黑客大追蹤：網絡取證核心原理與實踐 @ 3dWoo大學簡體電腦書店

	-- 會員 / 註冊 --
帳號：　密碼：　 \| 註冊 \| 忘記密碼

3/26 新書到！ 3/19 新書到！ 3/14 新書到！ 12/12 新書到！
	購書流程‧Q & A‧站務留言版‧客服信箱

│ 3ds Max│ Maya│ Rhino│ After Effects│ SketchUp│ ZBrush│ Painter│ Unity│

│ PhotoShop│ AutoCad│ MasterCam│ SolidWorks│ Creo│ UG│ Revit│ Nuke│

│ C#│ C│ C++│ Java│ 遊戲程式│ Linux│ 嵌入式│ PLC│ FPGA│ Matlab│

│ 駭客│ 資料庫│ 搜索引擎│ 影像處理│ Fluent│ VR+AR│ ANSYS│ 深度學習│

│ 單晶片│ AVR│ OpenGL│ Arduino│ Raspberry Pi│ 電路設計│ Cadence│ Protel│

│ Hadoop│ Python│ Stm32│ Cortex│ Labview│ 手機程式│ Android│ iPhone│


可查書名,作者,ISBN,3dwoo書號		詳細書籍分類

黑客大追蹤：網絡取證核心原理與實踐
( 簡體字)

作者：崔孝晨,陸道宏等類別：1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵

譯者：

出版社：電子工業出版社 3dWoo書號： 40477
詢問書籍請說出此書號！
【缺書】
【不接受訂購】

出版日：1/1/2015

頁數：504

光碟數：0

站長推薦：

印刷：黑白印刷語系： ( 簡體版 )

【不接受訂購】
ISBN：9787121245541

作者序　|　譯者序　|　前言　|　內容簡介　|　目錄　|　序

(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證)

作者序：

譯者序：

前言：
推薦序

當安全圈前輩cnhawk找到我，希望我為這本由崔孝晨老師及公安系統一線專家團隊翻譯的亞馬遜5星暢銷書寫份推薦的時候，小生何其惶恐。網絡犯罪取證和黑客追蹤溯源，不但是“貓捉老鼠”般的斗智斗力，更需要偵查人員廣博深厚的知識技術水平和長時間的經驗積累。
在這個領域，小生沉醉多年，從最開始摸索如何利用Network general 的sniffer portable便攜式設備抵近目標局域網，到利用網關設備旁路分光/鏡像采集、分析重要內網網絡流量和協議，再到利用機器學習方法挖掘處理海量日志和社工證據，更親身實踐過先進木馬和僵尸網絡的攻防對抗……10多年一路走來，深感網絡取證追蹤領域的浩瀚復雜、相關技術資料搜集整理的艱辛，更為“如何構建完備的網絡取證知識技能體系？如何將長期以來在各個層次實施取證/對抗的經驗教訓進行系統化的梳理？”這個巨大的課題而長期的困惑著……直到我讀完這本書。
從本地取證到網絡追蹤，遠不僅僅是從磁盤數據恢復+內存dump到網絡數據包截獲分析的“升級”，而是實現了從“單點證據采集”到“全域、多層次海量數據證據鏈信息的挖掘推理”的躍變。取證的裝備和技術在發展，偵查人員的思維和眼界更要改變。
書中把“證據”定義為：任何可觀察且可記錄的事件或者是事件的因素，即能用來正確理解一個已被觀察到的事件發生原因和本質的，任何可以被觀察到并被記錄下來的活動或產生活動的人為因素。從我的理解看，本書圍繞網絡取證和黑客追蹤這個主題，通過深入淺出的技術總結和實戰案例分析，囊括了“觀察”“記錄”和“理解”三個核心要素：
1．如何成為一名精通無線/有線網絡通信和協議分析的偵查員？
針對廣域網、園區有線網、無線網等不同網絡目標，了解網絡中各類系統的配置、接口和功能，從不同類型的接入點（如：無線AP、交換機）或中間媒介（如光纖、以太網線）切入網絡，主動/被動地截獲各級各類網絡流量，從各種標準網絡協議如802.11b/g/n, ARP, DHCP, IPv4, IPv6, TCP, UDP, ICMP, TLS/SSL, SMTP, IMAP, DNS, HTTP, SMB, FTP, RTP等或目標內部通信協議入手，分析黑客的通信要素和信息內容，追蹤黑客在網絡中的行動軌跡。
2．如何成為一名深刻理解網絡運維和安全防護的偵查員？
大型重要網絡的運維和一體化安全防護，不再是過去網管員“重裝系統、配置DHCP、升級殺毒軟件病毒庫”的簡單重復勞動。各類自動化運維系統和安全防御工具，定期對應用服務器、路由器、防火墻、網絡設備、照相機和各種其他設備產生的事件日志中進行采集，獲取特定時間、特定系統/環境下的設備狀態，并進行可視化的統計和格式化標準化處理。各類監控攝像探頭的錄像、登記記錄、網絡訪問日志、無線接入點的日志、動態主機配置協議保留的地址分配日志、活動目錄、域控制器、VPN控制器等提供的日志、活動目錄事件日志、Web代理服務器日志以及目標電腦中可能會安裝的位置追蹤軟件日志等，都是我們進行綜合關聯與分析的重要素材。多源日志信息的融合與關聯分析將成為偵查員們的利器，我們將能夠快速準確地定位黑客電腦的物理位置——移動設備聯入建筑物里的哪個無線接入點？還可以通過跟蹤移動設備聯入各個WAP的情況，勾畫出黑客設備移動的軌跡圖；準確的時間和位置要素，能讓我們從海量的監控攝像數據中迅速找到黑客的面部特征。
3．如何成為一名熟練運用系統架構思想和數據科學方法的偵查員？
互聯網如此復雜，以至于我們已無法徹底分析和理解其工作模式。自其誕生以來，匿名性就是互聯網的特質之一，甚至即便設備位于你掌握的組織內部時，準確定位到它也需要分析海量的網絡文檔和日志。當前的各種自動化運維（slunk）或安防設備（如IDS）已經具有一定的統計處理和關聯分析能力，但對于“黑客行為模式識別、攻擊者分類、未來攻擊動作預測、黑客總體實力評估”等更高等級的偵查工作仍然力不從心。我們仍然需要更加深刻地理解網絡信息系統的架構，對海量的樣本數據中主動的學習特征、建立模型，在機器學習、人工智能等科學方法的幫助下，在重重迷霧中抽絲剝繭，理清繁榮復雜的海量證據間關系。
相信讀完本書，無論是大專院校計算機和網絡安全相關專業的學生，還是公安網絡安全保衛部門的一線偵查員，亦或國家網絡安全應急響應單位的技術人員，都會大有裨益。末了，小生不才，也附送一句忠告：黑客和APT攻擊者正變得越來越強大，偵查員們一刻都不能停歇，請盡快的進一步學習掌握基于大數據的智能化海量情報分析方法和技能，讓犯罪者在我國的網絡空間中無所遁跡。

張宇翔（ID：潛伏鷹）
2014.11.1.北京.

