VIP会员
内容简介
网络取证是计算机取证技术的一个新的发展方向,是计算机网络技术与法学的交叉学科。本书是网络取证方面的第一本专著,一经出版便好评如潮,在Amazon网站上的评分达4.5星。
本书根据网络取证调查人员的实际需要,概述了网络取证的各个方面,不论是对各种网络协议的分析和对各种网络设备的处理方式,还是取证流程的设计都有独到之处。
本书共分四大部分十二章,第1章“实用调查策略”,第2章“技术基础”和第3章“证据获取”属于第一部分,其中给出了一个取证的方法框架,并介绍了相关的基础知识;第4章“数据包分析”,第5章“流统计分析”、第6章“无线:无须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分,介绍了对网络流量进行分析的各种技术;第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分,详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分,针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。
目录
第一部分 基础篇
第1章 实用调查策略
1.1 真实的案例
1.1.1 医院里被盗的笔记本电脑
1.1.2 发现公司的网络被用于传播盗版
1.1.3 被黑的政府服务器
1.2 足迹
1.3 电子证据的概念
1.3.1 实物证据
1.3.2 证据
1.3.3 直接证据
1.3.4 情况证据
1.3.5 传闻证据
1.3.6 经营记录
1.3.7 电子证据
1.3.8 基于网络的电子证据
1.4 关于网络证据相关的挑战
1.5 网络取证调查方法(OSCAR)
1.5.1 获取信息
1.5.2 制订方案
1.5.3 收集证据
1.5.4 分析
1.5.5 出具报告
1.6 小结
第2章 技术基础
2.1 基于网络的证据来源
2.1.1 物理线缆
2.1.2 无线网络空口
2.1.3 交换机
2.1.4 路由器
2.1.5 DHCP服务器
2.1.6 域名服务器
2.1.7 登录认证服务器
2.1.8 网络入侵检测/防御系统
2.1.9 防火墙
2.1.10 Web代理
2.1.11 应用服务器
2.1.12 中央日志服务器
2.2 互联网的工作原理
2.2.1 协议
2.2.2 开放系统互连模型
2.2.3 例子:周游世界……然后再回来
2.3 互联网协议组
2.3.1 互联网协议组的早期历史和开发过程
2.3.2 网际协议
2.3.3 传输控制协议
2.3.4 用户数据报协议
2.4 小结
第3章 证据获取
3.1 物理侦听
3.1.1 线缆
3.1.2 无线电频率
3.1.3 Hub
3.1.4 交换机
3.2 流量抓取软件
3.2.1 libpcap和WinPcap
3.2.2 伯克利包过滤(Berkeley Packet Filter,BPF)语言
3.2.3 tcpdump
3.2.4 Wireshark
3.2.5 tshark
3.2.6 dumpcap
3.3 主动式获取
3.3.1 常用接口
3.3.2 没有权限时咋办
3.3.3 策略
3.4 小结
第二部分 数据流分析
第4章 数据包分析
4.1 协议分析
4.1.1 哪里可以得到协议信息
4.1.2 协议分析工具
4.1.3 协议分析技巧
4.2 包分析
4.2.1 包分析工具
4.2.2 包分析技术
4.3 流分析
4.3.1 流分析工具
4.3.2 流分析技术
4.4 分析更高层的传输协议
4.4.1 一些常用的高层协议
4.4.2 高层协议分析工具
4.4.3 高层协议分析技术
4.5 结论
4.6 案例研究:Ann的约会
4.6.1 分析:协议概要
4.6.2 DHCP通信
4.6.3 关键词搜索
4.6.4 SMTP分析--Wireshark
