WIndows取證分析

前言
第1章 開機(jī)取證：數(shù)據(jù)收集
引言
開機(jī)取證（Live Response）
諾卡德交換原理
易變信息的次序
何時進(jìn)行開機(jī)取證
收集什么數(shù)據(jù)
系統(tǒng)時間
當(dāng)前登錄用戶
打開的文件
網(wǎng)絡(luò)信息（緩存的NetBIOS名字列表）
網(wǎng)絡(luò)連接
進(jìn)程信息
進(jìn)程到端口的映射
進(jìn)程內(nèi)存
網(wǎng)絡(luò)狀態(tài)
剪貼板內(nèi)容
服務(wù)/驅(qū)動信息
命令行歷史
映射的驅(qū)動器
共享
非易變信息
注冊表設(shè)置
事件日志
設(shè)備和其他信息
有關(guān)怎樣挑選工具
開機(jī)取證方法
本地開機(jī)取證方法
遠(yuǎn)程取證方法
混合方法
小結(jié)
參考資料
快速解決方案
常見問題
第2章 開機(jī)取證：數(shù)據(jù)分析
引言
數(shù)據(jù)分析
案例一
案例二
敏捷分析
擴(kuò)大范圍
應(yīng)對
防范
小結(jié)
參考資料
快速解決方案
常見問題
第3章 Windows內(nèi)存分析
引言
內(nèi)存分析簡史
獲取物理內(nèi)存鏡像
基于硬件的方案
利用火線接口
崩潰轉(zhuǎn)儲
利用虛擬機(jī)
休眠文件
DD
分析物理內(nèi)存鏡像
進(jìn)程基礎(chǔ)
分析內(nèi)存鏡像
分析進(jìn)程內(nèi)存
提取進(jìn)程可執(zhí)行文件鏡像
內(nèi)存鏡像分析和頁交換文件
根據(jù)內(nèi)存鏡像判斷操作系統(tǒng)類型
分析內(nèi)存池
獲取進(jìn)程內(nèi)存
小結(jié)
參考資料
快速解決方案
常見問題
第4章 注冊表分析
引言
注冊表內(nèi)部結(jié)構(gòu)
配置單元文件內(nèi)的注冊表結(jié)構(gòu)
注冊表作為日志文件
監(jiān)視注冊表變化
注冊表分析
系統(tǒng)信息
自動啟動位置
枚舉注冊表白動啟動位置
USB移動存儲設(shè)備
Mounted Dcvices
查找用戶
追蹤用戶活動
Windows XP系統(tǒng)還原點
小結(jié)
光盤內(nèi)容
參考資料
快速解決方案
常見問題
第5章 文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志頭部
事件記錄結(jié)構(gòu)
Vista事件日志
IIS 日志
因特網(wǎng)瀏覽器歷史
其他日志文件
回收站
系統(tǒng)還原點
Prefetch文件
快捷方式文件
文件元數(shù)據(jù)
Word文檔
PDF文檔
圖像文件
義件特征分析
NTFS分支數(shù)據(jù)流
其他分析方法
小結(jié)
參考資料
快速解決方案
常見問題
第6章 可執(zhí)行文件分析
引言
靜態(tài)分析
記錄文件信息
分析可執(zhí)行文件
動態(tài)分析
測試環(huán)境
一次性系統(tǒng)
工具
流稗
小結(jié)
參考資料
快速解決方案
常見問題
第7章 Rootkits及其檢測
引言
Rootkits
Rootkit檢測
開機(jī)柃測
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.com
后期檢測
預(yù)防
小結(jié)
參考資料
快速解決方案
常見問題