本书是帮助网络工程师学习数字取证的技术参考指南,该书内容帮助读者了解网络犯罪和当今攻击的现实;建立一个数字取证实验室来测试工具和方法,并获得专业知识;发现漏洞时可以采取正确的应对方案;确定调查的全部范围和收集、记录和保存证据和数据;从PC、Mac、IoT设备和其他端点收集和分析数据;使用数据包日志、NetFlow和扫描来构建时间线、了解网络活动并收集证据;分析iOS和Android设备,了解与加密相关的调查障碍;调查和追踪电子邮件,识别欺诈或滥用;使用Cisco工具和技术收集、提取和分析漏洞数据;从头到尾仔细检查常见的违规行为和应对措施;为每项任务选择正确的工具,并探索可能也有帮助的替代方法。
无
本书面向网络工程师、安全专业人员和红蓝团队成员,展现电子数据取证的世界。尽管他们的日常工作与取证无关,但是理解电子数据取证的概念,包括取证调查人员用以提高网络和机构安全性并更加迅速、有效地应对攻击破坏和安全事件的工具与方法,将让他们获益良多。
对大多数机构来说,问题不是是否会被攻击,而是何时被攻击。当网络安全事件发生时,你能够提供适当的应对措施吗?你能收集到对潜在的法律诉讼有用的证据吗?你能通过搜集犯罪团伙留下的电子数据解释到底发生了什么吗?电子数据取证可以帮助你处理这些问题,以及作为网络工程师可能遇到的其他情况。
谁需要读这本书
本书介绍了日常生活中数据泄露和安全事件的各种调查场景。如果网络工程师、系统管理员、安全工程师或者安全分析师想了解更多关于电子数据取证的知识,并学习如何开展调查、编写文档和提供证据,以及使用业界认可的工具,那么应该阅读本书。
本书中大多数工具和实例都是开源的,通过简化建设取证实验室的需求,来尝试完成书中提出的目标。尽管任何技术水平的读者都可以从本书中受益,但是建议读者具有网络和安全技术方面的基础。本书不会让你成为取证调查人员,但是它能够为你从事电子数据取证工作奠定坚实的基础,或者为其他工程师提供取证技术方面的帮助。
本书的组织结构
第1章:本章介绍了电子数据取证的历史与演变,阐述了研究电子数据取证的价值以及进行调查的益处,探讨了调查人员在机构内部和作为外部第三方成员所扮演的不同角色,以及何时自行进行调查,何时需要外部第三方进行调查。阅读本章可以初步认识电子数据取证。
第2章:本章展现了网络犯罪的世界,涵盖了网络犯罪的要素,其中包括网络犯罪类型、网络犯罪分子如何牟利以及他们参与的攻击类型。本章强调了为何电子数据取证调查人员需要精通多种类型的攻击才能正确识别攻击和进行调查。
第3章:本章阐述了如何建立一个实验室,并在实验室中测试本书中讨论的工具和方法。使用本书中介绍的工具进行练习,读者不仅能够领会专业知识和树立信心,而且能够获得对本书中相关概念的实践经验。
第4章:攻击破坏已经发生,要求对安全事件做出响应。那么你应当采取何种应对措施?如何准备应急响应和取证调查?本章可帮助你准备应对数据泄露时所需的知识。
第5章:在确认发生了攻击破坏或者安全事件后,现在需要进行电子数据取证调查。本章讨论在调查生命周期中使用的特定方法,包括如何确定调查的全部范围以及在调查事件时你所扮演的角色。
第6章:在调查过程中,需要收集和保全证据。证据规范、保管链和程序文件将决定调查的成败。本章主要探讨如何正确收集、记录、保全证据及电子数据。
第7章:本章探讨如何对终端的数据进行调查、收集和分析。目前,终端包括PC、Mac、物联网(IoT)和其他常见设备,本章阐述了调查这些终端设备所使用的具体技术以及它们产生的数据。
第8章:网络数据包日志、网络流和扫描为电子数据取证调查人员提供了丰富的信息。电子数据取证调查人员能够准确地建立安全事件时间表,了解攻击破坏活动,并收集相关证据。本章探讨了电子数据取证专家用来调查网络和网络设备的具体技术。
第9章:本章介绍了手机取证和分析,探讨了用于分析iOS和Android设备的最新技术,以及最新手机操作系统中的加密技术对取证和分析造成的阻碍。
第10章:本章介绍了对电子邮件和社交媒体通信的调查。从检查邮件头分析开始,通过不同的系统追踪电子邮件,分辨出欺诈或者滥用的迹象。深入认识社交媒体,了解如何围绕一个人或者网上虚拟身份进行网上调查。
第11章:书中包含思科公司特定的工具和技术,网络工程师可以使用这些工具和技术来协助开展电子数据取证。本章重点介绍可以从思科公司的产品中收集到哪些信息,以及如何提取和分析这些数据。
第12章:本章主要对学习本书获得的知识和技能进行实践。我们通过模拟调查场景,详细描述如何使用本书中介绍的工具和技术来进行调查。
第13章:本章汇集了本书中提到的所有工具,并对一些工具重新进行了介绍,以便更好地理解何时使用它们。本章还提到了许多在调查过程中可能很有价值的替代工具。