譯者序

這是一本視角獨特的電子取證書籍，令人耳目一新！
我自從2002年起從事電子取證工作至今已有十余年了，應該說這一行里幾乎一直不停地涌現出新的技術、思路，你看嘛：
十幾年前，幾乎所有的取證書籍討論的都只有一件事——數據恢復/文件系統分析。好像憑著一手數據恢復技術就能包打天下了。2005年出版的File System Forensic Analysis是個巔峰，至此文件系統分析技術已經非常成熟了，并出現了各種傻瓜式的工具。毫不夸張地說，現在用一樣的工具，一個初出茅廬的新手做數據恢復，得到的結果已經和老鳥們差不多了——到停滯期了？才不是呢！
接下來的幾年時間里，各種奇招、怪招、損招層出不窮。拿注冊表里的各種信息（比如通過注冊表里緩存的驅動信息，倒推計算機上曾插過幾個什么樣的USB設備），分析內存中的數據（找被rootkit隱藏的進程/數據），分析應用程序存儲下來的信息（比如拿各種IM工具的聊天記錄），對應用程序/病毒木馬本身進行分析從中獲取信息（比如上海2009.7.18私車額度拍賣網站遭DDOS攻擊案，就是我通過分析攻擊用的木馬破獲的），等等不一而足。我本人也分別在2008年和2012年在安全焦點峰會上提出過利用信息熵分析重構raid 5陣列和針對單個文件（而非文件系統）做數據恢復的兩個思路，也曾和一些朋友合作翻譯出版了《Windows取證分析》一書，綜述了當年Windows平臺下的取證技巧。
不過，這條路貌似又有點……，單機平臺上能挖的地方基本上都已經過了一遍了，再要找點新鮮的實在是難啊……
上面的歷史經驗告訴我們，每到這樣的關頭就會有全新的思路出現。問題是這個全新的思路是什么呢？是Android/iOS平臺？當然這是非常有可能的，不過不要忘了還有另一個重要方向——網絡取證，也就是本書的主題。
任何技術要發展都離不開天時、地利、人和。天時者，時代大背景也。目前移動網絡、物聯網等網絡技術的發展普及是所謂“天時”，正如第1章中的那個案例那樣，現在丟個手機都能通過單位內部的Wi-Fi熱點日志尋蹤，這在以前是不可想象的。離開這個背景去談網絡取證都是扯；地利者，所需的各類設備上取證技術的成熟。網絡設備種類繁多，但隨著近年來網絡設備的普及，這些設備的操作方法也不再是少數人的專利了，越來越多的人能玩轉這些設備是基礎；人和者，人的觀念。自從內存取證的概念被提出來之后，證據的易滅失等級就開始受到了大家的重視。傳統的計算機取證的眼光囿于計算機單機設備，我們的思路總是從某一臺具體的設備入手進行分析的。盡管我們也強調電子現場的還原，但那也僅僅是囿于某臺設備內部狀態的保護和分析。有人說，具體辦案時不是一樣會把各臺設備中獲得的信息串到一起分析嗎？這不就是網絡取證嗎？還真不一樣！因為網絡取證是把網絡整體看作一個現場的高度。這個高度的上升立馬導致你分析問題的思路發生了變化。現在你會考慮各個設備上證據的易滅失等級，容易滅失的先取，不容易滅失的后取。而不像以前看到一臺設備，不分析網絡就拉起袖子開始干活了，結果導致因為沒有及時勘查載有易滅失證據的設備而造成證據的永久性丟失。在這方面，本書作者提出的OSCAR方法絕對是個亮點。
也正是由于這些原因，這本Network Forensics: Tracking Hackers through Cyberspace自從2012年6月出版后，在Amazon上一直深受好評排名居高不下。我有幸讀到這本書，并將其推薦到國內，深感壓力。
本書的翻譯團隊是個非常強大的團隊，有經驗豐富的鑒定師（擁有公安部和司法部認證的電子數據鑒定資質的鑒定人各一名），也有來自一線的技術支持人員和網絡安全保衛實戰單位的辦案民警，還有教學經驗豐富的外語專業教師。這也是一次公安專業院校與地方網絡安全/電子取證專業團隊合作的嘗試。全書十二章內容翻譯的分工安排如下：
第1章由武曉音同志翻譯，第2章由龔濟悅同志翻譯，第3章由殷方同志翻譯，第4、5、6、7、8、9章由上海弘連網絡科技有限公司的陸道宏同志及數字犯罪調查小組（DCI）的沈永安、羅鳴和蹇星亮同志翻譯，第10章由王宏同志翻譯，第11、12章及剩余其他部分由我翻譯。全書由我和陸道宏同志統一審校。除陸道宏、沈永安、羅鳴和蹇星亮同志之外的其他譯者均為上海公安高等專科學校信息化、涉外警務等教研室的教師教官。本書中文版的面世首先要感謝各位譯者付出的辛勤勞動。
其次，我要感謝博文視點的各位編輯老師，特別是顧慧芳、劉皎老師，感謝你們對我的一貫支持和耐心的指導，使我從中獲益良多！同時也感謝你們為本書的出版所花費的大量時間！
當前，習近平總書記提出了“把我國從網絡大國建設成為網絡強國”的戰略構想，2013版的《中華人民共和國刑事訴訟法》中也首次將電子數據作為一種正式的法定證據類型。可以預見，網絡安全-電子取證工作在我國將會有一個較大的發展。本書既可供廣大從事電子取證教學和實際工作的人員閱讀，也計劃作為我校偵查專業第二本科電子取證類課程的參考資料使用。

