第1章 恶意软件事件响应：易失性数据收集与实时Windows系统检查

引

建立实时响应工具包

测试和验证您的工具

易失性数据收集方法

易失性数据的保存

搜集目标系统详细信息

识别登录到当前系统的用户

检查网络连接和活动

搜集进程信息

关联开放端口及其活动进程(和程序)

检查服务和驱动程序

检查打开的文件

收集命令的历史记录

识别共享

检查计划任务

收集剪贴板内容

从实时Windows系统收集非易失性数据

在实时Windows系统中对存储媒介进行司法复制

对实时Windows系统的特定数据进行司法保存

适用于Windows的事件响应工具套件

Windows Forensic Toolchest

从实时Windows系统中检查和提取恶意软件

小结

第2章 恶意软件事件响应：易失性数据收集与实时Linux系统检查

引

易失性数据收集方法

Linux上的事件响应工具集

实时UNIX系统的完整内存转储

在实时UNIX系统上保存进程内存信息

获取目标系统的详细信息

识别出登录到系统的用户

检查网络连接

收集进程信息

/proc目录中的易失性数据

打开的文件和附属资源

检查已加载的模块

收集命令行历史信息

识别出已安装的共享驱动器

确定计划任务

实时Linux系统中的非易失性数据收集

对实时Linux系统中的存储介质的取证拷贝

对实时Linux系统中的指定数据进行取证保存

评估安全配置

评估主机的信任关系

收集登录日志和系统日志信息

小结

第3章 内存取证：分析物理内存和进程内存获取取证线索

引

内存取证方法学

传统内存分析方法

Windows内存取证工具

深入分析内存映像

活动的、未活动的和隐藏的进程

Windows内存取证工具机理

虚拟内存地

进程和线程

恢复提取可执行文件

提取进程内存数据

进程内存数据的导出和Windows系统实时分析

对实时运行的进程进行安全评估

捕获进程并分析内存

Linux内存取证分析工具

进程元数据

Linux内存取证分析工具机理

定位内存数据结构

进程

其他内存数据结构

在Linux系统上导出进程内存并进行分析

系统上的进程活动

用ps搜集进程信息

利用lsof识别进程活动

在/proc中定位可疑进程

……

第4章 事后取证：从Windows系统中搜索并撮恶意软件以及相关线索

第5章 事后取证：从Linux系统中搜索并撮恶意软件以及相关线索

第6章 法律规范

第7章 文件识别和构型：Windows系统中可疑文件的初步分析

第8章 文件识别和构型：Linux系统上可疑文件的初步分析

第9章 Windows平台下可疑软件分析

第10章 Linux平台下可疑程序分析