WIndows取證分析

定　價(jià)：￥45.00

作　者：	（美）Harlan Carvey 著，王智慧，崔孝晨，陸道宏譯
出版社：	科學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	證據(jù)

購(gòu)買這本書可以去

ISBN：	9787030233080	出版時(shí)間：	2009-01-01	包裝：	平裝
開(kāi)本：	16開(kāi)	頁(yè)數(shù)：	222	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　《Windows取證分析》的寫作源于實(shí)戰(zhàn)的需要，主要關(guān)注Windows取證分析這一技術(shù)領(lǐng)域，主要討論了Windows統(tǒng)開(kāi)機(jī)和關(guān)機(jī)的不同時(shí)刻對(duì)證據(jù)數(shù)據(jù)收集和分析的技術(shù)問(wèn)題，重點(diǎn)闡述了Windows內(nèi)存分析、注冊(cè)表分析、文件分析、可執(zhí)行文件分析，以及Rootkits等內(nèi)容?！禬indows取證分析》不僅為取證分析人員、調(diào)查人員和應(yīng)急響應(yīng)人員提供參考，也可為政府和公司的調(diào)查人員、司法官員及對(duì)Windows取證分析感興趣的讀者提供參考和幫助。

作者簡(jiǎn)介

　　Harlan Carvey（CISSP），同時(shí)也是《Windows取證和事件恢復(fù)》（Windows Forensics and Incident Recovery）一書的作者。Harlan Carvey是硅谷北部和大都會(huì)地區(qū)的計(jì)算機(jī)取證與應(yīng)急響應(yīng)顧問(wèn)，現(xiàn)在他為全美所有地區(qū)的客戶提供緊急事件響應(yīng)和計(jì)算機(jī)取證服務(wù)。Harlan的專業(yè)領(lǐng)域集中在Windows 2000及其后續(xù)平臺(tái)的的應(yīng)急響應(yīng)、注冊(cè)表和內(nèi)存分析、以及事后的計(jì)算機(jī)取證分析。Harlan曾作為專職的安全工程師提供漏洞評(píng)估和滲透測(cè)試服務(wù)。Harlan也為聯(lián)邦政府部門提供應(yīng)急響應(yīng)和計(jì)算機(jī)取證服務(wù)?！arlan曾獲得弗吉利亞軍事學(xué)院（Virginia Military Institute）電子工程學(xué)士學(xué)位和拉瓦爾研究生學(xué)院（Naval Postgraduate School）電子工程碩士學(xué)位　Harlan在此對(duì)他的妻子——Terri，在本書寫作過(guò)程中的支持、耐心和幽默表示感謝。

圖書目錄

前言
第1章開(kāi)機(jī)取證：數(shù)據(jù)收集
引言
開(kāi)機(jī)取證（Live Response）
諾卡德交換原理
易變信息的次序
何時(shí)進(jìn)行開(kāi)機(jī)取證
收集什么數(shù)據(jù)
系統(tǒng)時(shí)間
當(dāng)前登錄用戶
打開(kāi)的文件
網(wǎng)絡(luò)信息（緩存的NetBIOS名字列表）
網(wǎng)絡(luò)連接
進(jìn)程信息
進(jìn)程到端口的映射
進(jìn)程內(nèi)存
網(wǎng)絡(luò)狀態(tài)
剪貼板內(nèi)容
服務(wù)/驅(qū)動(dòng)信息
命令行歷史
映射的驅(qū)動(dòng)器
共享
非易變信息
注冊(cè)表設(shè)置
事件日志
設(shè)備和其他信息
有關(guān)怎樣挑選工具
開(kāi)機(jī)取證方法
本地開(kāi)機(jī)取證方法
遠(yuǎn)程取證方法
混合方法
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第2章開(kāi)機(jī)取證：數(shù)據(jù)分析
引言
數(shù)據(jù)分析
案例一
案例二
敏捷分析
擴(kuò)大范圍
應(yīng)對(duì)
防范
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第3章 Windows內(nèi)存分析
引言
內(nèi)存分析簡(jiǎn)史
獲取物理內(nèi)存鏡像
基于硬件的方案
利用火線接口
崩潰轉(zhuǎn)儲(chǔ)
利用虛擬機(jī)
休眠文件
DD
分析物理內(nèi)存鏡像
進(jìn)程基礎(chǔ)
分析內(nèi)存鏡像
分析進(jìn)程內(nèi)存
提取進(jìn)程可執(zhí)行文件鏡像
內(nèi)存鏡像分析和頁(yè)交換文件
根據(jù)內(nèi)存鏡像判斷操作系統(tǒng)類型
分析內(nèi)存池
獲取進(jìn)程內(nèi)存
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第4章注冊(cè)表分析
引言
注冊(cè)表內(nèi)部結(jié)構(gòu)
配置單元文件內(nèi)的注冊(cè)表結(jié)構(gòu)
注冊(cè)表作為日志文件
監(jiān)視注冊(cè)表變化
注冊(cè)表分析
系統(tǒng)信息
自動(dòng)啟動(dòng)位置
枚舉注冊(cè)表白動(dòng)啟動(dòng)位置
USB移動(dòng)存儲(chǔ)設(shè)備
Mounted Dcvices
查找用戶
追蹤用戶活動(dòng)
Windows XP系統(tǒng)還原點(diǎn)
小結(jié)
光盤內(nèi)容
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第5章文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志頭部
事件記錄結(jié)構(gòu)
Vista事件日志
IIS 日志
因特網(wǎng)瀏覽器歷史
其他日志文件
回收站
系統(tǒng)還原點(diǎn)
Prefetch文件
快捷方式文件
文件元數(shù)據(jù)
Word文檔
PDF文檔
圖像文件
義件特征分析
NTFS分支數(shù)據(jù)流
其他分析方法
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第6章可執(zhí)行文件分析
引言
靜態(tài)分析
記錄文件信息
分析可執(zhí)行文件
動(dòng)態(tài)分析
測(cè)試環(huán)境
一次性系統(tǒng)
工具
流稗
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題
第7章 Rootkits及其檢測(cè)
引言
Rootkits
Rootkit檢測(cè)
開(kāi)機(jī)柃測(cè)
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.com
后期檢測(cè)
預(yù)防
小結(jié)
參考資料
快速解決方案
常見(jiàn)問(wèn)題