崔孝晨
2014年5月

序

我的曾祖父是個木匠。我現在就趴在他做的桌子上，坐著他做的椅子寫這篇序。他的世界是一門手藝，“熟能生巧” 。他生命后期的作品，即使表面上看是個與某個早期作品一樣的東西，但旁人仍能看出他技藝的精湛。
網絡安全的特點是其革新速度——不光是迅速增長的進步，還有那些時不時冒出來的“驚喜”。用數學術語說，網絡安全的“功系數”是不斷被技術進步打斷的階梯函數的積分。我的祖先在提高他的技藝時，可不會受困于胡桃木、鋼鐵或亞麻籽等原材料性狀的改變，但在現如今提升網絡安全水平時可沒有這么好運。
乍一看，取證好像只是為解釋已經發生的事而做的簡單活計，因此還顯得有些矯情。但事實并非如此，究其原因在于它的復雜性。這個復雜性是逐漸積累起來的。而且，就像作者在一開始說過的那樣，如果積累足夠多的話，即便只是一個最簡單的網絡，想知道其中發生的所有事也會變得不可能。因此，取證的目的就在于揭示那些發生在網絡及其基礎設施上的，有意義的，先前不為人知的重要因素。只有在知道了這些因素之后，將來才真正有改進的機會。
取證是一門藝術，勤能補拙。取證的發現過程就在于排除正在調查的事件的可能成因。就像雕刻時，我們的目的就是去掉所有使它看上去不像一頭大象的多余石料一樣，取證也是要去掉所有經觀察并不成立的假說，并最終得出結論。套用EF 舒馬赫的觀點，取證是個收斂的問題；但網絡安全卻是個發散的問題。換而言之，在取證中付出的努力越多，解的集合就越趨向于某一個答案，但這一結論在一般的網絡安全問題上卻不成立。
或許我們應該說：取證不是一門關于安全的學科，而是一門關于“不安全”的學科。安全是關于所有潛在的事件的，正如Peter Bernstein的定義：“風險就是諸多難以預見的情況”。取證不必從越來越復雜的事實中歸納出各種可能性，只須推導出其“何以至此”的原因即可。然而，一般來說，在網絡安全中，犯罪分子總是有一種先天的優勢，而在取證中，是防御者擁有這一優勢。
取證是門藝術，“真的假不了，假的真不了”是它天生具有的戰略優勢。對你（現在或將來的取證人員）來說，你的任務就是在你擁有戰略優勢的地方提高你的技藝——不光是理論上的，還要有實際操作技能。這就是你需要這本書的原因。
技精于學生是老師的義務，而“青出于藍而勝于藍”同樣也是學生的責任。但是在變成頂尖高手之前，你還是需要老師的教導，超越他們并非易事。說到底，技藝非凡的大師能讓你知道當前的工具箱中哪些東西是一直能用的，哪些是隨著時代的進步可能被淘汰掉的。他同樣也能清楚地知道，你缺些什么。從這個角度來講，這本書的篇幅安排絕對是大師所選。
基本上，由于每起案件案情的不同，各個案件的取證調查過程中，各自所需的工具集也都不盡相同，所以最好的辦法就是擁有所有會用到的專業工具，當然其中的一些工具的使用頻率會高于其他工具。將工具集的作用發揮到極致的前提是：你深入了解其中的每個功能，當然，這并不是說你需要而無須經常使用其中的每一個工具。Nicholas Taleb是這樣描述Unberto Eco的逆圖書收藏主義的：“……應該在你的經濟狀況、按揭利率以及不動產資產允許的情況下，盡可能多地收集你所不了解的資料。”
你，親愛的讀者，能拿到這樣一本與眾不同的取證書籍，且讀且珍惜！

Daniel E. Geer, Jr., Sc.D.

