網絡入侵調查：網絡工程師電子數據取證方法

譯者序
前言
致謝
作者簡介
審校者簡介

第1章電子資料取證1
1.1定義電子資料取證2
1.2從事取證服務4
1.3彙報犯罪活動6
1.4搜查令與法律7
1.5取證角色10
1.6取證就業市場12
1.7取證培訓13
1.8小結19
參考文獻19

第2章網路犯罪與防禦20
2.1數字時代的犯罪21
2.2漏洞利用24
2.3對手27
2.4網路法28
2.5小結30
參考文獻31

第3章建立電子資料取證實驗室32
3.1桌面虛擬化32
3.1.1VMwareFusion33
3.1.2VirtualBox33
3.2安裝KaliLinux34
3.3攻擊虛擬機器40
3.4Cuckoo沙箱44
3.4.1Cuckoo虛擬化軟體45
3.4.2安裝TCPdump46
3.4.3在VirtualBox上為Cuckoo創建帳戶46
3.5Binwalk47
3.6TheSleuthKit48
3.7CiscoSnort49
3.8Windows工具54
3.9物理存取控制55
3.10存儲取證證據57
3.11快速取證背包59
3.12小結60
參考文獻60

第4章違規應急回應61
4.1機構在應急回應中失敗的原因62
4.2為網路事件做好準備63
4.3應急回應定義64
4.4應急回應計畫65
4.5組建應急回應團隊67
4.5.1應急回應團隊的介入時機67
4.5.2應急回應中容易忽略的事項70
4.5.3電話樹和連絡人清單70
4.5.4設施71
4.6應急回應71
4.7評估事件嚴重性72
4.8遵循的通知程式73
4.9事件後採取的行動和程式74
4.10瞭解有助於應對違規事件的軟體74
4.10.1趨勢分析軟體75
4.10.2安全分析參考架構75
4.10.3其他軟體類別77
4.11小結78
參考文獻78

第5章調查79
5.1預調查79
5.2開始案件81
5.3應急響應人員84
5.4設備電源狀態88
5.5搜查和扣押90
5.6證據保管鏈94
5.7網路調查96
5.8取證報告101
5.8.1案例摘要102
5.8.2獲取和檢查準備103
5.8.3發現103
5.8.4結論103
5.8.5作者列表104
5.9結束案件105
5.10評判案件108
5.11小結110
參考文獻111

第6章收集和保全證據112
6.1應急響應人員112
6.2證據115
6.2.1Autopsy115
6.2.2授權116
6.3硬碟驅動器117
6.3.1連接和設備119
6.3.2RAID121
6.4易失性數據122
6.4.1DumpIt122
6.4.2LiME123
6.4.3Volatility124
6.5複製126
6.5.1dd128
6.5.2dcfldd129
6.5.3ddrescue129
6.5.4Netcat130
6.5.5Guymager131
6.5.6壓縮和分片131
6.6雜湊133
6.6.1MD5和SHA雜湊135
6.6.2雜湊挑戰136
6.7數據保全136
6.8小結138
參考文獻138

第7章終端取證139
7.1檔案系統140
7.1.1定位資料143
7.1.2未知文件145
7.1.3Windows註冊表147
7.1.4被刪除的檔150
7.1.5Windows回收站151
7.1.6快捷方式154
7.1.7列印緩衝集區154
7.1.8鬆弛空間和損壞的簇156
7.1.9交換資料流程159
7.2MacOSX161
7.3日誌分析164
7.4物聯網取證169
7.5小結172
參考文獻172

第8章網路取證173
8.1網路通訊協定173
8.2安全工具175
8.2.1防火牆178
8.2.2入侵偵測和防禦系統178
8.2.3內容篩檢程式179
8.2.4網路存取控制179
8.2.5數據包捕獲182
8.2.6網路流183
8.2.7沙箱184
8.2.8蜜罐186
8.2.9安全資訊和事件管理器186
8.2.10威脅分析與提要187
8.2.11安全工具總結187
8.3安全性記錄檔187
8.4網路基線191
8.5威脅徵兆192
8.5.1偵察193
8.5.2漏洞利用195
8.5.3惡意行為198
8.5.4信標200
8.5.5暴力破解204
8.5.6洩露205
8.5.7其他指標208
8.6小結209
參考文獻210

第9章手機取證211
9.1移動設備211
9.2iOS架構212
9.3iTunes取證214
9.4iOS快照216
9.5如何給iPhone越獄218
9.6Android219
9.7繞過PIN222
9.8使用商業工具取證224
9.9通話記錄和短信欺騙225
9.10語音郵件繞過226
9.11如何找到預付費手機226
9.12SIM卡克隆228
9.13小結228
參考文獻229

