万本电子书0元读

万本电子书0元读

顶部广告

内存取证原理与实践电子书

内存取证技术可以躲黑客设置的陷阱,获取真实可信的计算机系统信息,特别是正在运行系统的信息。目前信息安全类图书市场上尚没有全面、完整和深介绍内存取证技术理论和技术实际应用的书籍。跟随本书内容,读者可以一步一步学习如何获取内存信息(物理内存镜像、应用程序使用的内存),如何从内存信息中获取网络连状态、程信息、文件信息、用户信息、系统信息、应用程序信息等。本书完整地详细论述了内存取证技术的理论与技术原理,读者不仅能够知其然,而且也可以知其所以然。

售       价:¥

纸质售价:¥109.00购买纸书

45人正在读 | 0人评论 6.7

作       者:王连海 张睿超 徐丽娟 张淑慧

出  版  社:人民邮电出版社

出版时间:2018-11-01

字       数:27.3万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:此类商品不支持退换货,不支持下载打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
本书详细讨论了近年来计算机取证技术中*热门并极富挑战性的内存取证技术,共15章。第1~4章首先对内存取证的发展和意义行概述式的描述,然后对涉及的现代计算机软硬件技术基础行简要介绍,*后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统(Windows、Linux和Mac)对内存分析行更加深的介绍。第11~15章介绍内存分析技术在*计算环境下的一些相关展和技术,如移动设备的内存分析、云计算环境(虚拟机)下的内存分析应用。 本书的读者对象为内存取证领域内本科生、研究生和科研人员,同时,对于具备计算机专业技术背景,并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员,本书同样是重要参考资料。 本书详细讨论了近年来计算机取证技术中*热门并极富挑战性的内存取证技术,共15章。第1~4章首先对内存取证的发展和意义行概述式的描述,然后对涉及的现代计算机软硬件技术基础行简要介绍,*后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统(Windows、Linux和Mac)对内存分析行更加深的介绍。第11~15章介绍内存分析技术在*计算环境下的一些相关展和技术,如移动设备的内存分析、云计算环境(虚拟机)下的内存分析应用。 本书的读者对象为内存取证领域内本科生、研究生和科研人员,同时,对于具备计算机专业技术背景,并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员,本书同样是重要参考资料。
【推荐语】
内存取证技术可以躲黑客设置的陷阱,获取真实可信的计算机系统信息,特别是正在运行系统的信息。目前信息安全类图书市场上尚没有全面、完整和深介绍内存取证技术理论和技术实际应用的书籍。跟随本书内容,读者可以一步一步学习如何获取内存信息(物理内存镜像、应用程序使用的内存),如何从内存信息中获取网络连状态、程信息、文件信息、用户信息、系统信息、应用程序信息等。本书完整地详细论述了内存取证技术的理论与技术原理,读者不仅能够知其然,而且也可以知其所以然。
【作者】
王连海,研究员,工学博士,山东省计算机网络重实验室总工,山东省区块技术应用创新中心秘书长,享受国务院政府津贴,山东省有突出贡献的中青年专家,山东省优秀科技工作者。主要研究方向为区块、计算机取证、网络安全和网络性能测试。
目录展开

