无论你在信息安全领域的经验如何,实用的 Windows 取证都将全面介绍数字取证。它将提供你所需的知识,帮助你正确地组装各种类型的证据,并引导你通过分析过程的各个阶段。
我们首先讨论数字取证过程的原则,然后学习进行分析所使用的方法。接着,我们将研究各种工具以进行实时分析,并通过不同的技术分析易失性和非易失性数据。之后,我们将恢复硬盘中的数据,并学习如何使用多种工具执行注册表和系统日志分析。
接下来,你将学习如何分析浏览器和电子邮件,因为它们是调查中的关键方面。然后我们将继续提取计算机内存中的数据并调查网络流量,这是另一个重要的检查点。最后,你将学习几种数据展示的方法,因为每个调查员都需要一个工作站来分析法医数据。
第一章,数字取证的基础与原则,解释了数字取证过程原则的重要性以及通常用于进行分析的方法。
第二章,事件响应与实时分析,讨论了响应者在执行事件响应时应具备的硬件和软件。事件响应是一个非常重要的过程,需要谨慎进行,以正确地收集所有可用的证据,这些证据将在分析阶段进行分析。
第三章,易失性数据采集,讨论了如何收集系统的易失性数据。易失性数据,如系统内存,非常重要,可以告诉我们在运行时系统中发生了什么。因此,要对这种证据进行事后分析,我们首先需要获取这些证据。此外,易失性数据变化非常快,以正确的方式收集它是一个非常重要的问题。
第四章,非易失性数据采集,讲述了如何采集非易失性数据,例如硬盘,并且如何以法医方式收集这些数据,以避免改变证据的完整性。
第五章,时间线,讨论了时间线,它按时间顺序显示系统和用户在系统上的所有活动。它有助于构建事件的完整画面。我们将向你展示如何使用 plaso 框架来实现这一点。
第六章,文件系统分析与数据恢复,让你对最著名的文件系统有一个很好的理解。为了完美理解这些工具如何工作,无论是用于分析还是恢复,读者需要理解文件在分区硬盘中的文件系统如何存储。
第七章,注册表分析,讨论了注册表的结构以及一些用于执行分析的工具。当 MS Windows 操作时,几乎所有操作都会记录在注册表中。注册表文件被视为 Windows 的数据库。注册表取证可以帮助解答许多问题,从系统中安装了什么类型的应用程序到用户活动等等。
第八章,事件日志分析,解释了 MS Windows 系统开箱即用的优秀功能,我们只需要知道如何使用它们。其中一个功能是日志记录。日志记录可以帮助我们弄清楚系统上发生了什么。它记录了系统上的所有事件,包括安全事件或与系统内应用程序相关的其他事件。
第九章,Windows 文件,告诉我们 MS Windows 有很多在当前运行的 Windows 中创建的遗留文件。在分析过程中,这些遗留文件可以用来证明或反驳假设,或者在某些情况下揭示具有证据价值的新有趣信息。
第十章,浏览器与电子邮件调查,讲述了互联网,当然也包括万维网,作为用户交换数据的主要信息渠道。浏览器是最常用的工具,因此,浏览器的调查在分析人员调查用户活动时非常重要。市面上有很多浏览器,我们将涵盖其中最流行的几款:IE、FF 和 Chrome。
电子邮件仍然是计算机世界中与人沟通的一种方式,特别是在企业环境中。本章将涵盖电子邮件格式,并解释如何从 PFF 文件中读取电子邮件,以进行分析并追踪发件人。
第十一章,内存取证,讨论了内存作为操作系统的工作空间。在过去,内存取证是可选的,但现在有一些非常强大的工具可以让我们从内存中提取大量证据信息,并将数字取证提升到一个新的水平。
第十二章,网络取证,讨论了网络取证如何为事件提供另一种视角。网络流量可以揭示许多有关恶意活动行为的信息。结合其他信息源,网络将加速调查过程。你将学习到不仅是传统工具,如 Wireshark,还将了解强大的 Bro 框架。
附录 A,构建取证分析环境,讨论了如何在企业规模的数字取证实验室中创建便捷的工作环境,以进行数字取证分析。在前几章中,我们应该已经认识到事件响应对数字取证流程的重要性,以及准确处理这两者的必要性。
附录 B,案例研究,使用感染的机器来说明如何对不同类型的证据进行初步分析,我们将进行实时分析以及事后分析。
本书没有特别的要求。
如果你有信息安全方面的经验,或者之前进行过一些数字取证分析,并希望扩展数字取证技能,那么这本书是为你量身定做的指南。本书将为你提供必要的知识和核心技能,帮助你使用主要在 Linux 操作系统下的免费和开源工具,进行数字证据的取证分析。
在本书中,你将会看到多种文本样式,用于区分不同类型的信息。以下是这些样式的一些示例及其含义解释。
文本中的代码词、数据库表名、文件夹名称、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 用户名如下所示:“在目标机器上,即处理机器上,你需要从同一个receiver.exe文件夹中运行网络监听器。”
任何命令行输入或输出均如下所示:
dd conv=sync, noerror bs=64K if=/dev/sda | pv | dd
of=/media/Elements/HD_image/image.dd
新术语和重要词汇以粗体显示。你在屏幕上看到的词语,例如在菜单或对话框中,文本中会像这样呈现:“现在从源机器运行 FTK Lite 程序,然后从文件中打开创建磁盘镜像。”
警告或重要提示以框的形式出现。
提示和技巧以这种方式显示。
我们始终欢迎读者反馈。让我们知道你对本书的看法——你喜欢或不喜欢哪些内容。读者的反馈对我们很重要,因为它帮助我们开发出你真正能够从中受益的书籍。
若要向我们提供一般反馈,请通过电子邮件发送至feedback@packtpub.com,并在邮件主题中提到书名。
如果你在某个领域有专长并且有兴趣撰写或贡献一本书,请查看我们的作者指南:www.packtpub.com/authors。
现在你已经成为一本 Packt 书籍的骄傲拥有者,我们为你提供了一些帮助你充分利用购买的资源。
我们还为你提供了一个 PDF 文件,里面包含了本书中使用的截图/图表的彩色图片。彩色图片将帮助你更好地理解输出的变化。你可以从www.packtpub.com/sites/default/files/downloads/PracticalWindowsForensics_ColorImages.pdf下载此文件。
尽管我们已经尽力确保内容的准确性,但难免会有错误。如果你在我们的一本书中发现了错误——可能是文本或代码中的错误——我们将非常感激你能报告给我们。这样,你可以帮助其他读者避免困扰,并帮助我们改进该书的后续版本。如果你发现了任何勘误,请访问www.packtpub.com/submit-errata并提交,选择你的书籍,点击勘误提交表单链接,填写勘误的详细信息。一旦你的勘误被验证,你的提交将被接受,勘误将上传到我们的网站或添加到该书标题下的现有勘误列表中。
要查看先前提交的勘误,请访问www.packtpub.com/books/content/support并在搜索框中输入书名。所需信息将出现在勘误部分。
互联网上的版权材料盗版问题在所有媒体中都普遍存在。在 Packt,我们非常重视保护我们的版权和许可证。如果你在互联网上发现任何非法复制的我们的作品,请立即向我们提供该位置地址或网站名称,以便我们采取措施。
请通过copyright@packtpub.com与我们联系,并提供涉嫌盗版材料的链接。
我们感谢你在保护我们的作者和我们提供有价值内容的能力方面的帮助。
如果你在本书的任何方面遇到问题,可以通过questions@packtpub.com与我们联系,我们将尽力解决问题。