黑客大追踪：网络取证核心原理与实践 (美)大卫杜夫//汉姆|译者:崔孝晨//陆道宏 9787121245541 电子工业

正版二手旧书，如有套装书，价格异常，可能是单本书，请咨询后下单。

作者: (美)大卫杜夫//汉姆|译者:崔孝晨//陆道宏
出版社: 电子工业
ISBN: 9787121245541

出版时间: 2015-01
装帧: 平装
开本: 16开

作者: (美)大卫杜夫//汉姆|译者:崔孝晨//陆道宏
出版社: 电子工业

ISBN: 9787121245541
出版时间: 2015-01

装帧: 平装
开本: 16开

售价 81.30 6.8折

定价￥119.00

品相 八五品

优惠

运费

本店暂时无法向该地区发货

延迟发货说明

时间：

说明：

上书时间2024-05-12

数量: 仅1件在售，欲购从速

立即购买加入购物车收藏

卖家超过10天未登录

商品详情
店铺评价

手机购买

微信扫码访问

商品分类：

教材教辅考试 > 教材 > 大学教材 > 计算机与互联网

货号：

9787121245541

商品描述：

作者简介
Sherri Davidoff是“L.M.G Security”（一家信息安全咨询和研究公司）的创始人之一，她的专业领域包括网络渗透测试，数字取证，社会工程测试以及Wet)应用评估。她拥有MIT的计算机科学和电子工程学士学位。
Jonathan Ham受聘教NCIS的调查员如何使用Snort，对一台位于地下2000多英尺的设备进行包分析，同时也教对NSA和入侵分析。他还被特许对全美*大程度的一个联邦民事代理中的CIRT（计算机应急响应小组）进行培训。此外，他也是“L.M.G Security”的创始人之一。他*喜欢的字段是IP[6：2]。