计算机\网络
通过阅读本书,你将能够:
了解网络犯罪的现实和如今的攻击情况
建立一个电子数据取证实验室来测试工具和方法,提高专业性
一旦发现漏洞就采取正确的行动
确定调查的范围以及你将扮演的角色
正确地收集、记录、保存证据与数据
收集和分析PC、Mac、IoT设备及其他终端的数据
使用数据包日志、NetFlow和扫描建立时间轴,了解网络活动,收集证据
分析iOS和Android设备,了解与加密相关的调查障碍
调查和追踪电子邮件,并识别欺诈或滥用
使用社交媒体调查个人或网络身份
使用思科工具和技术收集、提取及分析入侵数据
完整遍历常见的漏洞和对策
为每个任务选择正确的工具,并探索有益的替代方案
本书是思科出版社出版的“网络技术:安全系列丛书”其中的一本,它为网络专业技术人员提供专业技术指南,帮助他们学习新技术、构建高效网络和职业发展。
本书可指导专业人员进行
网络攻击的电子数据取证
如今,网络安全与网络工程专业人士已然明白,漏洞是不可避免的,但可以通过迅速识别和拦截漏洞来大幅降低风险。本书提供了网络入侵调查的全面指南。
在本书中,资深网络安全专家Joseph Muniz和Aamir Lakhani介绍了识别攻击者的最新技术,从而跟踪他们在网络中的活动,防止数据泄露和知识产权侵权,并为调查和起诉收集证据。你将学习如何最大化地利用目前的开源项目资源与思科公司的相关工具来进行复现、数据分析、网络和端点漏洞检测、案例管理、监控、分析等工作。
与主要关注攻击后证据收集的电子数据取证图书不同,本书覆盖了跟踪威胁的完整技术链,提高了智能性,可根除潜在的恶意软件,并有效地反击目前正在进行的破坏行动。
网络安全事件像梦魇一样纠缠着广大因特网用户。因特网用户不仅关心自己是否遭受了网络安全事件的侵袭,也关心网络安全事件发生的时间、方式以及后果。当网络安全事件发生时,如何调查取证和溯源分析,已经成为网络工程师与网络安全从业者关心和研究的焦点。网络安全事件的调查取证并不是一件纯粹的技术工作,而是以证据为中心,集法律、程序、方法、技术于一体的综合性工程。
本书以电子数据取证的概念为开端,阐述了网络安全事件调查人员所应掌握的电子数据取证方法,可帮助读者建立证据意识,掌握常用调查取证和分析工具使用技巧,熟悉应对网络安全事件的方法和常规流程。本书介绍的大多数工具都是开源的,便于读者练习和使用。同时,本书还以几种常见网络安全事件场景为例,详细阐述调查取证的流程、要点以及报告样例。具体包括:网络安全事件发生时要采取何种应对措施来减少或消除事件的不良影响,提高因特网用户的安全性;如何开展调查以及使用何种工具才能被业界所认可;怎样收集证据以及收集什么样的证据才能为潜在的法律诉讼提供帮助和支持,以便更加迅速、有效地开展事件调查取证工作。本书是网络安全专业人士,特别是网络安全事件调查人员不可多得的良好学习素材。本书内容深入浅出,非常适合作为高等学校信息安全或网络空间安全专业选修课的参考书,也可以作为相关专业工作人员案头学习的工具书。
本书由孙国梓、韩马剑、李毅组织翻译,参加翻译的人员还包括谷宇、范礼。具体分工如下:谷宇完成了本书第1、2、3章的主要翻译,韩马剑负责本书第4、7、8、11、12章的翻译,李毅及范礼完成了本书第5、6、9、10、13章的翻译,技术术语部分由所有翻译者共同参与完成。在翻译过程中,我们对书中个别明显的印刷错误做了修改;为了便于阅读和理解,在一些地方添加了译者注。全书最后由孙国梓统稿并审校。在本书的翻译过程中,我们得到了机械工业出版社华章分社朱捷、冯润峰等编辑的大力支持和帮助,在此表示衷心的感谢。
本着对读者认真负责的宗旨,我们努力做到技术内涵的准确无误以及专业术语的规范统一。但是,限于译者水平,加之时间仓促,翻译不妥和疏漏之处在所难免,敬请读者不吝批评指正。
2022年春于南京
译者序
前言
致谢
作者简介
审校者简介
第1章 电子数据取证 1
1.1 定义电子数据取证 2
1.2 从事取证服务 4
1.3 汇报犯罪活动 6
1.4 搜查令与法律 7
1.5 取证角色 10
1.6 取证就业市场 12
1.7 取证培训 13
1.8 小结 19
参考文献 19
第2章 网络犯罪与防御 20
2.1 数字时代的犯罪 21
2.2 漏洞利用 24
2.3 对手 27
2.4 网络法 28
2.5 小结 30
参考文献 31
第3章 建立电子数据取证实验室 32
3.1 桌面虚拟化 32
3.1.1 VMware Fusion 33
3.1.2 VirtualBox 33
3.2 安装Kali Linux 34
3.3 攻击虚拟机 40
