内容介绍
本书详细讨论了近年来计算机取证技术中最热门并极富挑战性的内存取证技术,共15章。第1~4章首先对内存取证的发展和意义进行概述式的描述,然后对涉及的现代计算机软硬件技术基础进行简要介绍,最后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统(Windows、Linux和Mac)对内存分析进行更加深入的介绍。第11~15章介绍内存分析技术在*计算环境下的一些相关进展和技术,如移动设备的内存分析、云计算环境(虚拟机)下的内存分析应用。 本书的读者对象为内存取证领域内本科生、研究生和科研人员,同时,对于具备计算机专业技术背景,并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员,本书同样是重要参考资料。
作者介绍
王连海,研究员,工学博士,山东省计算机网络重点实验室总工,山东省区块链技术应用创新中心秘书长,享受国务院政府津贴,山东省有突出贡献的中青年专家,山东省优秀科技工作者。主要研究方向为区块链、计算机取证、网络安全和网络性能测试。
目录
- 第 1章 内存取证技术概述 1
- 1.1 计算机取证技术 1
- 1.2 计算机取证技术的发展 3
- 1.3 计算机取证类型 4
- 1.4 内存取证 7
- 1.5 本章小结 10
- 第 2章 内存取证基础知识 11
- 2.1 PC硬件架构 11
- 2.2 内存管理 14
- 2.3 地址转换 17
- 2.4 ARM架构 21
- 2.5 本章小结 23
- 第3章 内存获取技术 24
- 3.1 基于软件的内存获取技术和工具 24
- 3.2 基于硬件的内存获取技术和工具 28
- 3.3 禁止DMA获取内存的技术 33
- 3.4 内存获取的其他方式 36
- 3.5 本章小结 38
- 第4章 基于物理内存分析的在线取证模型及其可信性评估 39
- 4.1 基于物理内存分析的在线取证模型 39
- 4.2 影响内存获取可信性的因素 41
- 4.3 基于测量理论的内存取证的可信性评估 43
- 4.4 内存获取的精密度、准确度和系统误差分析 45
- 4.5 内存获取工具的加载活动覆盖关键痕迹的概率 50
- 4.6 内存镜像文件提取的数据与实际电子数据之间的比较 52
- 4.7 本章小结 54
- 第5章 Windows内存分析原理 55
- 5.1 Windows操作系统关键组件 55
- 5.2 基于系统组件名称查找的Windows内存分析方法 57
- 5.3 基于池特征扫描的内存分析方法 61
- 5.4 基于KPCR结构的方法 66
- 5.5 本章小结 74
- 第6章 Windows内存分析 75
- 6.1 进程信息分析 75
- 6.2 Windows事件日志内存分析 92
- 6.3 Windows注册表内存分析 95
- 6.4 Windows内存的网络信息分析 102
- 6.5 Windows服务的内存分析 106
- 6.6 Windows内存中的文件 110
- 6.7 从PageFile中获取更多内存数据 111
- 6.8 本章小结 113
- 第7章 Linux操作系统内存分析原理 114
- 7.1 Linux操作系统关键组件 114
- 7.2 ELF二进制格式 122
- 7.3 Volatility物理内存分析方法 128
- 7.4 不依赖于内核符号表文件的Linux物理内存分析方法 129
- 7.5 本章小结 132
- 第8章 Linux内存分析 133
- 8.1 进程信息 133
- 8.2 文件系统信息 141
- 8.3 网络连接信息 145
- 8.4 模块信息 149
- 8.5 系统信息 152
- 8.6 交换文件的分析 156
- 8.7 本章小结 158
- 第9章 Mac OS内存分析原理 159
- 9.1 Mac OS的发展史 159
- 9.2 Mac OS X架构 162
- 9.3 Mach-O 可执行文件格式 167
- 9.4 内核符号表 170
- 9.5 内核/用户空间虚拟地址的划分 170
- 9.6 内核地址空间布局随机化 171
- 9.7 地址转换 172
- 9.8 Matthieu Suiche的Mac OS内存分析原理 174
- 9.9 不依赖mach_kernel文件的Mac OS内存分析方法 174
- 9.10 本章小结 177
- 第 10章 Mac OS内存分析技术 178
- 10.1 系统配置信息的分析 178
- 10.2 挂载的文件系统信息的分析 179
- 10.3 进程信息的分析 181
- 10.4 内核扩展(驱动、内核模块)的分析 195
- 10.5 系统调用的分析 196
- 10.6 网络信息的分析 197
- 10.7 SLAB分配器的分析 201
- 10.8 Bash命令的获取 203
- 10.9 内核调试缓冲区信息的获取 203
- 10.10 本章小结 204
- 第 11章 安卓智能手机内存取证 205
- 11.1 智能手机的硬件组成 206
- 11.2 从数字取证到智能手机取证 207
- 11.3 智能手机的数据获取 210
- 11.4 安卓系统概述 211
- 11.5 安卓智能手机内存获取 214
- 11.6 安卓智能手机内存分析 218
- 11.7 本章小结 222
- 第 12章 内存分析在云安全中的应用 223
- 12.1 云计算服务模型 223
- 12.2 虚拟化环境下面临的安全风险及研究现状 225
- 12.3 基于内存分析的虚拟机安全监控方法 227
- 12.4 基于内存旁路的云安全威胁监控技术 239
- 12.5 本章小结 242
- 第 13章 基于uKey的认证机制的破解 243
- 13.1 身份认证技术 243
- 13.2 uKey的认证机制 244
- 13.3 破解基于uKey的Windows登录认证机制 249
- 13.4 本章小结 255
- 第 14章 木马的检测分析 256
- 14.1 恶意代码 256
- 14.2 APT攻击 263
- 14.3 Windows特种木马检测 266
- 14.4 Linux恶意代码检测 291
- 14.5 Mac OS恶意代码检测 309
- 14.6 本章小结 318
- 第 15章 系统密码的破解 319
- 15.1 密码认证机制 319
- 15.2 Windows系统密码破解 325
- 15.3 Linux系统密码破解 330
- 15.4 Mac OS X登录屏保密码破解 331
- 15.5 以修改内存方式向Mac OS植入应用程序 335
- 15.6 本章小结 337
- 参考文献 339