欢迎光临中图网 请 | 注册
> >
黑客大追踪-网络取证核心原理与实践

黑客大追踪-网络取证核心原理与实践

作者:大卫杜夫
出版社:电子工业出版社出版时间:2015-01-01
开本: 16开 页数: 469
中 图 价:¥61.9(5.2折) 定价  ¥119.0 登录后可看到会员价
暂时缺货 收藏
运费6元,满69元免运费
?快递不能达地区使用邮政小包,运费14元起
云南、广西、海南、新疆、青海、西藏六省,部分地区快递不可达
本类五星书更多>

黑客大追踪-网络取证核心原理与实践 版权信息

  • ISBN:9787121245541
  • 条形码:9787121245541 ; 978-7-121-24554-1
  • 装帧:一般胶版纸
  • 册数:暂无
  • 重量:暂无
  • 所属分类:>

黑客大追踪-网络取证核心原理与实践 本书特色

网络取证是计算机取证技术的一个新的发展方向,是计算机网络技术与法学的交叉学科。本书是网络取证方面的**本专著,一经出版便好评如潮,在amazon网站上的评分达4.5星。   本书根据网络取证调查人员的实际需要,概述了网络取证的各个方面,不论是对各种网络协议的分析和对各种网络设备的处理方式,还是取证流程的设计都有独到之处。   本书共分四大部分十二章,第1章“实用调查策略”,第2章“技术基础”和第3章“证据获取”属于**部分,其中给出了一个取证的方法框架,并介绍了相关的基础知识;第4章“数据包分析”,第5章“流统计分析”、第6章“无线:无须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分,介绍了对网络流量进行分析的各种技术;第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“web代理”属于第三部分,详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分,针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。

黑客大追踪-网络取证核心原理与实践 内容简介

网络取证是计算机取证技术的一个新的发展方向,是计算机网络技术与法学的交叉学科。本书是网络取证方面的**本专著,一经出版便好评如潮,在Amazon网站上的评分达4.5星。 本书根据网络取证调查人员的实际需要,概述了网络取证的各个方面,不论是对各种网络协议的分析和对各种网络设备的处理方式,还是取证流程的设计都有独到之处。 本书共分四大部分十二章,第1章“实用调查策略”,第2章“技术基础”和第3章“证据获取”属于**部分,其中给出了一个取证的方法框架,并介绍了相关的基础知识;第4章“数据包分析”,第5章“流统计分析”、第6章“无线:无须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分,介绍了对网络流量进行分析的各种技术;第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分,详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分,针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。

黑客大追踪-网络取证核心原理与实践 目录

**部分  基础篇

第1章  实用调查策略
1.1  真实的案例
1.1.1  医院里被盗的笔记本电脑
1.1.2  发现公司的网络被用于传播盗版
1.1.3  被黑的政府服务器
1.2  足迹
1.3  电子证据的概念
1.3.1  实物证据
1.3.2  *佳证据
1.3.3  直接证据
1.3.4  情况证据
1.3.5  传闻证据
1.3.6  经营记录
1.3.7  电子证据
1.3.8  基于网络的电子证据
1.4  关于网络证据相关的挑战
1.5  网络取证调查方法(oscar)
1.5.1  获取信息
1.5.2  制订方案
1.5.3  收集证据
1.5.4  分析
1.5.5  出具报告
1.6  小结

第2章  技术基础
2.1  基于网络的证据来源
2.1.1  物理线缆
2.1.2  无线网络空口
2.1.3  交换机
2.1.4  路由器
2.1.5  dhcp服务器
2.1.6  域名服务器
2.1.7  登录认证服务器
2.1.8  网络入侵检测/防御系统
2.1.9  防火墙
2.1.10  web代理
2.1.11  应用服务器
2.1.12  中央日志服务器
2.2  互联网的工作原理
2.2.1  协议
2.2.2  开放系统互连模型
2.2.3  例子:周游世界……然后再回来
2.3  互联网协议组
2.3.1  互联网协议组的早期历史和开发过程
2.3.2  网际协议
2.3.3  传输控制协议
2.3.4  用户数据报协议
2.4  小结

第3章  证据获取
3.1  物理侦听
3.1.1  线缆
3.1.2  无线电频率
3.1.3  hub
3.1.4  交换机
3.2  流量抓取软件
3.2.1  libpcap和winpcap
3.2.2  伯克利包过滤(berkeley packet filter,bpf)语言
3.2.3  tcpdump
3.2.4  wireshark
3.2.5  tshark
3.2.6  dumpcap
3.3  主动式获取
3.3.1  常用接口
3.3.2  没有权限时咋办
3.3.3  策略
3.4  小结