内容提要

前言

第1章 内存取证技术概述

1.1 计算机取证技术

1.2 计算机取证技术的发展

1.3 计算机取证类型

1.3.1 离线取证

1.3.2 在线取证

1.4 内存取证

1.5 本章小结

第2章 内存取证基础知识

2.1 PC硬件架构

2.1.1 中央处理器和内存管理单元

2.1.2 寄存器

2.1.3 南北桥芯片

2.1.4 直接存储器访问

2.1.5 内存

2.2 内存管理

2.2.1 Intel64和IA-32内存管理概述

2.2.2 分段

2.2.3 分页

2.2.4 地址空间

2.3 地址转换

2.3.1 32 bit分页

2.3.2 物理地址扩展分页

2.3.3 四级分页

2.3.4 地址转换实例

2.4 ARM架构

2.4.1 ARM架构简介

2.4.2 ARM内存管理和地址转换

2.5 本章小结

第3章 内存获取技术

3.1 基于软件的内存获取技术和工具

3.1.1 利用对象或设备直接读取物理内存的软件

3.1.2 利用驱动或内核扩展读取物理内存的软件

3.2 基于硬件的内存获取技术和工具

3.2.1 基于PCI接口获取物理内存

3.2.2 基于IEEE 1394接口获取物理内存

3.2.3 使用网卡获取物理内存

3.2.4 基于PCI Express接口获取物理内存

3.2.5 基于Thunderbolt接口获取物理内存

3.3 禁止DMA获取内存的技术

3.3.1 VT-d技术

3.3.2 IntelSGX

3.4 内存获取的其他方式

3.5 本章小结

第4章 基于物理内存分析的在线取证模型及其可信性评估

4.1 基于物理内存分析的在线取证模型

4.2 影响内存获取可信性的因素

4.3 基于测量理论的内存取证的可信性评估

4.3.1 方法概述

4.3.2 精密度和准确度的概念

4.3.3 内存获取度量的相关定义

4.4 内存获取的精密度、准确度和系统误差分析

4.4.1 已有实验的分析

4.4.2 内存获取的精密度和准确度

4.4.3 内存获取的系统误差分析

4.4.4 系统进程测量误差的分析

4.5 内存获取工具的加载活动覆盖关键痕迹的概率

4.5.1 概率计算公式

4.5.2 实验分析

4.6 内存镜像文件提取的数据与实际电子数据之间的比较

4.7 本章小结

第5章 Windows内存分析原理

5.1 Windows操作系统关键组件

5.1.1 Windows架构简介

5.1.2 系统进程

5.2 基于系统组件名称查找的Windows内存分析方法

5.2.1 原理

5.2.2 存在的不足

5.3 基于池特征扫描的内存分析方法

5.3.1 Windows执行体对象

5.3.2 对象头部Object Header

5.3.3 可选头部

5.3.4 对象类型

5.3.5 内核池分配

5.3.6 内核池分配的API函数

5.3.7 内存池特征扫描

5.3.8 内存池特征扫描的局限

5.4 基于KPCR结构的方法

5.4.1 KPCR结构体的查找

5.4.2 虚拟地址到物理地址转换

5.4.3 CR3寄存器中的内容的查找

5.4.4 根据CR3寄存器中的内容实现地址转换

5.4.5 内核变量的查找

5.5 本章小结

第6章 Windows内存分析

6.1 进程信息分析

6.1.1 进程内存空间

6.1.2 进程内存空间中的数据

6.1.3 进程信息分析的流程

6.1.4 遍历进程的内存空间

6.1.4.1 根据进程的页表转储进程访问的内存数据

6.1.4.2 根据VAD二叉树遍历进程内存空间

6.1.5 进程的PEB结构以及进程的参数信息

6.1.5.1 PEB结构

6.1.5.2 分析进程的参数信息

6.1.5.3 分析进程的环境变量

6.1.5.4 分析进程堆中的信息

6.1.6 分析进程加载的模块

6.1.7 分析进程访问的Windows对象内存

6.1.7.1 句柄

6.1.7.2 句柄和句柄表的数据结构

6.2 Windows事件日志内存分析

6.2.1 内存中的事件日志

6.2.2 Windows2000、XP和2003系统的事件日志分析

6.2.3 WindowsVista、2008和Windows 7系统的事件日志分析

6.3 Windows注册表内存分析

6.3.1 注册表简介

6.3.1.1 HIVE(储巢)

6.3.1.2 注册表结构

6.3.1.3 注册表的内部机理

6.3.2 从内存镜像中提取HIVE文件

