Windows取證分析

Windows取證分析

本書主要討論了Windows統開機和關機的不同時刻對證據數據收集和分析的技術問題,重點闡述了Windows記憶體分析、註冊表分析、檔案分析、執行檔分析,以及Rootkits等內容。

基本信息

圖書信息

Windows取證分析

內容簡介

《Windows取證分析》不僅為取證分析人員、調查人員和應急回響人員提供參考,也可為政府和公司的調查人員、司法官員及對Windows取證分析感興趣的讀者提供參考和幫助。

作者簡介

Harlan Carvey(CISSP),同時也是《Windows取證和事件恢復》(Windows Forensics and Incident Recovery)一書的作者。Harlan Carvey是矽谷北部和大都會地區的計算機取證與應急回響顧問,現在他為全美所有地區的客戶提供緊急事件回響和計算機取證服務。Harlan的專業領域集中在Windows 2000及其後續平台的的應急回響、註冊表和記憶體分析、以及事後的計算機取證分析。Harlan曾作為專職的安全工程師提供漏洞評估和滲透測試服務。Harlan也為聯邦政府部門提供應急回響和計算機取證服務。

Harlan曾獲得弗吉利亞軍事學院(Virginia Military Institute)電子工程學士學位和拉瓦爾研究生學院(Naval Postgraduate School)電子工程碩士學位

Harlan在此對他的妻子——Terri,在本書寫作過程中的支持、耐心和幽默表示感謝。

圖書目錄

前言

第1章 開機取證:數據收集

引言

開機取證(Live Response)

諾卡德交換原理

易變信息的次序

何時進行開機取證

收集什麼數據

系統時間

當前登錄用戶

打開的檔案

網路信息(快取的NetBIOS名字列表)

網路連線

進程信息

進程到連線埠的映射

進程記憶體

網路狀態

剪貼簿內容

服務/驅動信息

命令行歷史

映射的驅動器

共享

非易變信息

註冊表設定

事件日誌

設備和其他信息

有關怎樣挑選工具

開機取證方法

本地開機取證方法

遠程取證方法

混合方法

小結

參考資料

快速解決方案

常見問題

第2章 開機取證:數據分析

引言

數據分析

案例一

案例二

敏捷分析

擴大範圍

應對

防範

小結

參考資料

快速解決方案

常見問題

第3章 Windows記憶體分析

引言

記憶體分析簡史

獲取物理記憶體鏡像

基於硬體的方案

利用火線接口

崩潰轉儲

利用虛擬機

休眠檔案

DD

分析物理記憶體鏡像

進程基礎

分析記憶體鏡像

分析進程記憶體

提取進程執行檔鏡像

記憶體鏡像分析和頁交換檔案

根據記憶體鏡像判斷作業系統類型

分析記憶體池

獲取進程記憶體

……

相關詞條

相關搜尋

熱門詞條

聯絡我們