圖書信息
內容簡介
《Windows取證分析》不僅為取證分析人員、調查人員和應急回響人員提供參考,也可為政府和公司的調查人員、司法官員及對Windows取證分析感興趣的讀者提供參考和幫助。
作者簡介
Harlan Carvey(CISSP),同時也是《Windows取證和事件恢復》(Windows Forensics and Incident Recovery)一書的作者。Harlan Carvey是矽谷北部和大都會地區的計算機取證與應急回響顧問,現在他為全美所有地區的客戶提供緊急事件回響和計算機取證服務。Harlan的專業領域集中在Windows 2000及其後續平台的的應急回響、註冊表和記憶體分析、以及事後的計算機取證分析。Harlan曾作為專職的安全工程師提供漏洞評估和滲透測試服務。Harlan也為聯邦政府部門提供應急回響和計算機取證服務。
Harlan曾獲得弗吉利亞軍事學院(Virginia Military Institute)電子工程學士學位和拉瓦爾研究生學院(Naval Postgraduate School)電子工程碩士學位
Harlan在此對他的妻子——Terri,在本書寫作過程中的支持、耐心和幽默表示感謝。
圖書目錄
前言
第1章 開機取證:數據收集
引言
開機取證(Live Response)
諾卡德交換原理
易變信息的次序
何時進行開機取證
收集什麼數據
系統時間
當前登錄用戶
打開的檔案
網路信息(快取的NetBIOS名字列表)
網路連線
進程信息
進程到連線埠的映射
進程記憶體
網路狀態
剪貼簿內容
服務/驅動信息
命令行歷史
映射的驅動器
共享
非易變信息
註冊表設定
事件日誌
設備和其他信息
有關怎樣挑選工具
開機取證方法
本地開機取證方法
遠程取證方法
混合方法
小結
參考資料
快速解決方案
常見問題
第2章 開機取證:數據分析
引言
數據分析
案例一
案例二
敏捷分析
擴大範圍
應對
防範
小結
參考資料
快速解決方案
常見問題
第3章 Windows記憶體分析
引言
記憶體分析簡史
獲取物理記憶體鏡像
基於硬體的方案
利用火線接口
崩潰轉儲
利用虛擬機
休眠檔案
DD
分析物理記憶體鏡像
進程基礎
分析記憶體鏡像
分析進程記憶體
提取進程執行檔鏡像
記憶體鏡像分析和頁交換檔案
根據記憶體鏡像判斷作業系統類型
分析記憶體池
獲取進程記憶體
……