前言

每天，互聯網上流經的比特數比世界上全部沙灘上的所有沙子還多。根據思科Visual Networking Index，截止到2011年，全球的IP流量預計會達到每天約8.4 1018比特。而據夏威夷大學的數學家們估算，世界上全部沙灘上的所有沙子都加起來也不過只有約7.5 1018顆。按思科的估計，全球IP流量的年增長率是32%，所以當你讀到這一段時，每天流經互聯網的比特數可能已經遠遠超過世界上全部沙灘上的所有沙子數了。
當然這些估算都是非常粗略的。因為這兩個例子中所涉及的系統之大，之復雜，已經遠遠超過了人類的工具所能量化分析的范圍。互聯網早已過了我們可以完全分析和理解其工作模式的時代了。我們可以深入剖析它的某一部分，也可以做一個寬泛的概括，但事實是：我們人類已經創造出了一個能力和復雜度遠遠超過我們的理解能力的龐然大物。
在這一環境下，出現了一個新興的，目前還看不到其發展盡頭的研究領域——網絡取證。一般來說，取證就是“把科學知識應用在法律問題上，特別是對（比如來自某個犯罪現場的）物理證據進行科學分析”。因此，網絡取證就是指：通常應用在司法問題上的，對基于網絡的證據進行的科學研究。當然，網絡取證并不是一個脫離具體案情的研究領域，而且許多專為司法調查而做的學科前沿進展、工具和技術同樣可以用于社會學研究、歷史分析以及網絡環境的科學探索。在本書中，我們力圖提供一個不光對肩負完成司法調查任務的專業網絡取證分析師有用，也對學生、獨立研究員以及其他所有對此感興趣的人士具有實用價值的技術基礎。
0.1 不斷變化著的土壤
互聯網是變化無常的。每當硬件或軟件上開發出了一種新的特性時，就會有反映這些變化的新協議出現，而老的協議也會被修訂或更新，以適應最新的技術。在過去的這個世紀里，在我們見證下，涌現出來的新協議有：分布式點對點視頻聊天系統、在數千英里之外為患者遠程動手術的協議，以及能繞過半個地球操縱機器人的協議。
對于熟悉傳統的文件系統取證技術的調查人員來說，網絡取證看上去是那么令人望而卻步。相對于動輒成百上千種的網絡協議，被廣泛使用的文件系統格式也就那么寥寥幾種。在Windows系統中一般就是FAT32或NTFS文件系統，在UNIX/Linux系統中，常見的也就是ext2, 3, 4, ZFS, 或是HFS+文件系統。相反，如果隨意指定一個網絡，你可以在上面發現以太網，802.11b/g/n, ARP, DHCP, IPv4, IPv6, TCP, UDP, ICMP, TLS/SSL, SMTP, IMAP, DNS, HTTP, SMB, FTP, RTP等許多許多的協議。
在互聯網上，也沒什么能保證你遇到的協議一定會符合文檔規定，或者能馬上找得到文檔。此外，協議實現的細節也會經常變化。廠商們不會糾結于任何標準，為了能最佳適配他們的產品，在實現協議時他們會在軟件或硬件上隨心所欲地進行修正。
有時，協議的開發過早，或在協議發展成熟到能支持協議中所有特性之前，就需要編寫出應用程序。在這一過渡階段，相關協議或者特定的字段可能會被閑置，或者被銷售商、標準委員會或黑客挪作他用。而當環境發生變化，舊的協議不再能正常工作時，協議也會被替換掉。這方面的一個完美例子就是IPv4。這個協議在最初相對較小的環境中工作良好。IPv4設計時使用32位的一個字段來存放源和目的地址，它能容納232或者說大約43億個不重復的地址。而在互聯網發展的早期，這一地址方案中的大網段是分配給用戶相對較少的不同的組織的。現在，有超過十億人連在互聯網上，對于這一需求，32位的地址空間就顯得相當窘迫。因而，就開發出了擁有大得多的128位地址空間（2128，或者3.4 1038個不重復的地址）的IPv6。隨之涌現出來的還有許多其他協議，比如Teredo（這個協議是用來在只支持IPv4的網絡中隧道連接IPv6流量的）。
當協議發生變化時，取證工具也會隨之改變或修正。一個2010年編寫的工具可能無法正確解析2002年抓下來的某個數據包，反之亦然。有時這些錯誤可能會非常微妙，甚至可能無法被察覺。所以對于調查人員來說，理解取證工具的工作原理，并能深入到最底層驗證所發現的結果是非常重要的。網絡取證專家必須是技能高超、積極性高并有豐富經驗的人員，因為別人編寫的工具并不總能幫助你正確地解釋結果，甚至無法在法庭上完成結果的驗證。
把這些問題綜合起來的是各種不同的海量的網絡設備，其中有路由器、交換機、應用服務器等，任何一個給定網絡中的每一個系統都可能會有唯一的配置、接口和功能。對于調查人員來說，是不可能熟悉所有的網絡設備的——甚至只是其中百分之幾都不現實——包括現在和過去生產定型的設備。相反，網絡調查人員必須準備好，要在較短的時間內學會和掌握相關設備的使用方法。同時還要自信滿滿地管理調查和項目的進展。這簡直就是在走鋼絲。
在第一時間里追蹤到需要檢查的設備會是非常困難，甚至是不可能的。自其誕生以來，匿名性就是互聯網的特質之一。有時，一個IP地址很可能會落到一個外地ISP那里，這時從第三方那里拿到更進一步的位置信息基本就是不可能的了——特別是當這個IP地址落到了一個安全立法寬松的其他國家時尤為如此。甚至即便設備位于你能掌控的組織內部時，準確定位到它的物理位置，也需要分析海量的網絡文檔和日志——這些東西可不保證能完全滿足取證所需。隨著移動網絡的興起，追蹤設備的位置常常就像是捉迷藏游戲，而在這場游戲中，占得先機的總是（甚至可能是在無意間）移動設備的用戶。
問題的關鍵是要把互聯網的這些功能看作生態系統。它不受任何中央勢力的控制，也不會像我們設計一輛汽車那樣被“設計”出來。當你檢查網絡流量時，沒有人能告訴你可能會遇到什么，或者你的工具是不是能正確地解析你的抓包文件中，某個特定版本的協議。當你需要從網絡設備中收集證據或重新配置它們時，你可能不得不研究特定型號的設備，才能正確理解接口和證據來源。當你需要定位某些系統時，你或許不得不滿世界地做布朗運動，去追蹤一臺移動設備，或者給許多不同國家里的ISP聯系人和執法官員打電話，才能準確定位源頭。
