Analiza śledcza i powłamaniowa : zaawansowane techniki

Analiza śledcza i powłamaniowa : zaawansowane techniki prowadzenia
analizy w systemie Windows 7 / Harlan Carvey. – Gliwice, cop. 2013
Spis treści
Przedmowa
9
Podziękowania
15
O autorze
17
O korektorze merytorycznym
19
ROZDZIAŁ 1. ZałoŜenia analizy systemów komputerowych
Wprowadzenie
ZałoŜenia analizy systemów komputerowych
Wersje systemu Windows
Reguły i zasady przeprowadzania analizy
Dokumentacja
Konwergencja
Wirtualizacja
Konfiguracja środowiska śledczego
Podsumowanie
21
21
24
25
27
40
42
44
46
50
ROZDZIAŁ 2. Szybka reakcja na incydenty
Wprowadzenie
Jak być przygotowanym do sprawnego reagowania na incydenty?
Pytania
NajwaŜniejszy element — przygotowania
Dzienniki zdarzeń (logi)
Gromadzenie danych
Szkolenia
Podsumowanie
51
51
53
55
57
62
68
72
74
ROZDZIAŁ 3. Usługa VSS — kopiowanie woluminów w tle
Wprowadzenie
Czym jest usługa kopiowania woluminów w tle?
Klucze w rejestrze
Praca z kopiami VSS we włączonych systemach
Pakiet ProDiscover
Pakiet F-Response
Praca z kopiami VSS w binarnych obrazach dysków
Metoda z wykorzystaniem plików VHD
75
75
76
78
79
83
83
86
88
Metoda z wykorzystaniem oprogramowania VMware
Automatyzacja dostępu do kopii VSS
ProDiscover
Podsumowanie
Literatura i inne źródła
93
97
100
103
103
ROZDZIAŁ 4. Analiza systemu plików
Wprowadzenie
Tablica MFT
Mechanizm tunelowania w systemie plików
Dzienniki zdarzeń systemowych
Dziennik zdarzeń systemu Windows
Folder Recycle Bin
Pliki prefetch
Zaplanowane zadania
Listy szybkiego dostępu
Pliki hibernacji
Pliki aplikacji
Logi programów antywirusowych
Komunikator Skype
Produkty firmy Apple
Pliki graficzne (zdjęcia, obrazy)
Podsumowanie
Literatura i inne źródła
105
106
107
114
116
121
125
129
134
138
145
146
147
148
149
151
153
154
ROZDZIAŁ 5. Analiza rejestru systemu Windows
Wprowadzenie
Analiza rejestru
Nomenklatura rejestru
Rejestr jako plik dziennika
Analiza historii urządzeń USB
Gałąź System
Gałąź Software
Gałęzie rejestru związane z profilem uŜytkownika
Dodatkowe źródła informacji
Narzędzia
Podsumowanie
Literatura i inne źródła
155
156
157
158
159
160
175
178
188
199
202
204
204
ROZDZIAŁ 6. Wykrywanie złośliwego oprogramowania
Wprowadzenie
Typowe cechy złośliwego oprogramowania
Początkowy wektor infekcji
Mechanizm propagacji
Mechanizm przetrwania
205
206
207
209
212
214
Artefakty
Wykrywanie złośliwego oprogramowania
Analiza logów
Skany antywirusowe
Zaglądamy głębiej
Złośliwe strony internetowe
Podsumowanie
Literatura i inne źródła
219
222
223
229
234
251
254
254
ROZDZIAŁ 7. Analiza zdarzeń w osi czasu
Wprowadzenie
Zestawienie zdarzeń w osi czasu
Źródła danych
Formaty czasu
Koncepcje
Zalety analizy czasowej
Format
Tworzenie historii zdarzeń w osi czasu
Metadane systemu plików
Dzienniki zdarzeń
Pliki prefetch
Dane z rejestru
Dodatkowe źródła danych
Konwersja pliku zdarzeń na finalną postać
Kilka uwag związanych z wizualizacją
Studium przypadku
Podsumowanie
255
256
256
259
260
261
263
267
273
275
282
286
287
290
292
294
295
299
ROZDZIAŁ 8. Analiza aplikacji
Wprowadzenie
Pliki logów
Analiza dynamiczna
Przechwytywanie ruchu sieciowego
Analiza pamięci zajmowanej przez aplikację
Podsumowanie
Literatura i inne źródła
301
301
303
305
310
312
313
313
SKOROWIDZ
315
oprac. BPK