4.6.5 SMTP分析--TCPFlow
4.6.6 SMTP 分析--附件提取
4.6.7 查看附件
4.6.8 找到Ann的简单方法
4.6.9 时间线
4.6.10 案件的理论推导
4.6.11 挑战赛问题的应答
4.6.12 下一步
第5章 流统计分析
5.1 处理过程概述
5.2 传感器
5.2.1 传感器类型
5.2.2 传感器软件
5.2.3 传感器位置
5.2.4 修改环境
5.3 流记录导出协议
5.3.1 N
摘要与插图
序我的曾祖父是个木匠。我现在就趴在他做的桌子上,坐着他做的椅子写这篇序。他的世界是一门手艺,“熟能生巧”。他生命后期的作品,即使表面上看是个与某个早期作品一样的东西,但旁人仍能看出他技艺的精湛。
网络安全的特点是其革新速度——不光是迅速增长的进步,还有那些时不时冒出来的“惊喜”。用数学术语说,网络安全的“功系数”是不断被技术进步打断的阶梯函数的积分。我的祖先在提高他的技艺时,可不会受困于胡桃木、钢铁或亚麻籽等原材料性状的改变,但在现如今提升网络安全水平时可没有这么好运。
乍一看,取证好像只是为解释已经发生的事而做的简单活计,因此还显得有些矫情。但事实并非如此,究其原因在于它的复杂性。这个复杂性是逐渐积累起来的。而且,就像作者在一开始说过的那样,如果积累足够多的话,即便只是一个单的网络,想知道其中发生的所有事也会变得不可能。因此,取证的目的就在于揭示那些发生在网络及其基础设施上的,有意义的,先前不为人知的重要因素。只有在知道了这些因素之后,将来才真正有改进的机会。
取证是一门艺术,勤能补拙。取证的发现过程就在于排除正在调查的事件的可能成因。就像雕刻时,我们的目的就是去掉所有使它看上去不像一头大象的多余石料一样,取证也是要去掉所有经观察并不成立的假说,并得出结论。套用EF舒马赫的观点,取证是个收敛的问题;但网络安全却是个发散的问题。换而言之,在取证中付出的努力越多,解的集合就越趋向于某一个答案,但这一结论在一般的网络安全问题上却不成立。
或许我们应该说:取证不是一门关于安全的学科,而是一门关于“不安全”的学科。安全是关于所有潜在的事件的,正如PeterBernstein的定义:“风险就是诸多难以预见的情况”。取证不必从越来越复杂的事实中归纳出各种可能性,只须推导出其“何以至此”的原因即可。然而,一般来说,在网络安全中,犯罪分子总是有一种先天的优势,而在取证中,是防御者拥有这一优势。
取证是门艺术,“真的假不了,假的真不了”是它天生具有的战略优势。对你(现在或将来的取证人员)来说,你的任务就是在你拥有战略优势的地方提高你的技艺——不光是理论上的,还要有实际操作技能。这就是你需要这本书的原因。
技精于学生是老师的义务,而“青出于蓝而胜于蓝”同样也是学生的责任。但是在变成高手之前,你还是需要老师的教导,超越他们并非易事。说到底,技艺非凡的大师能让你知道当前的工具箱中哪些东西是一直能用的,哪些是随着时代的进步可能被淘汰掉的。他同样也能清楚地知道,你缺些什么。从这个角度来讲,这本书的篇幅安排是大师所选。
基本上,由于每起案件案情的不同,各个案件的取证调查过程中,各自所需的工具集也都不尽相同,所以的办法就是拥有所有会用到的专业工具,当然其中的一些工具的使用频率会高于其他工具。将工具集的作用发挥到的前提是:你深入了解其中的每个功能,当然,这并不是说你需要而无须经常使用其中的每一个工具。NicholasTaleb是这样描述UnbertoEco的逆图书收藏主义的:“……应该在你的经济状况、按揭利率以及不动产资产允许的情况下,尽可能多地收集你所不了解的资料。”
你,亲爱的读者,能拿到这样一本与众不同的取证书籍,且读且珍惜!
DanielE.Geer,Jr.,Sc.D.
译者序
这是一本视角的电子取证书籍,令人耳目一新!
我自从2002年起从事电子取证工作至今已有十余年了,应该说这一行里几乎一直不停地涌现出新的技术、思路,你看嘛:
十几年前,几乎所有的取证书籍讨论的都只有一