亚洲AV无码成人专区久久,性色AV一区二区三区咪爱四虎

內容簡介

　　《Windows取證分析》的寫作源于實戰(zhàn)的需要，主要關注Windows取證分析這一技術領域，主要討論了Windows統(tǒng)開機和關機的不同時刻對證據(jù)數(shù)據(jù)收集和分析的技術問題，重點闡述了Windows內存分析、注冊表分析、文件分析、可執(zhí)行文件分析，以及Rootkits等內容。《Windows取證分析》不僅為取證分析人員、調查人員和應急響應人員提供參考，也可為政府和公司的調查人員、司法官員及對Windows取證分析感興趣的讀者提供參考和幫助。

作者簡介

　　Harlan Carvey（CISSP），同時也是《Windows取證和事件恢復》（Windows Forensics and Incident Recovery）一書的作者。Harlan Carvey是硅谷北部和大都會地區(qū)的計算機取證與應急響應顧問，現(xiàn)在他為全美所有地區(qū)的客戶提供緊急事件響應和計算機取證服務。Harlan的專業(yè)領域集中在Windows 2000及其后續(xù)平臺的的應急響應、注冊表和內存分析、以及事后的計算機取證分析。Harlan曾作為專職的安全工程師提供漏洞評估和滲透測試服務。Harlan也為聯(lián)邦政府部門提供應急響應和計算機取證服務?！arlan曾獲得弗吉利亞軍事學院（Virginia Military Institute）電子工程學士學位和拉瓦爾研究生學院（Naval Postgraduate School）電子工程碩士學位　Harlan在此對他的妻子——Terri，在本書寫作過程中的支持、耐心和幽默表示感謝。

圖書目錄

前言
第1章開機取證：數(shù)據(jù)收集
引言
開機取證（Live Response）
諾卡德交換原理
易變信息的次序
何時進行開機取證
收集什么數(shù)據(jù)
系統(tǒng)時間
當前登錄用戶
打開的文件
網絡信息（緩存的NetBIOS名字列表）
網絡連接
進程信息
進程到端口的映射
進程內存
網絡狀態(tài)
剪貼板內容
服務/驅動信息
命令行歷史
映射的驅動器
共享
非易變信息
注冊表設置
事件日志
設備和其他信息
有關怎樣挑選工具
開機取證方法
本地開機取證方法
遠程取證方法
混合方法
小結
參考資料
快速解決方案
常見問題
第2章開機取證：數(shù)據(jù)分析
引言
數(shù)據(jù)分析
案例一
案例二
敏捷分析
擴大范圍
應對
防范
小結
參考資料
快速解決方案
常見問題
第3章 Windows內存分析
引言
內存分析簡史
獲取物理內存鏡像
基于硬件的方案
利用火線接口
崩潰轉儲
利用虛擬機
休眠文件
DD
分析物理內存鏡像
進程基礎
分析內存鏡像
分析進程內存
提取進程可執(zhí)行文件鏡像
內存鏡像分析和頁交換文件
根據(jù)內存鏡像判斷操作系統(tǒng)類型
分析內存池
獲取進程內存
小結
參考資料
快速解決方案
常見問題
第4章注冊表分析
引言
注冊表內部結構
配置單元文件內的注冊表結構
注冊表作為日志文件
監(jiān)視注冊表變化
注冊表分析
系統(tǒng)信息
自動啟動位置
枚舉注冊表白動啟動位置
USB移動存儲設備
Mounted Dcvices
查找用戶
追蹤用戶活動
Windows XP系統(tǒng)還原點
小結
光盤內容
參考資料
快速解決方案
常見問題
第5章文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志頭部
事件記錄結構
Vista事件日志
IIS 日志
因特網瀏覽器歷史
其他日志文件
回收站
系統(tǒng)還原點
Prefetch文件
快捷方式文件
文件元數(shù)據(jù)
Word文檔
PDF文檔
圖像文件
義件特征分析
NTFS分支數(shù)據(jù)流
其他分析方法
小結
參考資料
快速解決方案
常見問題
第6章可執(zhí)行文件分析
引言
靜態(tài)分析
記錄文件信息
分析可執(zhí)行文件
動態(tài)分析
測試環(huán)境
一次性系統(tǒng)
工具
流稗
小結
參考資料
快速解決方案
常見問題
第7章 Rootkits及其檢測
引言
Rootkits
Rootkit檢測
開機柃測
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.com
后期檢測
預防
小結
參考資料
快速解決方案
常見問題