第二部分  数据流分析

第4章  数据包分析
4.1  协议分析
4.1.1  哪里可以得到协议信息
4.1.2  协议分析工具
4.1.3  协议分析技巧
4.2  包分析
4.2.1  包分析工具
4.2.2  包分析技术
4.3  流分析
4.3.1  流分析工具
4.3.2  流分析技术
4.4  分析更高层的传输协议
4.4.1  一些常用的高层协议
4.4.2  高层协议分析工具
4.4.3  高层协议分析技术
4.5  结论
4.6  案例研究:ann的约会
4.6.1  分析:协议概要
4.6.2  dhcp通信
4.6.3  关键词搜索
4.6.4  smtp分析--wireshark
4.6.5  smtp分析--tcpflow
4.6.6  smtp 分析--附件提取
4.6.7  查看附件
4.6.8  找到ann的简单方法
4.6.9  时间线
4.6.10  案件的理论推导
4.6.11  挑战赛问题的应答
4.6.12  下一步

第5章  流统计分析
5.1  处理过程概述
5.2  传感器
5.2.1  传感器类型
5.2.2  传感器软件
5.2.3  传感器位置
5.2.4  修改环境
5.3  流记录导出协议
5.3.1  netflow
5.3.2  ipfix
5.3.3  sflow
5.4  收集和汇总
5.4.1  收集器的位置和架构
5.4.2  数据收集系统
5.5  分析
5.5.1  流记录分析技术
5.5.2  流记录分析工具
5.6  结论
5.7  案例研究:奇怪的x先生
5.7.1  分析:**步
5.7.2  外部攻击者和端口22的通信
5.7.3  dmz中的受害者--10.30.30.20(也是172.30.1.231)
5.7.4  内部受害系统--192.30.1.101
5.7.5  时间线
5.7.6  案件分析
5.7.7  回应挑战赛问题
5.7.8  下一步

第6章  无线:无须网线的取证
6.1  ieee 第二层协议系列
6.1.1  为什么那么多第二层协议
6.1.2  802.11 协议族
6.1.3  802.1x
6.2  无线接入点(wap)
6.2.1  为什么要调查无线接入点
6.2.2  无线接入点的类型
6.2.3  wap证据
6.3  无线数据捕获及分析
6.3.1  频谱分析
6.3.2  无线被动证据收集
6.3.3  有效地分析802.11
6.4  常见攻击类型
6.4.1  嗅探
6.4.2  未授权的无线接入点
6.4.3  邪恶双子
6.4.4  wep破解
6.5  定位无线设备
6.5.1  获取设备描述
6.5.2  找出附近的无线接入点
6.5.3  信号强度
6.5.4  商业化企业级工具
6.5.5  skyhook
6.6  总结
6.7  案例研究:hackme公司
6.7.1  调查wap
6.7.2  快速粗略的统计
6.7.3  对于管理帧的深层次观察
6.7.4  一个可能的"嫌疑犯"
6.7.5  时间线
6.7.6  案例总结
6.7.7  挑战问题的应答
6.7.8  下一步

第7章  网络入侵的侦测及分析
7.1  为什么要调查nids/nips
7.2  nids/nips的典型功能
7.2.1  嗅探
7.2.2  高层协议辨识
7.2.3  可疑字节的报警
7.3  检测的模式
7.3.1  基于特征的分析
7.3.2  协议辨识
7.3.3  行为分析
7.4  nids/nips的种类
7.4.1  商业化nids/nips
7.4.2  自我定制
7.5  nids/nips的电子证据采集
7.5.1  电子证据类型
7.5.2  nids/nips界面
7.6  综合性网络封包日志
7.7  snort系统
7.7.1  基本结构
7.7.2  配置
7.7.3  snort规则语言
7.7.4  例子
7.8  总结
7.9  教学案例:inter0ptic拯救地球(**部分)
7.9.1  分析:snort 警报
7.9.2  初步数据包分析
7.9.3  snort规则分析
7.9.4  从snort抓包数据中提取可疑文件
7.9.5 "info web bug"警报
7.9.6 "tcp window scale option"警报
7.9.7  时间线
7.9.8  案情推测
7.9.9  下一步

第三部分  网络设备和服务器

第8章  事件日志的聚合、关联和分析
8.1  日志来源
8.1.1  操作系统日志
8.1.2  应用日志
8.1.3  物理设备日志
8.1.4  网络设备日志
8.2  网络日志的体系结构
8.2.1  三种类型的日志记录架构
8.2.2  远程日志:常见问题及应对方法
8.2.3  日志聚合和分析工具
8.3  收集和分析证据
8.3.1  获取信息
8.3.2  策略制定
8.3.3  收集证据
8.3.4  分析
8.3.5  报告
8.4  总结
8.5  案例:l0ne sh4rk的报复
8.5.1  初步分析
8.5.2  可视化失败的登录尝试
8.5.3  目标账户
8.5.4  成功登录
8.5.5  攻陷后的活动
8.5.6  防火墙日志
8.5.7  内部被害者--192.30.1.101
8.5.8  时间线
8.5.9  案件结论
8.5.10  对挑战问题的应答
8.5.11  下一步

第9章  交换机、路由器和防火墙
9.1  存储介质
9.2  交换机
9.2.1  为什么调查交换机
9.2.2  内容寻址内存表
……
第10章 web代理
第四部分 高级议题
  第11章 网络隧道
  第12章 恶意软件取证
后记

