恶意代码取证【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

恶意代码取证PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 恶意软件事件响应：易失性数据收集与实时Windows系统检查1

引言2

建立实时响应工具包2

测试和验证您的工具4

易失性数据收集方法7

易失性数据的保存8

搜集目标系统详细信息13

识别登录到当前系统的用户19

检查网络连接和活动21

搜集进程信息27

关联开放端口及其活动进程（和程序）39

检查服务和驱动程序43

检查打开的文件48

收集命令的历史记录50

识别共享50

检查计划任务51

收集剪贴板内容52

从实时Windows系统收集非易失性数据54

在实时Windows系统中对存储媒介进行司法复制55

对实时Windows系统的特定数据进行司法保存55

适用于Windows的事件响应工具套件64

Windows Forensic Toolchest64

从实时Windows系统中检查和提取恶意软件71

小结75

第2章 恶意软件事件响应：易失性数据收集与实时Linux系统检查77

引言78

易失性数据收集方法78

Linux上的事件响应工具集80

实时UNIX系统的完整内存转储82

在实时UNIX系统上保存进程内存信息83

获取目标系统的详细信息84

识别出登录到系统的用户86

检查网络连接87

收集进程信息89

／proc目录中的易失性数据90

打开的文件和附属资源92

检查已加载的模块92

收集命令行历史信息93

识别出已安装的共享驱动器93

确定计划任务94

实时Linux系统中的非易失性数据收集94

对实时Linux系统中的存储介质的取证拷贝94

对实时Linux系统中的指定数据进行取证保存95

评估安全配置95

评估主机的信任关系96

收集登录日志和系统日志信息96

小结97

第3章 内存取证：分析物理内存和进程内存获取取证线索101

引言102

内存取证方法学104

传统内存分析方法105

Windows内存取证工具109

深入分析内存映像111

活动的、未活动的和隐藏的进程113

Windows内存取证工具机理121

虚拟内存地址121

进程和线程123

恢复提取可执行文件126

提取进程内存数据130

进程内存数据的导出和Windows系统实时分析130

对实时运行的进程进行安全评估131

捕获进程并分析内存131

Linux内存取证分析工具141

进程元数据141

Linux内存取证分析工具机理143

定位内存数据结构143

进程145

其他内存数据结构147

在Linux系统上导出进程内存并进行分析148

系统上的进程活动149

用ps搜集进程信息150

利用lsof识别进程活动150

在／proc中定位可疑进程152

从／proc目录拷贝可疑可执行文件153

捕获并检测进程内存数据155

用gcore导出核心进程映像155

用Pcat获取进程内存数据155

用Memfetch获取进程内存数据156

用Process Dumper获取进程内存数据158

其他事项160

小结161

第4章 事后取证：从Windows系统中搜索并提取恶意软件以及相关线索163

引言164

受害Windows系统的司法检查164

时间分析：不仅仅只是一个时间轴164

功能分析：重载一台Windows计算机镜像166

关系分析168

关联与重载169

从Windows系统中发现并提取恶意软件173

搜索已知的恶意软件173

检查已安装的程序176

检查预取文件177

检查可执行文件178

检查服务、驱动自启动位置以及计划任务179

审查日志179

检查用户账户182

检查文件系统184

检查注册表187

还原点189

关键词搜索190

深入的Windows系统中的恶意软件发现与提取技术191

定制解药192

小结193

第5章 事后取证：从Linux系统中搜索并提取恶意软件以及相关线索195

引言196

从Linux系统上发现和提取恶意软件196

搜索已知的恶意软件197

审查已安装的程序和潜在的可疑可执行文件198

审查自启动区域、配置文件和计划任务198

检查日志199

审查用户账户200

检查文件系统201

关键字搜索208

小结209

第6章 法律规范215

引言216

注意事项216

调查机构217

司法机构217

私人调查机构219

调查机构的法定约束220

存储数据220

实时数据221

非内容数据222

受保护数据223

联邦法律223

