他存储单元153

8.8 静态分析:从文件中识别内存154

8.9 在无密钥的情况下恢复加密文件的内容155

8.9.1 创建一个加密文件155

8.9.2 从主存中恢复加密文件155

8.10 文件系统块VS.内存分页技术156

8.11 识别内存中的文件158

8.12 动态分析:内存数据的持久性159

8.13 内存中文件的持久性161

8.14 非文件或匿名数据的持久性163

8.15 交换分区的持久性164

8.16 引导进程内存的持久性164

8.17 内存数据的可信度和坚韧性165

8.18 结论167

附录A Coroner's工具包及其相关软件169

附录B 数据收集和易失性顺序175

参考文献181

热门推荐