展开全部

黑客大追踪-网络取证核心原理与实践 相关资料

当安全圈前辈cnhawk找到我,希望我为这本由崔孝晨老师及公安系统一线专家团队翻译的亚马逊5星畅销书写份推荐的时候,小生何其惶恐。网络犯罪取证和黑客追踪溯源,不但是“猫捉老鼠”般的斗智斗力,更需要侦查人员广博深厚的知识技术水平和长时间的经验积累。
  在这个领域,小生沉醉多年,从最开始摸索如何利用networkgeneral的snifferportable便携式设备抵近目标局域网,到利用网关设备旁路分光/镜像采集、分析重要内网网络流量和协议,再到利用机器学习方法挖掘处理海量日志和社工证据,更亲身实践过先进木马和僵尸网络的攻防对抗……10多年一路走来,深感网络取证追踪领域的浩瀚复杂、相关技术资料搜集整理的艰辛,更为“如何构建完备的网络取证知识技能体系?如何将长期以来在各个层次实施取证/对抗的经验教训进行系统化的梳理?”这个巨大的课题而长期的困惑着……直到我读完这本书。
  从本地取证到网络追踪,远不仅仅是从磁盘数据恢复+内存dump到网络数据包截获分析的“升级”,而是实现了从“单点证据采集”到“全域、多层次海量数据证据链信息的挖掘推理”的跃变。取证的装备和技术在发展,侦查人员的思维和眼界更要改变。
  书中把“证据”定义为:任何可观察且可记录的事件或者是事件的因素,即能用来正确理解一个已被观察到的事件发生原因和本质的,任何可以被观察到并被记录下来的活动或产生活动的人为因素。从我的理解看,本书围绕网络取证和黑客追踪这个主题,通过深入浅出的技术总结和实战案例分析,囊括了“观察”“记录”和“理解”三个核心要素:
  1.如何成为一名精通无线/有线网络通信和协议分析的侦查员?
  针对广域网、园区有线网、无线网等不同网络目标,了解网络中各类系统的配置、接口和功能,从不同类型的接入点(如:无线ap、交换机)或中间媒介(如光纤、以太网线)切入网络,主动/被动地截获各级各类网络流量,从各种标准网络协议如802.11b/g/n,arp,dhcp,ipv4,ipv6,tcp,udp,icmp,tls/ssl,smtp,imap,dns,http,smb,ftp,rtp等或目标内部通信协议入手,分析黑客的通信要素和信息内容,追踪黑客在网络中的行动轨迹。
  2.如何成为一名深刻理解网络运维和安全防护的侦查员?
  大型重要网络的运维和一体化安全防护,不再是过去网管员“重装系统、配置dhcp、升级杀毒软件病毒库”的简单重复劳动。各类自动化运维系统和安全防御工具,定期对应用服务器、路由器、防火墙、网络设备、照相机和各种其他设备产生的事件日志中进行采集,获取特定时间、特定系统/环境下的设备状态,并进行可视化的统计和格式化标准化处理。各类监控摄像探头的录像、登记记录、网络访问日志、无线接入点的日志、动态主机配置协议保留的地址分配日志、活动目录、域控制器、vpn控制器等提供的日志、活动目录事件日志、web代理服务器日志以及目标电脑中可能会安装的位置追踪软件日志等,都是我们进行综合关联与分析的重要素材。多源日志信息的融合与关联分析将成为侦查员们的利器,我们将能够快速准确地定位黑客电脑的物理位置——移动设备联入建筑物里的哪个无线接入点?还可以通过跟踪移动设备联入各个wap的情况,勾画出黑客设备移动的轨迹图;准确的时间和位置要素,能让我们从海量的监控摄像数据中迅速找到黑客的面部特征。
  3.如何成为一名熟练运用系统架构思想和数据科学方法的侦查员?
  互联网如此复杂,以至于我们已无法彻底分析和理解其工作模式。自其诞生以来,匿名性就是互联网的特质之一,甚至即便设备位于你掌握的组织内部时,准确定位到它也需要分析海量的网络文档和日志。当前的各种自动化运维(slunk)或安防设备(如ids)已经具有一定的统计处理和关联分析能力,但对于“黑客行为模式识别、攻击者分类、未来攻击动作预测、黑客总体实力评估”等更高等级的侦查工作仍然力不从心。我们仍然需要更加深刻地理解网络信息系统的架构,对海量的样本数据中主动的学习特征、建立模型,在机器学习、人工智能等科学方法的帮助下,在重重迷雾中抽丝剥茧,理清繁荣复杂的海量证据间关系。
  相信读完本书,无论是大专院校计算机和网络安全相关专业的学生,还是公安网络安全保卫部门的一线侦查员,亦或国家网络安全应急响应单位的技术人员,都会大有裨益。末了,小生不才,也附送一句忠告:黑客和apt攻击者正变得越来越强大,侦查员们一刻都不能停歇,请尽快的进一步学习掌握基于大数据的智能化海量情报分析方法和技能,让犯罪者在我国的网络空间中无所遁迹。
  张宇翔(id:潜伏鹰)
  2014.11.1.北京.

商品评论(0条)
暂无评论……
书友推荐
编辑推荐
返回顶部
中图网
在线客服