6.3.2.1 查找注册表

6.3.2.2 在内存中提取HIVE文件

6.4 Windows内存的网络信息分析

6.4.1 TcpEndpointPool结构

6.4.2 TcpEndpointPool结构的查找

6.4.3 TcpEndpoint和TCB

6.4.4 从内存中提取网络信息的算法

6.5 Windows服务的内存分析

6.5.1 关于Windows服务

6.5.2 内存中的Windows服务

6.5.3 从内存镜像中分析Windows服务

6.6 Windows内存中的文件

6.7 从PageFile中获取更多内存数据

6.7.1 无效的PDE/PTE项

6.7.2 PageFile概述

6.7.3 访问PageFile

6.8 本章小结

第7章 Linux操作系统内存分析原理

7.1 Linux操作系统关键组件

7.1.1 Linux架构简介

7.1.2 Linux内存管理

7.1.3 Linux地址转换

7.1.4 链表处理

7.1.5 系统内核符号表

7.2 ELF二进制格式

7.2.1 ELF文件头

7.2.2 程序头表

7.2.3 节

7.2.4 节表头

7.3 Volatility物理内存分析方法

7.4 不依赖于内核符号表文件的Linux物理内存分析方法

7.5 本章小结

第8章 Linux内存分析

8.1 进程信息

8.1.1 进程的创建

8.1.2 进程的表示

8.1.3 进程分析方法

8.1.4 隐藏进程查找

8.2 文件系统信息

8.2.1 重要数据结构

8.2.2 分析和获取方法

8.3 网络连接信息

8.3.1 重要数据结构

8.3.2 分析和获取方法

8.4 模块信息

8.4.1 重要数据结构

8.4.2 分析和获取方法

8.5 系统信息

8.5.1 SLAB分配器信息

8.5.2 系统版本信息

8.5.3 系统日志信息

8.5.4 内存分段信息

8.5.5 CPU信息

8.6 交换文件的分析

8.6.1 Linux交换文件

8.6.2 交换文件分析

8.7 本章小结

第9章 Mac OS内存分析原理

9.1 MacOS的发展史

9.1.1 ClassicMac OS

9.1.2 MacOS X

9.1.3 MacOS X Server

9.2 MacOS X架构

9.2.1 内核架构

9.2.2 系统分层

9.3 Mach-O可执行文件格式

9.3.1 FAT头

9.3.2 Mach-O文件头

9.3.3 Command结构

9.4 内核符号表

9.5 内核/用户空间虚拟地址的划分

9.6 内核地址空间布局随机化

9.7 地址转换

9.7.1 快速转换公式

9.7.2 智能转换公式

9.8 MatthieuSuiche的Mac OS内存分析原理

9.9 不依赖mach_kernel文件的Mac OS内存分析方法

9.9.1 操作系统版本的信息的获取

9.9.2 内核进程基地址

9.10 本章小结

第10章 Mac OS内存分析技术

10.1 系统配置信息的分析

10.2 挂载的文件系统信息的分析

10.3 进程信息的分析

10.3.1 任务

10.3.2 枚举进程

10.3.3 启动进程的用户

10.3.4 进程的地址空间映射

10.3.4.1 相关数据结构

10.3.4.2 动态加载器共享缓存

10.3.5 打开的文件信息的获取

10.3.6 打开的命令行信息的获取

10.3.7 线程信息的获取

10.4 内核扩展(驱动、内核模块)的分析

10.5 系统调用的分析

10.6 网络信息的分析

10.6.1 网络状态

10.6.2 打开的端口

10.6.3 网络子系统

10.6.4 交叉引用的优点

10.7 SLAB分配器的分析

10.8 Bash命令的获取

10.9 内核调试缓冲区信息的获取

10.10 本章小结

第11章 安卓智能手机内存取证

11.1 智能手机的硬件组成

11.2 从数字取证到智能手机取证

11.2.1 智能手机取证的步骤

11.2.2 智能手机取证的原则

11.2.3 智能手机取证面临的困难

11.2.4 从数字取证到智能手机取证

11.3 智能手机的数据获取

11.4 安卓系统概述

11.4.1 安卓架构

11.4.2 Android文件系统

11.4.3 Android智能手机数据存储

11.5 安卓智能手机内存获取

11.5.1 软件方法(LiME)