3.4 Cuckoo沙盒 44
3.4.1 Cuckoo虚拟化软件 45
3.4.2 安装TCPdump 46
3.4.3 在VirtualBox上为Cuckoo创建账户 46
3.5 Binwalk 47
3.6 The Sleuth Kit 48
3.7 Cisco Snort 49
3.8 Windows 工具 54
3.9 物理访问控制 55
3.10 存储取证证据 57
3.11 快速取证背包 59
3.12 小结 60
参考文献 60
第4章 违规应急响应 61
4.1 机构在应急响应中失败的原因 62
4.2 为网络事件做好准备 63
4.3 应急响应定义 64
4.4 应急响应计划 65
4.5 组建应急响应团队 67
4.5.1 应急响应团队的介入时机 67
4.5.2 应急响应中容易忽略的事项 70
4.5.3 电话树和联系人列表 70
4.5.4 设施 71
4.6 应急响应 71
4.7 评估事件严重性 72
4.8 遵循的通知程序 73
4.9 事件后采取的行动和程序 74
4.10 了解有助于应对违规事件的软件 74
4.10.1 趋势分析软件 75
4.10.2 安全分析参考架构 75
4.10.3 其他软件类别 77
4.11 小结 78
参考文献 78
第5章 调查 79
5.1 预调查 79
5.2 开始案件 81
5.3 应急响应人员 84
5.4 设备电源状态 88
5.5 搜查和扣押 90
5.6 证据保管链 94
5.7 网络调查 96
5.8 取证报告 101
5.8.1 案例摘要 102
5.8.2 获取和检查准备 103
5.8.3 发现 103
5.8.4 结论 103
5.8.5 作者列表 104
5.9 结束案件 105
5.10 评判案件 108
5.11 小结 110
参考文献 111
第6章 收集和保全证据 112
6.1 应急响应人员 112
6.2 证据 115
6.2.1 Autopsy 115
6.2.2 授权 116
6.3 硬盘驱动器 117
6.3.1 连接和设备 119
6.3.2 RAID 121
6.4 易失性数据 122
6.4.1 DumpIt 122
6.4.2 LiME 123
6.4.3 Volatility 124
6.5 复制 126
6.5.1 dd 128
6.5.2 dcfldd 129
6.5.3 ddrescue 129
6.5.4 Netcat 130
6.5.5 Guymager 131
6.5.6 压缩和分片 131
6.6 哈希 133
6.6.1 MD5和SHA哈希 135
6.6.2 哈希挑战 136
6.7 数据保全 136
6.8 小结 138
参考文献 138
第7章 终端取证 139
7.1 文件系统 140
7.1.1 定位数据 143
7.1.2 未知文件 145
7.1.3 Windows注册表 147
7.1.4 被删除的文件 150
7.1.5 Windows回收站 151
7.1.6 快捷方式 154
7.1.7 打印缓冲池 154
7.1.8 松弛空间和损坏的簇 156
7.1.9 交换数据流 159
7.2 Mac OS X 161
7.3 日志分析 164
7.4 物联网取证 169
7.5 小结 172
参考文献 172
第8章 网络取证 173
8.1 网络协议 173
8.2 安全工具 175
8.2.1 防火墙 178
8.2.2 入侵检测和防御系统 178
8.2.3 内容过滤器 179
8.2.4 网络访问控制 179
8.2.5 数据包捕获 182
8.2.6 网络流 183
8.2.7 沙盒 184
8.2.8 蜜罐 186
8.2.9 安全信息和事件管理器 186
8.2.10 威胁分析与提要 187
8.2.11 安全工具总结 187
8.3 安全日志 187
8.4 网络基线 191
8.5 威胁征兆 192
8.5.1 侦察 193
8.5.2 漏洞利用 195
8.5.3 恶意行为 198
8.5.4 信标 200
8.5.5 暴力破解 204
8.5.6 泄露 205
8.5.7 其他指标 208
8.6 小结 209
参考文献 210
第9章 手机取证 211
9.1 移动设备 211
9.2 iOS架构 212
9.3 iTunes取证 214
9.4 iOS快照 216
9.5 如何给iPhone越狱 218
9.6 Android 219
9.7 绕过PIN 222
9.8 使用商业工具取证 224
9.9 通话记录和短信欺骗 225
9.10 语音邮件绕过 226