洲际法律226

数据获取工具227

跨境获得数据231

执法部门介入234

增加被法院受理的机会236

第7章 文件识别和构型：Windows系统中可疑文件的初步分析239

引言240

案例：“Hot New Video！”240

文件构型过程概述241

可执行文件分析243

系统详细信息246

哈希值246

文件相似性索引248

文件特征识别与分类251

反病毒特征码259

提取文件嵌入线索：字符串、符号信息，以及文件元数据265

文件混淆技术：加壳和加密文件的鉴别286

嵌入线索的再提取295

小结314

第8章 文件识别和构型：Linux系统上可疑文件的初步分析317

引言318

文件构型过程概述320

分析Linux可执行文件321

可执行文件是如何被编译的321

静态链接vs．动态链接322

符号和调试信息322

从可执行文件中“剥离”符号和调试信息323

获取系统详细信息323

获取文件详细信息323

获取Hash值324

命令行MD5工具324

GUI MD5工具326

文件相似性索引327

文件特征识别和分类329

文件类型330

文件特征识别和分类工具332

反病毒特征码334

本地恶意软件扫描334

基于网站的恶意软件扫描服务337

嵌入线索的提取：字符串、符号信息、文件元数据342

字符串343

检查文件依赖：动态链接或静态链接348

提取符号和调试信息353

嵌入的文件元数据366

文件混淆：打包和加密识别368

加壳软件369

加密软件369

包装软件370

识别经过混淆处理的文件371

嵌入线索的再提取375

Elf文件结构376

使用ELF shell（elfsh）377

ELF头部（Elf32 ehdr）377

ELF节头部表（Elf32_shdr）379

程序头部表（Elf32_Phdr）385

从符号表中提取符号信息386

版本信息394

注释节394

动态节395

版本控制信息405

使用Objdump分析二进制样本405

小结408

第9章 Windows平台下可疑软件分析411

引言412

目标412

检测恶意程序的准则413

建立环境基准413

主机完整性监控414

安装监测415

执行前的准备：系统和网络监控417

被动的系统和网络监控417

主动的系统和网络监控418

执行恶意软件样本427

系统和网络监测：观察文件系统、进程、网络以及API调用428

环境仿真和调整428

使用Netcat监听430

检查进程活动430

进程监视：监测API调用431

“Peeping Tom”：Window Spying435

文件系统活动435

注册表活动435

反混淆440

通用脱壳工具440

从内存中获取可疑进程442

使用OllyDump寻找和提取原始入口点（OEP）443

重建导入表447

再次检测人工嵌入的内容449

在反汇编工具中检测样本程序451

高级PE分析技术：检查PE资源和依赖信息454

PE资源检查454

附属资源再次探查463

与恶意样本进行交互并对之进行控制464

探索并证实样本的功能与目的467

事件重现与回顾：文件系统、注册表、进程、网络活动运行后数据分析468

主动监控：分析系统变化468

分析捕获的网络流量469

分析API调用472

小结474

第10章 Linux平台下可疑程序分析477

引言478

分析目的478

检查恶意程序的准则479

建立环境基准480

执行前的准备：系统和网络监控482

被动的系统和网络监控482

主动的系统和网络监控482

异常检测和基于事件的入侵检测系统486

执行可疑程序488

进程监视：使用Strace、ltrace和gdb监控可疑程序488

使用Strace捕获系统调用489

使用ltrace捕获库调用493

使用gdb检查正在运行的进程495

进程评估：监测正在运行的程序498

检查网络连接和开放端口502

检查打开的文件和网络套接字502

分析／proc／＜pid＞目录503

反混淆：除去样本的壳并继续分析505

再次分析文件特征：重新检查未加壳样本506

环境调整506

像攻击者一样思考510

控制恶意样本510

操纵恶意样本511

探索并验证样本的功能和目的513

对虚拟受害者主机发起攻击514

评估其他功能和威胁范围517

反侦察和操控被感染系统517

事件重现和痕迹复查517

分析捕获的网络流量521

相关思考530

对受害主机的端口和漏洞扫描：虚拟渗透测试530

使用Objdump进行反汇编531

使用GNU Debuger进行反汇编536

小结541