黑客大追踪

第一部分 基础篇第1章 实用调查策略21．1 真实的案例21．1．1 医院里被盗的笔记本电脑31．1．2 发现公司的网络被用于传播盗版51．1．3 被黑的政府服务器61．2 足迹71．3 电子证据的概念81．3．1 实物证据91．3．2 最佳证据91．3．3 直接证据101．3．4 情况证据111．3．5 传闻证据111．3．6 经营记录121．3．7 电子证据131．3．8 基于网络的电子证据141．4 关于网络证据相关的挑战141．5 网络取证调查方法（OSCAR）151．5．1 获取信息151．5．2 制订方案161．5．3 收集证据171．5．4 分析181．5．5 出具报告191．6 小结19第2章 技术基础212．1 基于网络的证据来源212．1．1 物理线缆222．1．2 线网络空口222．1．3 交换机232．1．4 路由器232．1．5 DHCP服务器242．1．6 域名服务器242．1．7 登录认证服务器252．1．8 网络入侵检测/防御系统252．1．9 防火墙252．1．10 Web代理262．1．11 应用服务器272．1．12 中央日志服务器272．2 互联网的工作原理272．2．1 协议282．2．2 开放系统互连模型292．2．3 例子：周游世界……然后再回来302．3 互联网协议组322．3．1 互联网协议组的早期历史和开发过程332．3．2 网际协议342．3．3 传输控制协议382．3．4 用户数据报协议402．4 小结42第3章 证据获取433．1 物理侦听433．1．1 线缆443．1．2 线电频率483．1．3 Hub493．1．4 交换机503．2 流量抓取软件523．2．1 libpcap和WinPcap533．2．2 伯克利包过滤（Berkeley Packet Filter，BPF）语言533．2．3 tcpdump573．2．4 Wireshark613．2．5 tshark623．2．6 dumpcap623．3 主动式获取633．3．1 常用接口633．3．2 没有权限时咋办683．3．3 策略683．4 小结69第二部分 数据流分析第4章 数据包分析724．1 协议分析734．1．1 哪里可以得到协议信息734．1．2 协议分析工具764．1．3 协议分析技巧794．2 包分析914．2．1 包分析工具914．2．2 包分析技术944．3 流分析994．3．1 流分析工具1004．3．2 流分析技术1034．4 分析更高层的传输协议1134．4．1 一些常用的高层协议1144．4．2 高层协议分析工具1224．4．3 高层协议分析技术1244．5 结论1274．6 案例研究：Ann的约会1274．6．1 分析：协议概要1284．6．2 DHCP通信1284．6．3 关键词搜索1304．6．4 SMTP分析――Wireshark1334．6．5 SMTP分析――TCPFlow1364．6．6 SMTP 分析――附件提取1374．6．7 查看附件1394．6．8 找到Ann的简单方法1404．6．9 时间线1454．6．10 案件的理论推导1454．6．11 挑战赛问题的应答1464．6．12 下一步148第5章 流统计分析1495．1 处理过程概述1505．2 传感器1515．2．1 传感器类型1515．2．2 传感器软件1525．2．3 传感器位置1535．2．4 修改环境1545．3 流记录导出协议1555．3．1 NetFlow1555．3．2 IPFIX1565．3．3 sFlow1565．4 收集和汇总1575．4．1 收集器的位置和架构1575．4．2 数据收集系统1585．5 分析1605．5．1 流记录分析技术1605．5．2 流记录分析工具1645．6 结论1695．7 案例研究：奇怪的X先生1695．7．1 分析：第一步1705．7．2 外部攻击者和端口22的通信1715．7．3 DMZ中的受害者――10．30．30．20（也是172．30．1．231）1745．7．4 内部受害系统――192．30．1．1011785．7．5 时间线1795．7．6 案件分析1805．7．7 回应挑战赛问题1805．7．8 下一步181第6章 线：须网线的取证1836．1 IEEE 第二层协议系列1846．1．1 为什么那么多第二层协议1856．1．2 802．11 协议族1866．1．3 802．1X1956．2 线接入点（WAP）1966．2．1 为什么要调查线接入点1966．2．2 线接入点的类型1966．2．3 WAP证据2006．3 线数据捕获及分析2016．3．1 频谱分析2016．3．2 线被动证据收集2026．3．3 有效地分析802．112036．4 常见攻击类型2056．