目录
第一部分基础篇
第1章实用调查策略2
1.1真实的案例2
1.1.1医院里被盗的笔记本电脑3
1.1.2发现公司的网络被用于传播盗版5
1.1.3被黑的政府服务器6
1.2足迹7
1.3电子证据的概念8
1.3.1实物证据9
1.3.2很好证据9
1.3.3直接证据10
1.3.4情况证据11
1.3.5传闻证据11
1.3.6经营记录12
1.3.7电子证据13
1.3.8基于网络的电子证据14
1.4关于网络证据相关的挑战14
1.5网络取证调查方法（OSCAR）15
1.5.1获取信息15
1.5.2制订方案16
1.5.3收集证据17
1.5.4分析18
1.5.5出具报告19
1.6小结19
第2章技术基础21
2.1基于网络的证据来源21
2.1.1物理线缆22
2.1.2无线网络空口22
2.1.3交换机23
2.1.4路由器23
2.1.5DHCP服务器24
2.1.6域名服务器24
2.1.7登录认证服务器25
2.1.8网络入侵检测/防御系统25
2.1.9防火墙25
2.1.10Web代理26
2.1.11应用服务器27
2.1.12中央日志服务器27
2.2互联网的工作原理27
2.2.1协议28
2.2.2开放系统互连模型29
2.2.3例子：周游世界……然后再回来30
2.3互联网协议组32
2.3.1互联网协议组的早期历史和开发过程33
2.3.2网际协议34
2.3.3传输控制协议38
2.3.4用户数据报协议40
2.4小结42
第3章证据获取43
3.1物理侦听43
3.1.1线缆44
3.1.2无线电频率48
3.1.3Hub49
3.1.4交换机50
3.2流量抓取软件52
3.2.1libpcap和WinPcap53
3.2.2伯克利包过滤（Berkeley Packet Filter，BPF）语言53
3.2.3tcpdump57
3.2.4Wireshark61
3.2.5tshark62
3.2.6dumpcap62
3.3主动式获取63
3.3.1常用接口63
3.3.2没有权限时咋办68
3.3.3策略68
3.4小结69
第二部分数据流分析
第4章数据包分析72
4.1协议分析73
4.1.1哪里可以得到协议信息73
4.1.2协议分析工具76
4.1.3协议分析技巧79
4.2包分析91
4.2.1包分析工具91
4.2.2包分析技术94
4.3流分析99
4.3.1流分析工具100
4.3.2流分析技术103
4.4分析更高层的传输协议113
4.4.1一些常用的高层协议114
4.4.2高层协议分析工具122
4.4.3高层协议分析技术124
4.5结论127
4.6案例研究：Ann的约会127
4.6.1分析：协议概要128
4.6.2DHCP通信128
4.6.3关键词搜索130
4.6.4SMTP分析——Wireshark133
4.6.5SMTP分析——TCPFlow136
4.6.6SMTP分析——附件提取137
4.6.7查看附件139
4.6.8找到Ann的简单方法140
4.6.9时间线145
4.6.10案件的理论推导145
4.6.11挑战赛问题的应答146
4.6.12下一步148
第5章流统计分析149
5.1处理过程概述150
5.2传感器151
5.2.1传感器类型151
5.2.2传感器软件152
5.2.3传感器位置153
5.2.4修改环境154
5.3流记录导出协议155
5.3.1NetFlow155
5.3.2IPFIX156
5.3.3sFlow156
5.4收集和汇总157
5.4.1收集器的位置和架构157
5.4.2数据收集系统158
5.5分析160
5.5.1流记录分析技术160
5.5.2流记录分析工具164
5.6结论169
5.7案例研究：奇怪的X先生169
5.7.1分析：第一步170
5.7.2外部攻击者和端口22的通信171
5.7.3DMZ中的受害者——10.30.30.20（也是172.30.1.231）174
5.7.4内部受害系统——192.30.1.101178
5.7.5时间线179
5.7.6案件分析180
5.7.7回应挑战赛问题180
5.7.8下一步181
第6章无线：无须网线的取证183
6.1IEEE第二层协议系列184
6.1.1为什么那么多第二层协议185
6.1.2802.11协议族186
6.1.3802.1X195
6.2无线接入点（WAP）196
6.2.1为什么要调查无线接入点196
6.2.2无线接入点的类型196
6.2.3WAP证据200
6.3无线数据捕获及分析201
6.3.1频谱分析201
6.3.2无线被动证据收集202
6.3.3有效地分析802.11203
6.4常见攻击类型205
6.4.1嗅探205
6.4.2未授权的无线接入点205
6.4.3邪恶双子208
6.4.4WEP破解208
6.5定位无线设备209
6.5.1获取设备描述210
6.5.2找出附近的无线接入点210
6.5.3信号强度211
6.5.4商业化企业级工具213
6.5.5Skyhook214
6.6总结215
6.7案例研究：HackMe公司215
6.7.1调查WAP216
6.7.2快速粗略的统计221
6.7.3对于管理帧的深层次观察226
6.7.4一个可能的“嫌疑犯”228
6.7.5时间线229
6.7.6案例总结230
6.7.7挑战问题的应答231
6.7.8下一步233
第7章网络入侵的侦测及分析235
7.1为什么要调查NIDS/NIPS236
7.2NIDS/NIPS的典型功能236
7.2.1嗅探236
7.2.2高层协议辨识237
7.2.3可疑字节的报警238
7.3检测的模式239
7.3.1基于特征的分析239
7.3.2协议辨识239
7.3.3行为分析239
7.4NIDS/NIPS的种类239
7.4.1商业化NIDS/NIPS239
7.4.2自我定制241
