計算機取證

譯者序
前言
第一部分 基本概念
第1章 計算機取證宗旨
1.1 引言
1.2 突顯異?；顒?br />1.3 易失性順序
1.4 層與假象
1.5 信息的可信度
1.6 被刪除信息的固化
1.7 數(shù)字考古學與地質(zhì)學
第2章 時間機器
2.1 引言
2.2 故障的第一個特征
2.3 MAC時間介紹
2.4 MAC時間的局限性
2.5 Argus:情況變得更為復雜
2.6 淘金：在隱蔽的地方尋找時間信息
2.7 DNS和時間
2.8 日志文件系統(tǒng)和MAC時間
2.9 時間的缺陷
2.10 結(jié)論
第二部分 探討系統(tǒng)抽象
第3章 文件系統(tǒng)基礎(chǔ)
3.1 引言
3.2 文件系統(tǒng)的字母表
3.3 UNIX文件組織結(jié)構(gòu)
3.4 UNIX文件名
3.5 UNIX路徑名
3.6 UNIX文件類型
3.6.1 普通文件
3.6.2 目錄
3.6.3 符號鏈接
3.6.4 IPC(進程間通信)端點
3.6.5 設(shè)備文件
3.7 首次揭密——文件系統(tǒng)內(nèi)部情況
3.8 UNIX文件系統(tǒng)布局
3.9 揭開秘密——深入探索文件系統(tǒng)
3.10 模糊區(qū)——隱藏在文件系統(tǒng)接口之下的威脅
3.11 結(jié)論
第4章 文件系統(tǒng)分析
4.1 引言
4.2 初次接觸
4.3 準備分析被入侵的文件系統(tǒng)
4.4 捕獲被入侵的文件系統(tǒng)信息
4.5 通過網(wǎng)絡(luò)發(fā)送磁盤鏡像
4.6 在分析的機器上掛載磁盤鏡像
4.7 現(xiàn)存文件的：MAC時間信息
4.8 現(xiàn)存文件的詳細分析
4.9 掩蓋現(xiàn)存文件分析

4.10 插曲：當一個文件被刪除時，將會發(fā)生什么？
4.10.1 父目錄項
4.10.2 父目錄屬性
4.10.3 索引節(jié)點塊
4.10.4 數(shù)據(jù)塊
4.11 被刪除文件的MAC時間信息
4.12 被刪除文件的詳細分析
4.13 利用索引節(jié)點號發(fā)現(xiàn)異常文件
4.14 追蹤一個被刪除文件的原始位置
4.15 通過被刪除文件的索引節(jié)點號來追蹤被刪除的文件
4.16 回到入侵的另外一個分支
4.17 喪失無辜
4.18 結(jié)論
第5章 系統(tǒng)與破壞
5.1 引言
5.2 標準計算機系統(tǒng)結(jié)構(gòu)
5.3 UNIX系統(tǒng)從啟動到關(guān)閉的生命周期
5.4 案例研究：系統(tǒng)啟動的復雜性
5.5 內(nèi)核配置機制
5.6 使用內(nèi)核安全等級來保護計算機取證信息
5.7 典型的進程和系統(tǒng)狀態(tài)工具
5.8 進程和系統(tǒng)狀態(tài)工具是如何工作的
5.9 進程和系統(tǒng)狀態(tài)工具的局限性
5.10 用rootkit軟件進行破壞
5.11 命令級破壞
5.12 命令級的隱蔽和檢測
5.13 庫級破壞
5.14 內(nèi)核級破壞
5.15 內(nèi)核rootkit的安裝
5.16 內(nèi)核rootkit的操作
5.17 內(nèi)核rootkit的檢測與隱藏
5.18 結(jié)論
第6章 惡意攻擊軟件分析基礎(chǔ)
6.1 引言
6.2 動態(tài)程序分析的危險
6.3 硬件虛擬機的程序限制
6.4 軟件虛擬機的程序限制
6.5 軟件虛擬機限制的危險性
6.6 Jails和chroot()的程序限制
6.7 系統(tǒng)調(diào)用監(jiān)控程序的動態(tài)分析
6.8 系統(tǒng)調(diào)用審查程序的限制
6.9 系統(tǒng)調(diào)用哄騙程序的限制
6.10 系統(tǒng)調(diào)用限制的危險
6.11 庫調(diào)用監(jiān)控的動態(tài)分析
6.12 庫調(diào)用程序的限制
6.13 庫調(diào)用限制的危險
6.14 機器指令級的動態(tài)分析
6.15 靜態(tài)分析與逆向工程
6.16 小程序存在許多問題
6.17 惡意攻擊軟件分析對策

6.18 結(jié)論
第三部分 超越抽象
第7章 被刪除文件信息的持久性
7.1 引言
7.2 被刪除信息持久性舉例
7.3 測量被刪除文件內(nèi)容的持久性
7.4 測量被刪除文件MAC時間的持久性
7.5 被刪除文件MAC時間的強力持久性
7.6 被刪除文件MAC時間信息的長期持久性
7.7 用戶活動對被刪除文件的：MAC時間信息的影響
7.8 被刪除文件信息的可信度
7.9 為什么被刪除文件信息能夠保持不變
7.10 結(jié)論
第8章 超越進程
8.1 引言
8.2 虛擬內(nèi)存的基礎(chǔ)知識
8.3 內(nèi)存頁的基礎(chǔ)知識
8.4 文件和內(nèi)存頁
8.5 匿名內(nèi)存頁
8.6 捕獲內(nèi)存
8.7 savecore命令
8.7.1 內(nèi)存設(shè)備文件：/dev/mem和/dev/kmem
8.7.2 交換分區(qū)
8.7.3 其他存儲單元
8.8 靜態(tài)分析：從文件中識別內(nèi)存
8.9 在無密鑰的情況下恢復加密文件的內(nèi)容
8.9.1 創(chuàng)建一個加密文件
8.9.2 從主存中恢復加密文件
8.10 文件系統(tǒng)塊VS.內(nèi)存分頁技術(shù)
8.11 識別內(nèi)存中的文件
8.12 動態(tài)分析：內(nèi)存數(shù)據(jù)的持久性
8.13 內(nèi)存中文件的持久性
8.14 非文件或匿名數(shù)據(jù)的持久性
8.15 交換分區(qū)的持久性
8.16 引導進程內(nèi)存的持久性
8.17 內(nèi)存數(shù)據(jù)的可信度和堅韌性
8.18 結(jié)論
附錄A Coroner's工具包及其相關(guān)軟件
附錄B 數(shù)據(jù)收集和易失性順序
參考文獻