第10章郵件和社交媒體230
10.1瓶中信230
10.2郵件首部231
10.3社交媒體236
10.4人員搜索236
10.5穀歌搜索240
10.6Facebook搜索243
10.7小結250
參考文獻251

第11章思科取證能力252
11.1思科安全架構252
11.2思科

本書面向網路工程師、安全專業人員和紅藍團隊成員，展現電子資料取證的世界。儘管他們的日常工作與取證無關，但是理解電子資料取證的概念，包括取證調查人員用以提高網路和機構安全性並更加迅速、有效地應對攻擊破壞和安全事件的工具與方法，將讓他們獲益良多。

對大多數機構來說，問題不是是否會被攻擊，而是何時被攻擊。當網路安全事件發生時，你能夠提供適當的應對措施嗎？你能收集到對潛在的法律訴訟有用的證據嗎？你能通過搜集犯罪團夥留下的電子資料解釋到底發生了什麼嗎？電子資料取證可以説明你處理這些問題，以及作為網路工程師可能遇到的其他情況。

誰需要讀這本書
本書介紹了日常生活中資料洩露和安全事件的各種調查場景。如果網路工程師、系統管理員、安全工程師或者安全分析師想瞭解更多關於電子資料取證的知識，並學習如何開展調查、編寫文檔和提供證據，以及使用業界認可的工具，那麼應該閱讀本書。

本書中大多數工具和實例都是開源的，通過簡化建設取證實驗室的需求，來嘗試完成書中提出的目標。儘管任何技術水準的讀者都可以從本書中受益，但是建議讀者具有網路和安全技術方面的基礎。本書不會讓你成為取證調查人員，但是它能夠為你從事電子資料取證工作奠定堅實的基礎，或者為其他工程師提供取證技術方面的幫助。

本書的組織結構
第1章：本章介紹了電子資料取證的歷史與演變，闡述了研究電子資料取證的價值以及進行調查的益處，探討了調查人員在機構內部和作為外部協力廠商成員所扮演的不同角色，以及何時自行進行調查，何時需要外部協力廠商進行調查。閱讀本章可以初步認識電子資料取證。

第2章：本章展現了網路犯罪的世界，涵蓋了網路犯罪的要素，其中包括網路犯罪類型、網路犯罪分子如何牟利以及他們參與的攻擊類型。本章強調了為何電子資料取證調查人員需要精通多種類型的攻擊才能正確識別攻擊和進行調查。

第3章：本章闡述了如何建立一個實驗室，並在實驗室中測試本書中討論的工具和方法。使用本書中介紹的工具進行練習，讀者不僅能夠領會專業知識和樹立信心，而且能夠獲得對本書中相關概念的實踐經驗。

第4章：攻擊破壞已經發生，要求對安全事件做出回應。那麼你應當採取何種應對措施？如何準備應急回應和取證調查？本章可説明你準備應對資料洩露時所需的知識。

第5章：在確認發生了攻擊破壞或者安全事件後，現在需要進行電子資料取證調查。本章討論在調查生命週期中使用的特定方法，包括如何確定調查的全部範圍以及在調查事件時你所扮演的角色。

第6章：在調查過程中，需要收集和保全證據。證據規範、保管鏈和程式檔將決定調查的成敗。本章主要探討如何正確收集、記錄、保全證據及電子資料。

第7章：本章探討如何對終端的資料進行調查、收集和分析。目前，終端包括PC、Mac、物聯網（IoT）和其他常見設備，本章闡述了調查這些終端設備所使用的具體技術以及它們產生的資料。

第8章：網路資料包日誌、網路流和掃描為電子資料取證調查人員提供了豐富的資訊。電子資料取證調查人員能夠準確地建立安全事件時間表，瞭解攻擊破壞活動，並收集相關證據。本章探討了電子資料取證專家用來調查網路和網路設備的具體技術。

第9章：本章介紹了手機取證和分析，探討了用於分析iOS和Android設備的最新技術，以及最新手機作業系統中的加密技術對取證和分析造成的阻礙。

第10章：本章介紹了對電子郵件和社交媒體通信的調查。從檢查郵件頭分析開始，通過不同的系統追蹤電子郵件，分辨出欺詐或者濫用的跡象。深入認識社交媒體，瞭解如何圍繞一個人或者網上虛擬身份進行網上調查。

第11章：書中包含思科公司特定的工具和技術，網路工程師可以使用這些工具和技術來協助開展電子資料取證。本章重點介紹可以從思科公司的產品中收集到哪些資訊，以及如何提取和分析這些資料。

第12章：本章主要對學習本書獲得的知識和技能進行實踐。我們通過模擬調查場景，詳細描述如何使用本書中介紹的工具和技術來進行調查。

第13章：本章彙集了本書中提到的所有工具，並對一些工具重新進行了介紹，以便更好地理解何時使用它們。本章還提到了許多在調查過程中可能很有價值的替代工具。