9.11 如何找到预付费手机 226
9.12 SIM卡克隆 228
9.13 小结 228
参考文献 229
第10章 邮件和社交媒体 230
10.1 瓶中信 230
10.2 邮件首部 231
10.3 社交媒体 236
10.4 人员搜索 236
10.5 谷歌搜索 240
10.6 Facebook搜索 243
10.7 小结 250
参考文献 251
第11章 思科取证能力 252
11.1 思科安全架构 252
11.2 思科开源工具 254
11.3 思科Firepower 255
11.4 思科高级恶意软件防护 257
11.5 思科威胁网格 262
11.6 思科Web安全设备 265
11.7 思科认知威胁分析 266
11.8 Meraki 267
11.9 电子邮件安全设备 269
11.10 思科身份识别服务引擎 270
11.11 思科Stealthwatch 273
11.12 思科Tetration 276
11.13 思科保护伞 277
11.14 思科Cloudlock 281
11.15 思科网络技术 282
11.16 小结 282
参考文献 283
第12章 取证案例场景 284
12.1 场景1:网络通信调查 284
12.1.1 预定方案 285
12.1.2 网络数据调查策略 286
12.1.3 调查 288
12.1.4 结束调查 293
12.2 场景2:正在使用的终端设备的取证 294
12.2.1 预定方案 294
12.2.2 终端设备调查策略 295
12.2.3 调查 296
12.2.4 可能采取的步骤 296
12.2.5 结束调查 299
12.3 场景3:恶意软件调查 300
12.3.1 预定方案 301
12.3.2 恶意文件的调查策略 301
12.3.3 调查 302
12.3.4 结束调查 305
12.4 场景4:易失性数据调查 306
12.4.1 预定方案 306
12.4.2 易失性数据的调查策略 307
12.4.3 调查 307
12.4.4 结束调查 310
12.5 场景5:充当应急响应人员 311
12.5.1 预定方案 311
12.5.2 应急响应人员的策略 311
12.5.3 结束调查 313
12.6 小结 314
参考文献 315
第13章 取证工具 316
13.1 工具 317
13.1.1 Slowloris DDOS工具:第2章 317
13.1.2 Low Orbit Ion Cannon网站压力测试工具 318
13.1.3 VMware Fusion:第3章 319
13.1.4 VirtualBox:第3章 319
13.1.5 Metasploit:第3章 320
13.1.6 Cuckoo 沙盒:第3章 321
13.1.7 Cisco Snort:第3章 321
13.1.8 FTK Imager:第3章、第9章 322
13.1.9 FireEye Redline:第3章 323
13.1.10 P2 eXplorer:第3章 324
13.1.11 PlainSight:第3章 324
13.1.12 Sysmon:第3章 324
13.1.13 WebUtil:第3章 325
13.1.14 ProDiscover Basics:第3章 325
13.1.15 Solarwinds Trend Analysis Module:第4章 325
13.1.16 Splunk:第4章 326
13.1.17 RSA Security Analytics:第4章 327
13.1.18 IBM的QRadar:第4章 327
13.1.19 HawkeyeAP:第4章 327
13.1.20 WinHex:第6章、第7章 328
13.1.21 OSForensics:第6章 328
13.1.22 Mount Image Pro:第6章 329
13.1.23 DumpIt:第6章 329
13.1.24 LiME:第6章 329
13.1.25 TrIDENT:第7章 329
13.1.26 PEiD:第7章 330
13.1.27 Lnkanalyser:第7章 330
13.1.28 Windows File Analyzer:第7章 330
13.1.29 LECmd:第7章 331
13.1.30 SplViewer:第7章 332
13.1.31 PhotoRec:第7章 332
13.1.32 Windows事件日志:第7章 333
13.1.33 Log Parser Studio:第7章 334