沒有規定大家都一定要使用哪家廠商生產的設備，也沒有全球所有用戶都必須遵守的規則，更沒有哪本手冊能準確地告訴你該怎樣開展調查工作。
0.2 組織結構
本書力圖能最大限度地囊括網絡取證中的所有最重要的主題。全書共分為4個部分：《基礎篇》、《數據流分析》、《網絡設備和服務器》和《高級議題》。
0.2.1 第一部分基礎篇
第一部分《基礎篇》中涵蓋的是證據處理、網絡和設備獲取的基本概念，為本書之后將要討論的更高一級的主題打好基礎。除了這幾章里的相關主題之外，我們強烈建議所有的讀者能很好地理解TCP/IP網絡。W. Richard Stevens編寫的《TCP/IP詳解》一書是一本極好的書籍，我們強烈推薦你把它作為參考資料。
第一部分中包含以下章節：
第1章《實用調查策略》，展示了網絡取證調查人員將會面臨的大量挑戰。介紹了電子取證中的重要概念，并給出了一個如何著手開展基于網絡的調查的方法清單。
第2章《技術基礎》，這一章里給出了通用網絡組件的技術概覽，以及它們在取證調查中的價值。同時也會依網絡取證調查的背景給出協議和OSI模型的概念。
第3章《證據獲取》，研究各種被動式和主動式的證據獲取方法，其中包括使用軟件或硬件嗅探網絡流量，以及從網絡設備中主動收集證據的策略。
0.2.2 第二部分數據流分析
第二部分《數據流分析》中討論各種可供調查人員分析網絡流量的方法。我們從數據包分析開始講起，從檢查協議頭部，到提取數據包的載荷，再到重構傳輸的數據。由于保留記錄下來的數據流已經是一種司空見慣的事了，所以我們特意用了一整章的篇幅討論對流記錄的統計分析。再接下來會深入探究無線網絡和802.11協議族。最后，我們將討論設計用來實時分析流量、生成報警以及在某些情況下能即時抓包的網絡入侵檢測和防范系統。
第二部分中包含以下章節：
第4章《數據包分析》，綜合研究了各種協議、數據包及數據流，以及分析它們的各種方法。
第5章《流統計分析》，展示了一個日益重要的領域——靜態流記錄的收集、合并和分析方法
第6章《無線：無須網線的取證》，討論無線網絡，特別是在IEEE 802.11協議族中的證據收集和分析技術。
第7章《網絡入侵的偵測及分析》，這一章回顧了專門用于生成安全報警，并支持證據固定的網絡入侵防護系統和入侵檢測系統。
0.2.3 第三部分網絡設備和服務器
第三部分《網絡設備和服務器》中討論了從各類網絡設備中獲取和分析證據的方法。一開始我們先討論事件日志的收集和檢查方法，還討論了各種日志架構的優缺點。接下來，我們專門討論對交換機、路由器以及防火墻——這些構成了我們網絡骨干部分的設備的取證調查技巧。由于Web代理日趨流行，而且其中常常含有許多富有價值的證據，因此我們將詳細討論Web代理中證據的收集和分析方法。
第三部分中包含以下章節：
第8章《事件日志的聚合、關聯和分析》，討論從不同的源，包括從服務器或工作站的操作系統（比如Windows、Linux和UNIX）、應用程序、網絡設備和物理設備中，收集和分析日志的方法。
第9章《交換機、路由器、防火墻》，研究如何從不同的網絡設備中收集證據，以及根據不同的接口和證據的易滅失級別，收集證據的策略。
第10章《Web代理》，回顧了Web代理日益流行的趨勢，以及調查人員如何利用這些設備收集上網沖浪的歷史記錄，甚至是緩存下來的Web對象的副本。
0.2.4 第四部分高級議題
第四部分《高級議題》討論了網絡取證中最令人著迷的兩個議題：網絡隧道和惡意軟件。我們將回顧網絡隧道的合法性和隱蔽性，并討論處理不同類型隧道時的調查策略。為了使敘述內容完備，我們還將回顧惡意軟件的發展歷史及其對取證分析產生的影響，其中包括命令和控制信道的進化史、僵尸網絡、規避IDS/IPS的檢測以及高級持續性威脅（Advanced Persistent Threat，APT）
第四部分包括以下章節：
第11章《網絡隧道》，討論了網絡隧道的合法性和隱蔽性，識別隧道的方法以及重構經隧道傳輸的流量中的證據的策略。
第12章《惡意軟件取證》，在這一章里將概述惡意軟件開發的簡史，包括命令和控制信道的進化、僵尸網絡、規避IDS/IPS的檢測以及高級持續性威脅（APT）。在這一過程中，我們還將穿插討論惡意軟件對取證調查的影響，以及取證調查是如何改變惡意軟件的。
0.3 工具
本書內容的編排面向最廣大的讀者，教你網絡取證的基本原則和技術。盡管有許多商用的、點點鼠標就能幫助你找到同樣答案的工具，而且我們在書中也會泛泛地介紹其中的一些。但是我們還是著重介紹那些可以免費獲得，同時也能用來演示基本技術的工具。通過這一方式，我們希望能讓你理解取證工具的底層工作原理，擁有驗證自動化工具得出的結論，以及在調查過程中選用正確工具的能力。
0.4 案例
第二、三、四部分的每一章中都會安排一個詳細的案例，用以展示這一章中討論的工具和技術。你可以把證據文件下載到你自己的取證工作站中，并親自動手分析它們。
這些案例中的證據文件位于：
http://lmgsecurity.com/nf/
你可以免費使用它們，但僅限于個人使用。
0.5 勘誤表
任何一本這么厚、信息量這么大的書中，都不可避免地會有一些錯誤，我們把勘誤表放在下面這個網址中：
http://lmgsecurity.com/nf/errata
如果你找到了一個錯誤，我們將很高興能知道它，請給我們發送電子郵件：errata@lmgsecurity. com。不過在寫信之前，請先對照一下勘誤表，不要重復發送勘誤表上已有的內容。
0.6 最后一點說明
本書是愛的結晶。每一章都花掉了無數研究、討論、質疑和寫作的時間。在編寫案例及相關抓包文件時，我們專門構建了一個相當于一個小型商務網絡的實驗室。在每一次練習、編寫每一個場景時，我們都反復配置/重新配置這個網絡，然后一遍又一遍地運行相關場景，直到得到的所有結果都完全正確為止。
無數個白天黑夜，無數次反復開關的斷路開關，無數塊掛掉的硬盤，無數罐放溫了的啤酒和無數塊放涼了的比薩——最終成就了本書。盡管這本書已經有幾百頁厚了，但我們仍舊覺得我們只是泛泛地介紹了博大精深的網絡取證工作中一些膚淺的內容。我們從付出的艱苦勞動中學到了很多東西，希望你也是。