11.5.2 JTAG方法

11.5.3 ISP方法

11.5.4 获取进程内存空间数据

11.6 安卓智能手机内存分析

11.6.1 ARM架构下的地址转换

11.6.2 使用Volatility分析安卓手机内存镜像

11.6.3 安卓手机内存镜像分析手机应用的信息

11.7 本章小结

第12章 内存分析在云安全中的应用

12.1 云计算服务模型

12.1.1 IaaS模型

12.1.2 PaaS模型

12.1.3 SaaS模型

12.2 虚拟化环境下面临的安全风险及研究现状

12.2.1 虚拟化类别

12.2.2 虚拟化面临的安全风险

12.2.3 虚拟化安全监控研究现状

12.3 基于内存分析的虚拟机安全监控方法

12.3.1 GM虚拟机物理内存提取方法

12.3.1.1 VMCS结构体

12.3.1.2 基于VMCS结构体的虚拟机物理内存提取方法

12.3.1.3 监控方法功能和性能比对

12.3.2 GM行为分析

12.3.2.1 VENOM漏洞

12.3.2.2 漏洞触发

12.3.2.3 逃逸行为检测

12.4 基于内存旁路的云安全威胁监控技术

12.5 本章小结

第13章 基于uKey的认证机制的破解

13.1 身份认证技术

13.2 uKey的认证机制

13.2.1 uKey

13.2.2 Windows交互式登录方式的原理

13.2.3 Winlogon与GINA交互原理

13.2.3.1 GINA的结构

13.2.3.2 安全登录实现原理

13.2.4 自定义GINA的实现原理

13.2.4.1 实现原则

13.2.4.2 使用uKey进行身份认证与安全登录

13.2.4.3 使用uKey登录操作系统的流程

13.2.4.4 uKey的安全性分析

13.3 破解基于uKey的Windows登录认证机制

13.3.1 绕过系统检测uKey是否接入的机制

13.3.1.1 WinExec函数

13.3.1.2 rundll32.exe

13.3.1.3 破解方式

13.3.2 绕过系统启动时的登录密码认证机制

13.3.3 绕过系统处于锁屏状态时的登录密码认证

13.3.4 解除对USB接口的禁用

13.4 本章小结

第14章 木马的检测分析

14.1 恶意代码

14.1.1 恶意代码概念和分类

14.1.2 Rootkit

14.1.3 ShellCode

14.1.4 恶意代码的自启动方式

14.1.5 恶意代码自我保护技术

14.2 APT攻击

14.2.1 APT攻击事件

14.2.2 APT攻击特点

14.2.3 APT攻击过程

14.3 Windows特种木马检测

14.3.1 基于内存分析的木马检测技术

14.3.1.1 隐藏进程分析

14.3.1.2 动态链接库分析

14.3.1.3 恶意驱动分析

14.3.1.4 可疑进程检测

14.3.2 检测样例

14.3.2.1 波尔木马的检测

14.3.2.2 WannerCry勒索病毒的检测

14.4 Linux恶意代码检测

14.4.1 用户级Rootkit

14.4.1.1 ShellCode注入

14.4.1.2 ShellCode注入检测

14.4.1.3 中空进程技术

14.4.1.4 共享库注入

14.4.1.5 内联钩子

14.4.2 内核级Rootkit

14.4.2.1 内核模式访问

14.4.2.2 内核模块隐藏

14.4.2.3 从sysfs中隐藏模块

14.4.2.4 KBeast检测

14.4.2.5 内核模式代码注入

14.4.2.6 系统调用句柄钩子

14.4.2.7 键盘通知

14.5 MacOS 恶意代码检测

14.5.1 用户级Rootkit分析

14.5.1.1 代码注入技术

14.5.1.2 代码注入检测

14.5.1.3 CrisisInjected Bundles

14.5.1.4 内联钩子

14.5.1.5 挂钩重定向表

14.5.1.6 库加载顺序劫持

14.5.1.7 APIHook检测方法

14.5.2 内核Rootkit分析

14.5.2.1 隐藏的内核扩展

14.5.2.2 内核扩展映射

14.5.2.3 隐藏的进程

14.5.2.4 系统调用和陷阱表钩子

14.5.2.5 影子系统调用表(Shadow System Call Table)

14.5.2.6 IOKit通知

14.5.2.7 LogKext检测

14.5.2.8 网络内核扩展

14.5.2.9 IP过滤器

14.5.2.10 Socket过滤器

14.5.2.11 Mac系统内存中的恶意代码

14.5.2.12 存活机制检测

14.6 本章小结

第15章 系统密码的破解

15.1 密码认证机制

15.1.1 Windows密码认证机制

15.1.2 Linux密码认证机制

15.1.3 MacOS密码认证机制

15.2 Windows系统密码破解

15.2.1 修改密码方式

15.2.2 绕过密码方式

15.2.3 密码明文获取方式

15.3 Linux系统密码破解

15.3.1 单用户模式进入系统

15.3.2 修改配置文件

15.3.3 mimipenguin

15.3.4 访问物理内存获取密码明文

15.3.5 Inception

15.4 MacOS X登录屏保密码破解

15.4.1 修改内存实现密码绕过的方式

15.4.1.1 相关基本知识

15.4.1.2 未开启FileVault和VT-d计算机上的密码绕过方法

15.4.1.3 开启VT-d未开启FileVault功能的计算机上的密码绕过方法

15.4.1.4 开启VT-d和FileVault功能的计算机上的密码绕过方法

15.4.2 读取内存获取密码明文的方式

15.5 以修改内存方式向Mac OS植入应用程序

15.6 本章小结

参考文献

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部