Analiza śledcza i powłamaniowa : zaawansowane techniki
Transkrypt
Analiza śledcza i powłamaniowa : zaawansowane techniki
Analiza śledcza i powłamaniowa : zaawansowane techniki prowadzenia analizy w systemie Windows 7 / Harlan Carvey. – Gliwice, cop. 2013 Spis treści Przedmowa 9 Podziękowania 15 O autorze 17 O korektorze merytorycznym 19 ROZDZIAŁ 1. ZałoŜenia analizy systemów komputerowych Wprowadzenie ZałoŜenia analizy systemów komputerowych Wersje systemu Windows Reguły i zasady przeprowadzania analizy Dokumentacja Konwergencja Wirtualizacja Konfiguracja środowiska śledczego Podsumowanie 21 21 24 25 27 40 42 44 46 50 ROZDZIAŁ 2. Szybka reakcja na incydenty Wprowadzenie Jak być przygotowanym do sprawnego reagowania na incydenty? Pytania NajwaŜniejszy element — przygotowania Dzienniki zdarzeń (logi) Gromadzenie danych Szkolenia Podsumowanie 51 51 53 55 57 62 68 72 74 ROZDZIAŁ 3. Usługa VSS — kopiowanie woluminów w tle Wprowadzenie Czym jest usługa kopiowania woluminów w tle? Klucze w rejestrze Praca z kopiami VSS we włączonych systemach Pakiet ProDiscover Pakiet F-Response Praca z kopiami VSS w binarnych obrazach dysków Metoda z wykorzystaniem plików VHD 75 75 76 78 79 83 83 86 88 Metoda z wykorzystaniem oprogramowania VMware Automatyzacja dostępu do kopii VSS ProDiscover Podsumowanie Literatura i inne źródła 93 97 100 103 103 ROZDZIAŁ 4. Analiza systemu plików Wprowadzenie Tablica MFT Mechanizm tunelowania w systemie plików Dzienniki zdarzeń systemowych Dziennik zdarzeń systemu Windows Folder Recycle Bin Pliki prefetch Zaplanowane zadania Listy szybkiego dostępu Pliki hibernacji Pliki aplikacji Logi programów antywirusowych Komunikator Skype Produkty firmy Apple Pliki graficzne (zdjęcia, obrazy) Podsumowanie Literatura i inne źródła 105 106 107 114 116 121 125 129 134 138 145 146 147 148 149 151 153 154 ROZDZIAŁ 5. Analiza rejestru systemu Windows Wprowadzenie Analiza rejestru Nomenklatura rejestru Rejestr jako plik dziennika Analiza historii urządzeń USB Gałąź System Gałąź Software Gałęzie rejestru związane z profilem uŜytkownika Dodatkowe źródła informacji Narzędzia Podsumowanie Literatura i inne źródła 155 156 157 158 159 160 175 178 188 199 202 204 204 ROZDZIAŁ 6. Wykrywanie złośliwego oprogramowania Wprowadzenie Typowe cechy złośliwego oprogramowania Początkowy wektor infekcji Mechanizm propagacji Mechanizm przetrwania 205 206 207 209 212 214 Artefakty Wykrywanie złośliwego oprogramowania Analiza logów Skany antywirusowe Zaglądamy głębiej Złośliwe strony internetowe Podsumowanie Literatura i inne źródła 219 222 223 229 234 251 254 254 ROZDZIAŁ 7. Analiza zdarzeń w osi czasu Wprowadzenie Zestawienie zdarzeń w osi czasu Źródła danych Formaty czasu Koncepcje Zalety analizy czasowej Format Tworzenie historii zdarzeń w osi czasu Metadane systemu plików Dzienniki zdarzeń Pliki prefetch Dane z rejestru Dodatkowe źródła danych Konwersja pliku zdarzeń na finalną postać Kilka uwag związanych z wizualizacją Studium przypadku Podsumowanie 255 256 256 259 260 261 263 267 273 275 282 286 287 290 292 294 295 299 ROZDZIAŁ 8. Analiza aplikacji Wprowadzenie Pliki logów Analiza dynamiczna Przechwytywanie ruchu sieciowego Analiza pamięci zajmowanej przez aplikację Podsumowanie Literatura i inne źródła 301 301 303 305 310 312 313 313 SKOROWIDZ 315 oprac. BPK