致謝

如果沒有兩位廣受尊敬的安全專家：Rob Lee 和 Ed Skoudis的支持，這本書不可能問世。三年前，Rob Lee拉我們去為SANS協會開設一門網絡取證課程。這是我們第一次把共同的才智交匯在這個主題上，并正式給這一工作的主體起了個名字。打那以后，Rob就成了我的良師益友，不斷推動我們改進工作，吸取反饋意見以及拓展我們知識的極限。Rob，感謝你的高標準、開誠布公的意見，以及最重要的——對我們的信任。沒有你，我們不可能完成這本書。
還有Ed，是你鼓勵我們寫出了這本書，并花時間把我們介紹給你們的編輯。在這一過程中，你的建議被證明是無價的。感謝你的幫助和支持，Ed，我們會永遠感激你。
感謝為出版這本書花了大量的時間和精力的Pearson出版社的全體工作人員，特別是本書的編輯老師Chris Guzikowski，同時還有Jessica Goldstein, Raina Chrobak, Julie Nahil, Olivia Basegio, Chris Zahn, Karen Gettman, Chuti Prasertsith, John Fuller和Elizabeth Ryan老師，在此一并感謝。同時也特別感謝Laserwords團隊為本書的出版付出的努力，特別感謝Patty Donovan的耐心指導。
非常感謝Jonah Elgart為本書創作的精美封面。我們也非常欣賞本書序言的作者Dan Geer博士的工作。另外，我們也非常感謝為本書進行技術審校的朋友和同仁們，他們是：Michael Ford, Erik Hjelmvik, Randy Marchany, Craig Wright和Joshua Wright。他們的意見和對細節的關注為本書增輝無限。
我們也想把歡呼送給我們LMG Security團隊的優秀的組員們，特別是Eric Fulton, Jody Miller, Randi Price, Scott Fretheim, David Harrison和Diane Byrne，你們在幫助我們進行網絡取證技術研究和課程開發上花了大量的時間。Eric Fulton是ForensicsContest.com網站上多個謎題的編寫者，本書中的一些案例，特別是“HackMe”和“Ann的極光行動”，就是從這些謎題那里發展而來的。Jody Miller，在你沖進來，擺平了骷髏王的邪惡魔力之后，你就成了我們的硬漢——呃，我是說，你統一了本書所有注釋的格式（將近500行！）。
感謝我們的朋友、同事以及教導了我們多年的導師：Shane Vannatta, Marsha＆Bill Dahlgren, Pohl Longsine, Gary Longsine, John Strand, Michael P. Kenny, Gary ＆ Pue Williams，（美國）中西部的好鄉親們，Mike Poor, Kevin Johnson, Alan Ptak, Michael Grinberg, Sarah ＆ Kerry Metlen, Anissa Schroeder, Bradley Coleman, Blake Brasher, Stephanie Henry, Nadia Madden 和 Jon McElroy, Clay Ward，麻省理工學院學生信息處理板（Student Information Processing Board，SIPB），Wally Deschene, Steven ＆ Linda Abate, Karl Reinhard, Brad Cool, Nick Lewis, Richard Souza, Paul Asadoorian, Larry Pesce, George Bakos, Johannes Ullrich, Paul A. Henry, Rick Smith, Guy Bruneau, Lenny Zeltser, Eric Cole, Judy Novak, Alan Tu, Fabienne van Cappel, Robert C de Baca, Mark Galassi和Dan Starr。
特別感謝SANS協會的教職員工，尤其是：Steven ＆ Kathy Northcutt，Deb Jorgensen，Katherine Webb Calhoon，Lana Emery，Kate Marshall，Velda Lempka，Norris Campbell和Lynn Lewis。
我們也要感謝每一位在ForensicsContest.com上做出過貢獻的人——不論您是原創了工具/文章，回帖，還是只是為了好玩才來的。我們都從你們身上學到了很多！
感謝在本書編寫過程中一直鼓勵和支持我們的家人，特別是：Sheila Temkin Davidoff, E. Martin Davidoff, Philip ＆ Lynda Ham, Barbara ＆ Larry Oltmanns, Laura Davidoff, Michele Kirk, 和Naomi Robertson, Latisha Mike, Makenna, Braelyn Monnier, Chad, Amy, Brady Rempel, Sheryl ＆ Tommy Davidoff, Jonathan ＆ Stefanie Davidoff, Jill ＆ Jake Dinov, Jamie ＆ Adam Levine, Annabelle Temkin, Norman ＆ Eileen Shoenfeld, Brian ＆ Marie Shoenfeld，以及Debbie Shoenfeld。
感謝我們的小貓——Shark，在我們寫作的這上百個小時里，你一直依偎在我們身邊。

最重要的——感謝我們的兩個女兒：Charlie和Violet，這本書是寫給你們的。

內容簡介：
網絡取證是計算機取證技術的一個新的發展方向，是計算機網絡技術與法學的交叉學科。本書是網絡取證方面的第一本專著，一經出版便好評如潮，在Amazon網站上的評分達4.5星。
本書根據網絡取證調查人員的實際需要，概述了網絡取證的各個方面，不論是對各種網絡協議的分析和對各種網絡設備的處理方式，還是取證流程的設計都有獨到之處。
本書共分四大部分十二章，第1章“實用調查策略”，第2章“技術基礎”和第3章“證據獲取”屬于第一部分，其中給出了一個取證的方法框架，并介紹了相關的基礎知識；第4章“數據包分析”，第5章“流統計分析”、第6章“無線：無須網線的取證”和第7章“網絡入侵的偵測及分析”屬于第二部分，介紹了對網絡流量進行分析的各種技術；第8章“事件日志的聚合、關聯和分析”、第9章“交換器、路由器、防火墻”和第10章“Web代理”屬于第三部分，詳述了在各種網絡設備和服務器中獲取和分析證據的方法。第11章“網絡隧道”和第12章“惡意軟件取證”屬于第四部分，針對網絡隧道和惡意軟件分析這兩個網絡取證中的難點和熱點問題展開討論。