13.1.34 LogRhythm:第8章 334
13.2 移动设备 334
13.2.1 Elcomsoft:第9章 334
13.2.2 Cellebrite:第9章 335
13.2.3 iPhone Backup Extractor:第9章 335
13.2.4 iPhone Backup Browser:第9章 335
13.2.5 Pangu:第9章 335
13.2.6 KingoRoot Application:第9章 335
13.3 Kali Linux工具 336
13.3.1 Fierce:第8章 336
13.3.2 TCPdump:第3章 336
13.3.3 Autopsy和使用Sleuth Kit的Autopsy:第3章、第6章 336
13.3.4 Wireshark:第8章 336
13.3.5 Exiftool:第7章 337
13.3.6 dd:第6章 337
13.3.7 dcfldd:第6章 338
13.3.8 ddrescue:第6章 338
13.3.9 Netcat:第6章 338
13.3.10 Volatility:第6章 338
13.4 思科工具 338
13.4.1 思科AMP 338
13.4.2 Stealthwatch:第8章 339
13.4.3 思科WebEx:第4章 339
13.4.4 Snort:第11章 339
13.4.5 ClamAV:第10章 339
13.4.6 Razorback:第10章 340
13.4.7 Daemonlogger:第11章 340
13.4.8 Moflow Framework:第10章 340
13.4.9 Firepower:第10章 340
13.4.10 Threat Grid:第10章 340
13.4.11 WSA:第10章 340
13.4.12 Meraki:第10章 341
13.4.13 Email Security:第10章 341
13.4.14 ISE:第10章 341
13.4.15 思科Tetration:第10章 341
13.4.16 Umbrella:第10章 341
13.4.17 Norton ConnectSafe:前面未提及 342
13.4.18 Cloudlock:第10章 343
13.5 取证软件包 343
13.5.1 FTK Toolkit:第3章 343
13.5.2 X-Ways Forensics:第3章 343
13.5.3 OSforensics:第6章 343
13.5.4 EnCase:第7章 344
13.5.5 Digital Forensics Framework(DFF):第7章 344
13.6 有用的网站 344
13.6.1 Shodan:第1章 344
13.6.2 Wayback Machine:第3章 345
13.6.3 Robot.txt 文件:第2章 345
13.6.4 Hidden Wiki:第2章 345
13.6.5 NIST:第4章 345
13.6.6 CVE:第4章 345
13.6.7 Exploit-DB:第4章 346
13.6.8 Pastebin:第4章、第10章 346
13.6.9 宾夕法尼亚大学证据保管链表格:第6章 346
13.6.10 文件签名列表:第9章 347
13.6.11 Windows注册表取证Wiki:第7章 347
13.6.12 Mac OS取证Wiki:第7章 347
13.7 杂项网站 347
13.7.1 可搜索的FCC ID 数据库 347
13.7.2 服务名称和传输协议端口号注册表 348
13.7.3 NetFlow版本9流记录格式 348
13.7.4 NMAP 348
13.7.5 Pwnable 348
13.7.6 Embedded Security CTF 348
13.7.7 CTF Learn 349
13.7.8 Reversing.Kr 349
13.7.9 Hax Tor 349
13.7.10 W3Challs 349
13.7.11 RingZer0 Team Online CTF 349
13.7.12 Hellbound Hackers 350
13.7.13 Over the Wire 350
13.7.14 Hack This Site 350
13.7.15 VulnHub 350
13.7.16 Application Security Challenge 350
13.7.17 iOS技术概述 351
13.8 小结 351
技术缩略语表 352