4．1 嗅探2056．4．2 未授权的线接入点2056．4．3 邪恶双子2086．4．4 WEP破解2086．5 定位线设备2096．5．1 获取设备描述2106．5．2 找出附近的线接入点2106．5．3 信号强度2116．5．4 商业化企业级工具2136．5．5 Skyhook2146．6 总结2156．7 案例研究：HackMe公司2156．7．1 调查WAP2166．7．2 快速粗略的统计2216．7．3 对于管理帧的深层次观察2266．7．4 一个可能的“嫌疑犯”2286．7．5 时间线2296．7．6 案例总结2306．7．7 挑战问题的应答2316．7．8 下一步233第7章 网络入侵的侦测及分析2357．1 为什么要调查NIDS/NIPS2367．2 NIDS/NIPS的典型功能2367．2．1 嗅探2367．2．2 高层协议辨识2377．2．3 可疑字节的报警2387．3 检测的模式2397．3．1 基于特征的分析2397．3．2 协议辨识2397．3．3 行为分析2397．4 NIDS/NIPS的种类2397．4．1 商业化NIDS/NIPS2397．4．2 自我定制2417．5 NIDS/NIPS的电子证据采集2417．5．1 电子证据类型2417．5．2 NIDS/NIPS界面2437．6 综合性网络封包日志2447．7 Snort系统2457．7．1 基本结构2467．7．2 配置2467．7．3 Snort规则语言2477．7．4 例子2497．8 总结2517．9 教学案例：Inter0ptic拯救地球（第一部分）2527．9．1 分析：Snort 警报2537．9．2 初步数据包分析2547．9．3 Snort规则分析2557．9．4 从Snort抓包数据中提取可疑文件2577．9．5 “INFO Web Bug”警报2577．9．6 “Tcp Window Scale Option”警报2597．9．7 时间线2617．9．8 案情推测2617．9．9 下一步262第三部分 网络设备和服务器第8章 事件日志的聚合、关联和分析2668．1 日志来源2678．1．1 操作系统日志2678．1．2 应用日志2758．1．3 物理设备日志2778．1．4 网络设备日志2798．2 网络日志的体系结构2808．2．1 三种类型的日志记录架构2808．2．2 远程日志：常见问题及应对方法2828．2．3 日志聚合和分析工具2838．3 收集和分析证据2858．3．1 获取信息2858．3．2 策略制定2868．3．3 收集证据2878．3．4 分析2898．3．5 报告2908．4 总结2908．5 案例：L0ne Sh4rk的报复2908．5．1 初步分析2918．5．2 可视化失败的登录尝试2928．5．3 目标账户2948．5．4 成功登录2958．5．5 攻陷后的活动2968．5．6 防火墙日志2978．5．7 内部被害者――192．30．1．1013008．5．8 时间线3018．5．9 案件结论3038．5．10 对挑战问题的应答3038．5．11 下一步304第9章 交换机、路由器和防火墙3059．1 存储介质3059．2 交换机3069．2．1 为什么调查交换机3069．2．2 内容寻址内存表3079．2．3 地址解析协议3079．2．4 交换机类型3089．2．5 交换机证据3099．3 路由器3109．3．1 为什么调查路由器3109．3．2 路由器类型3109．3．3 路由器上的证据3129．4 防火墙3139．4．1 为什么调查防火墙3139．4．2 防火墙类型3139．4．3 防火墙证据3159．5 接口3179．5．1 Web接口3179．5．2 控制台命令行接口（CLI）3189．5．3 远程控制台3199．5．4 简单网络管理协议（SNMP）3199．5．5 私有接口3209．6 日志3209．6．1 本地日志3219．6．2 简单网络管理协议3229．6．3 syslog3229．6．4 身份验证、授权和账户日志3239．7 总结3239．8 案例研究：Ann的咖啡环3239．8．1 防火墙诊断命令3259．8．2 DHCP服务日志3269．8．3 防火墙访问控制列表3279．8．4 防火墙日志分析3279．8．5 时间线3319．8．6 案例分析3329．8．7 挑战问题的答复3339．8．8 下一步334第10章 Web代理33510．1 为什么要调查Web代理33510．2 Web代理的功能33710．2．1 缓存33710．2．2 URI过滤33910．2．3 内容过滤33910．2．4 分布式缓存33910．3 证据34110．3．1 证据的类型34110．3．2 获取证据34210．4 Squid34210．