目錄：
第一部分基礎篇
第1章實用調查策略 2
1.1 真實的案例 2
1.1.1 醫院里被盜的筆記本電腦 3
1.1.2 發現公司的網絡被用于傳播盜版 5
1.1.3 被黑的政府服務器 6
1.2 足跡 7
1.3 電子證據的概念 8
1.3.1 實物證據 9
1.3.2 最佳證據 9
1.3.3 直接證據 10
1.3.4 情況證據 11
1.3.5 傳聞證據 11
1.3.6 經營記錄 12
1.3.7 電子證據 13
1.3.8 基于網絡的電子證據 14
1.4 關于網絡證據相關的挑戰 14
1.5 網絡取證調查方法（OSCAR） 15
1.5.1 獲取信息 15
1.5.2 制訂方案 16
1.5.3 收集證據 17
1.5.4 分析 18
1.5.5 出具報告 19
1.6 小結 19
第2章技術基礎 21
2.1 基于網絡的證據來源 21
2.1.1 物理線纜 22
2.1.2 無線網絡空口 22
2.1.3 交換機 23
2.1.4 路由器 23
2.1.5 DHCP服務器 24
2.1.6 域名服務器 24
2.1.7 登錄認證服務器 25
2.1.8 網絡入侵檢測/防御系統 25
2.1.9 防火墻 25
2.1.10 Web代理 26
2.1.11 應用服務器 27
2.1.12 中央日志服務器 27
2.2 互聯網的工作原理 27
2.2.1 協議 28
2.2.2 開放系統互連模型 29
2.2.3 例子：周游世界……然后再回來 30
2.3 互聯網協議組 32
2.3.1 互聯網協議組的早期歷史和開發過程 33
2.3.2 網際協議 34
2.3.3 傳輸控制協議 38
2.3.4 用戶數據報協議 40
2.4 小結 42
第3章證據獲取 43
3.1 物理偵聽 43
3.1.1 線纜 44
3.1.2 無線電頻率 48
3.1.3 Hub 49
3.1.4 交換機 50
3.2 流量抓取軟件 52
3.2.1 libpcap和WinPcap 53
3.2.2 伯克利包過濾（Berkeley Packet Filter，BPF）語言 53
3.2.3 tcpdump 57
3.2.4 Wireshark 61
3.2.5 tshark 62
3.2.6 dumpcap 62
3.3 主動式獲取 63
3.3.1 常用接口 63
3.3.2 沒有權限時咋辦 68
3.3.3 策略 68
3.4 小結 69
第二部分數據流分析
第4章數據包分析 72
4.1 協議分析 73
4.1.1 哪里可以得到協議信息 73
4.1.2 協議分析工具 76
4.1.3 協議分析技巧 79
4.2 包分析 91
4.2.1 包分析工具 91
4.2.2 包分析技術 94
4.3 流分析 99
4.3.1 流分析工具 100
4.3.2 流分析技術 103
4.4 分析更高層的傳輸協議 113
4.4.1 一些常用的高層協議 114
4.4.2 高層協議分析工具 122
4.4.3 高層協議分析技術 124
4.5 結論 127
4.6 案例研究：Ann的約會 127
4.6.1 分析：協議概要 128
4.6.2 DHCP通信 128
4.6.3 關鍵詞搜索 130
4.6.4 SMTP分析——Wireshark 133
4.6.5 SMTP分析——TCPFlow 136
4.6.6 SMTP 分析——附件提取 137
4.6.7 查看附件 139
4.6.8 找到Ann的簡單方法 140
4.6.9 時間線 145
4.6.10 案件的理論推導 145
4.6.11 挑戰賽問題的應答 146
4.6.12 下一步 148
第5章流統計分析 149
5.1 處理過程概述 150
5.2 傳感器 151
5.2.1 傳感器類型 151
5.2.2 傳感器軟件 152
5.2.3 傳感器位置 153
5.2.4 修改環境 154
5.3 流記錄導出協議 155
5.3.1 NetFlow 155
5.3.2 IPFIX 156
5.3.3 sFlow 156
5.4 收集和匯總 157
5.4.1 收集器的位置和架構 157
5.4.2 數據收集系統 158
5.5 分析 160
5.5.1 流記錄分析技術 160
5.5.2 流記錄分析工具 164
5.6 結論 169
5.7 案例研究：奇怪的X先生 169
5.7.1 分析：第一步 170
5.7.2 外部攻擊者和端口22的通信 171
5.7.3 DMZ中的受害者——10.30.30.20（也是172.30.1.231） 174
5.7.4 內部受害系統——192.30.1.101 178
5.7.5 時間線 179
5.7.6 案件分析 180
5.7.7 回應挑戰賽問題 180
5.7.8 下一步 181
第6章無線：無須網線的取證 183
6.1 IEEE 第二層協議系列 184
6.1.1 為什么那么多第二層協議 185
6.1.2 802.11 協議族 186
6.1.3 802.1X 195
6.2 無線接入點（WAP） 196
6.2.1 為什么要調查無線接入點 196
6.2.2 無線接入點的類型 196
6.2.3 WAP證據 200
6.3 無線數據捕獲及分析 201
6.3.1 頻譜分析 201
6.3.2 無線被動證據收集 202
6.3.3 有效地分析802.11 203
6.4 常見攻擊類型 205
6.4.1 嗅探 205
6.4.2 未授權的無線接入點 205
6.4.3 邪惡雙子 208
6.4.4 WEP破解 208
6.5 定位無線設備 209
6.5.1 獲取設備描述 210
6.5.2 找出附近的無線接入點 210
6.5.3 信號強度 211
6.5.4 商業化企業級工具 213
6.5.5 Skyhook 214
6.6 總結 215
6.7 案例研究：HackMe公司 215
6.7.1 調查WAP 216
6.7.2 快速粗略的統計 221
6.7.3 對于管理幀的深層次觀察 226
6.7.4 一個可能的“嫌疑犯” 228
6.7.5 時間線 229
6.7.6 案例總結 230
6.7.7 挑戰問題的應答 231
6.7.8 下一步 233
第7章網絡入侵的偵測及分析 235
7.1 為什么要調查NIDS/NIPS 236
7.2 NIDS/NIPS的典型功能 236
7.2.1 嗅探 236
7.2.2 高層協議辨識 237
7.2.3 可疑字節的報警 238
7.3 檢測的模式 239
7.3.1 基于特征的分析 239
7.3.2 協議辨識 239
7.3.3 行為分析 239
7.4 NIDS/NIPS的種類 239
7.4.1 商業化NIDS/NIPS 239
7.4.2 自我定制 241
7.5 NIDS/NIPS的電子證據采集 241
7.5.1 電子證據類型 241
7.5.2 NIDS/NIPS界面 243
7.6 綜合性網絡封包日志 244
7.7 Snort系統 245
7.7.1 基本結構 246
7.7.2 配置 246
7.7.3 Snort規則語言 247
7.7.4 例子 249
7.8 總結 251
7.9 教學案例：Inter0ptic拯救地球（第一部分） 252
7.9.1 分析：Snort 警報 253
7.9.2 初步數據包分析 254
7.9.3 Snort規則分析 255
7.9.4 從Snort抓包數據中提取可疑文件 257
7.9.5 “INFO Web Bug”警報 257
7.9.6 “Tcp Window Scale Option”警報 259
7.9.7 時間線 261
7.9.8 案情推測 261
7.9.9 下一步 262
第三部分網絡設備和服務器
第8章事件日志的聚合、關聯和分析 266
8.1 日志來源 267
8.1.1 操作系統日志 267
8.1.2 應用日志 275
8.1.3 物理設備日志 277
8.1.4 網絡設備日志 279
8.2 網絡日志的體系結構 280
8.2.1 三種類型的日志記錄架構 280
8.2.2 遠程日志：常見問題及應對方法 282
8.2.3 日志聚合和分析工具 283
8.3 收集和分析證據 285
8.3.1 獲取信息 285
8.3.2 策略制定 286
8.3.3 收集證據 287
8.3.4 分析 289
8.3.5 報告 290
8.4 總結 290
8.5 案例：L0ne Sh4rk的報復 290
8.5.1 初步分析 291
8.5.2 可視化失敗的登錄嘗試 292
8.5.3 目標賬戶 294
8.5.4 成功登錄 295
8.5.5 攻陷后的活動 296
8.5.6 防火墻日志 297
8.5.7 內部被害者——192.30.1.101 300
8.5.8 時間線 301
8.5.9 案件結論 303
8.5.10 對挑戰問題的應答 303
8.5.11 下一步 304
第9章交換機、路由器和防火墻 305
9.1 存儲介質 305
9.2 交換機 306
9.2.1 為什么調查交換機 306
9.2.2 內容尋址內存表 307
9.2.3 地址解析協議 307
9.2.4 交換機類型 308
9.2.5 交換機證據 309
9.3 路由器 310
9.3.1 為什么調查路由器 310
9.3.2 路由器類型 310
9.3.3 路由器上的證據 312
9.4 防火墻 313
9.4.1 為什么調查防火墻 313
9.4.2 防火墻類型 313
9.4.3 防火墻證據 315
9.5 接口 317
9.5.1 Web接口 317
9.5.2 控制臺命令行接口（CLI） 318
9.5.3 遠程控制臺 319
9.5.4 簡單網絡管理協議（SNMP） 319
9.5.5 私有接口 320
9.6 日志 320
9.6.1 本地日志 321
9.6.2 簡單網絡管理協議 322
9.6.3 syslog 322
9.6.4 身份驗證、授權和賬戶日志 323
9.7 總結 323
9.8 案例研究：Ann的咖啡環 323
9.8.1 防火墻診斷命令 325
9.8.2 DHCP服務日志 326
9.8.3 防火墻訪問控制列表 327
9.8.4 防火墻日志分析 327
9.8.5 時間線 331
9.8.6 案例分析 332
9.8.7 挑戰問題的答復 333
9.8.8 下一步 334
第10章 Web代理 335
10.1 為什么要調查Web代理 335
10.2 Web代理的功能 337
10.2.1 緩存 337
10.2.2 URI過濾 339
10.2.3 內容過濾 339
10.2.4 分布式緩存 339
10.3 證據 341
10.3.1 證據的類型 341
10.3.2 獲取證據 342
10.4 Squid 342
10.4.1 Squid的配置文件 343
10.4.2 Squid的Access日志文件 343
10.4.3 Squid緩存 344
10.5 Web代理分析 346
10.5.1 Web代理日志分析工具 347
10.5.2 例子：剖析一個Squid磁盤緩存 350
10.6 加密的Web流量 357
10.6.1 TLS（傳輸層安全） 358
10.6.2 訪問加密的內容 360
10.6.3 商用的TLS/SSL攔截工具 364
10.7 小結 364
10.8 教學案例：Inter0ptic拯救地球（之二） 365
10.8.1 分析：pwny.jpg 366
10.8.2 Squid緩存的網頁的提取 368
10.8.3 Squid的Access.log文件 371
10.8.4 進一步分析Squid緩存 373
10.8.5 時間線 377
10.8.6 案情推測 379
10.8.7 回答之前提出的問題 380
10.8.8 下一步 381
第四部分高級議題
第11章網絡隧道 384
11.1 功能型隧道 384
11.1.1 背景知識：VLAN鏈路聚集 385
11.1.2 交換機間鏈路（Inter-Switch Link，ISL） 385
11.1.3 通用路由封裝（Generic Routing Encapsulation，GRE） 386
11.1.4 Teredo：IPv4網上的IPv6 386
11.1.5 對調查人員的意義 387
11.2 加密型隧道 387
11.2.1 IPsec 388
11.2.2 TLS和SSL 389
11.2.3 對取證人員的影響 390
11.3 隱蔽通信型隧道 391
11.3.1 策略 391
11.3.2 TCP序列號 391
11.3.3 DNS隧道 392
11.3.4 ICMP隧道 393
11.3.5 例子：分析ICMP隧道 395
11.3.6 對調查人員的影響 398
11.4 小結 399
11.5 案例教學：Ann的秘密隧道 400
11.5.1 分析：協議統計 401
11.5.2 DNS分析 402
11.5.3 追查隧道傳輸的IP包 405
11.5.4 對隧道傳輸的IP包的分析 409
11.5.5 對隧道傳輸的TCP報文段的分析 412
11.5.6 時間線 414
11.5.7 案情推測 414
11.5.8 回答之前提出的問題 415
11.5.9 下一步 416
第12章惡意軟件取證 418
12.1 惡意軟件進化的趨勢 419
12.1.1 僵尸網絡 419
12.1.2 加密和混淆 420
12.1.3 分布式命令和控制系統 422
12.1.4 自動自我升級 426
12.1.5 變化形態的網絡行為 428
12.1.6 混在網絡活動中 434
12.1.7 Fast-Flux DNS 436
12.1.8 高級持續威脅（Advanced Persistent Threat，APT） 437
12.2 惡意軟件的網絡行為 440
12.2.1 傳播 441
12.2.2 命令和控制通信 443
12.2.3 載荷的行為 446
12.3 未來的惡意軟件和網絡取證 446
12.4 教學案例：Ann的“極光行動” 447
12.4.1 分析：入侵檢測 447
12.4.2 TCP會話：10.10.10.10:4444–10.10.10.70:1036 449
12.4.3 TCP會話：10.10.10.10:4445 455
12.4.4 TCP會話：10.10.10.10:8080–10.10.10.70:1035 461
12.4.5 時間線 466
12.4.6 案情推測 467
12.4.7 回答之前提出的問題 468
12.4.8 下一步 468
后記 470

序：