4．1 Squid的配置文件34310．4．2 Squid的Access日志文件34310．4．3 Squid缓存34410．5 Web代理分析34610．5．1 Web代理日志分析工具34710．5．2 例子：剖析一个Squid磁盘缓存35010．6 加密的Web流量35710．6．1 TLS（传输层安全）35810．6．2 访问加密的内容36010．6．3 商用的TLS/SSL拦截工具36410．7 小结36410．8 教学案例：Inter0ptic拯救地球（之二）36510．8．1 分析：pwny．jpg36610．8．2 Squid缓存的网页的提取36810．8．3 Squid的Access．log文件37110．8．4 进一步分析Squid缓存37310．8．5 时间线37710．8．6 案情推测37910．8．7 回答之前提出的问题38010．8．8 下一步381第四部分 高级议题第11章 网络隧道38411．1 功能型隧道38411．1．1 背景知识：VLAN链路聚集38511．1．2 交换机间链路（Inter-Switch Link，ISL）38511．1．3 通用路由封装（Generic Routing Encapsulation，GRE）38611．1．4 Teredo：IPv4网上的IPv638611．1．5 对调查人员的意义38711．2 加密型隧道38711．2．1 IPsec38811．2．2 TLS和SSL38911．2．3 对取证人员的影响39011．3 隐蔽通信型隧道39111．3．1 策略39111．3．2 TCP序列号39111．3．3 DNS隧道39211．3．4 ICMP隧道39311．3．5 例子：分析ICMP隧道39511．3．6 对调查人员的影响39811．4 小结39911．5 案例教学：Ann的秘密隧道40011．5．1 分析：协议统计40111．5．2 DNS分析40211．5．3 追查隧道传输的IP包40511．5．4 对隧道传输的IP包的分析40911．5．5 对隧道传输的TCP报文段的分析41211．5．6 时间线41411．5．7 案情推测41411．5．8 回答之前提出的问题41511．5．9 下一步416第12章 恶意软件取证41812．1 恶意软件进化的趋势41912．1．1 僵尸网络41912．1．2 加密和混淆42012．1．3 分布式命令和控制系统42212．1．4 自动自我升级42612．1．5 变化形态的网络行为42812．1．6 混在网络活动中43412．1．7 Fast-Flux DNS43612．1．8 高级持续威胁（Advanced Persistent Threat，APT）43712．2 恶意软件的网络行为44012．2．1 传播44112．2．2 命令和控制通信44312．2．3 载荷的行为44612．3 未来的恶意软件和网络取证44612．4 教学案例：Ann的“极光行动”44712．4．1 分析：入侵检测44712．4．2 TCP会话：10．10．10．10：4444?10．10．10．70：103644912．4．3 TCP会话：10．10．10．10：444545512．4．4 TCP会话：10．10．10．10：8080?10．10．10．70：103546112．4．5 时间线46612．4．6 案情推测46712．4．7 回答之前提出的问题46812．4．8 下一步468后记470

网络取证是计算机取证技术的一个新的发展方向，是计算机网络技术与法学的交叉学科。本书是网络取证方面的第一本专著，一经出版便好评如潮，在Amazon网站上的评分达4.5星。　　《黑客大追踪：网络取证核心原理与实践》根据网络取证调查人员的实际需要，概述了网络取证的各个方面，不论是对各种网络协议的分析和对各种网络设备的处理方式，还是取证流程的设计都有独到之处。　　《黑客大追踪：网络取证核心原理与实践》共分四大部分十二章，第1章“实用调查策略”，第2章“技术基础”和第3章“证据获取”属于第一部分，其中给出了一个取证的方法框架，并介绍了相关的基础知识；第4章“数据包分析”，第5章“流统计分析”、第6章“线：须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分，介绍了对网络流量进行分析的各种技术；第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分，详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分，针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。