7.5NIDS/NIPS的电子证据采集241
7.5.1电子证据类型241
7.5.2NIDS/NIPS界面243
7.6综合性网络封包日志244
7.7Snort系统245
7.7.1基本结构246
7.7.2配置246
7.7.3Snort规则语言247
7.7.4例子249
7.8总结251
7.9教学案例：Inter0ptic拯救地球（第一部分）252
7.9.1分析：Snort警报253
7.9.2初步数据包分析254
7.9.3Snort规则分析255
7.9.4从Snort抓包数据中提取可疑文件257
7.9.5“INFOWebBug”警报257
7.9.6“TcpWindowScaleOption”警报259
7.9.7时间线261
7.9.8案情推测261
7.9.9下一步262
第三部分网络设备和服务器
第8章事件日志的聚合、关联和分析266
8.1日志来源267
8.1.1操作系统日志267
8.1.2应用日志275
8.1.3物理设备日志277
8.1.4网络设备日志279
8.2网络日志的体系结构280
8.2.1三种类型的日志记录架构280
8.2.2远程日志：常见问题及应对方法282
8.2.3日志聚合和分析工具283
8.3收集和分析证据285
8.3.1获取信息285
8.3.2策略制定286
8.3.3收集证据287
8.3.4分析289
8.3.5报告290
8.4总结290
8.5案例：L0neSh4rk的报复290
8.5.1初步分析291
8.5.2可视化失败的登录尝试292
8.5.3目标账户294
8.5.4成功登录295
8.5.5攻陷后的活动296
8.5.6防火墙日志297
8.5.7内部被害者——192.30.1.101300
8.5.8时间线301
8.5.9案件结论303
8.5.10对挑战问题的应答303
8.5.11下一步304
第9章交换机、路由器和防火墙305
9.1存储介质305
9.2交换机306
9.2.1为什么调查交换机306
9.2.2内容寻址内存表307
9.2.3地址解析协议307
9.2.4交换机类型308
9.2.5交换机证据309
9.3路由器310
9.3.1为什么调查路由器310
9.3.2路由器类型310
9.3.3路由器上的证据312
9.4防火墙313
9.4.1为什么调查防火墙313
9.4.2防火墙类型313
9.4.3防火墙证据315
9.5接口317
9.5.1Web接口317
9.5.2控制台命令行接口（CLI）318
9.5.3远程控制台319
9.5.4简单网络管理协议（SNMP）319
9.5.5私有接口320
9.6日志320
9.6.1本地日志321
9.6.2简单网络管理协议322
9.6.3syslog322
9.6.4身份验证、授权和账户日志323
9.7总结323
9.8案例研究：Ann的咖啡环323
9.8.1防火墙诊断命令325
9.8.2DHCP服务日志326
9.8.3防火墙访问控制列表327
9.8.4防火墙日志分析327
9.8.5时间线331
9.8.6案例分析332
9.8.7挑战问题的答复333
9.8.8下一步334
第10章Web代理335
10.1为什么要调查Web代理335
10.2Web代理的功能337
10.2.1缓存337
10.2.2URI过滤339
10.2.3内容过滤339
10.2.4分布式缓存339
10.3证据341
10.3.1证据的类型341
10.3.2获取证据342
10.4Squid342
10.4.1Squid的配置文件343
10.4.2Squid的Access日志文件343
10.4.3Squid缓存344
10.5Web代理分析346
10.5.1Web代理日志分析工具347
10.5.2例子：剖析一个Squid磁盘缓存350
10.6加密的Web流量357
10.6.1TLS（传输层安全）358
10.6.2访问加密的内容360
10.6.3商用的TLS/SSL拦截工具364
10.7小结364
10.8教学案例：Inter0ptic拯救地球（之二）365
10.8.1分析：pwny.jpg366
10.8.2Squid缓存的网页的提取368
10.8.3Squid的Access.log文件371
10.8.4进一步分析Squid缓存373
10.8.5时间线377
10.8.6案情推测379
10.8.7回答之前提出的问题380
10.8.8下一步381
第四部分不错议题
第11章网络隧道384
11.1功能型隧道384
11.1.1背景知识：VLAN链路聚集385
11.1.2交换机间链路（Inter-SwitchLink，ISL）385
11.1.3通用路由封装（GenericRoutingEncapsulation，GRE）386
11.1.4Teredo：IPv4网上的IPv6386
11.1.5对调查人员的意义387
11.2加密型隧道387
11.2.1IPsec388
11.2.2TLS和SSL389
11.2.3对取证人员的影响390
11.3隐蔽通信型隧道391
11.3.1策略391
11.3.2TCP序列号391
11.3.3DNS隧道392
11.3.4ICMP隧道393
11.3.5例子：分析ICMP隧道395
11.3.6对调查人员的影响398
11.4小结399
11.5案例教学：Ann的秘密隧道400
11.5.1分析：协议统计401
11.5.2DNS分析402
11.5.3追查隧道传输的IP包405
11.5.4对隧道传输的IP包的分析409
11.5.5对隧道传输的TCP报文段的分析412
11.5.6时间线414
11.5.7案情推测414
11.5.8回答之前提出的问题415
11.5.9下一步416
第12章恶意软件取证418
12.1恶意软件进化的趋势419
12.1.1僵尸网络419
12.1.2加密和混淆420
12.1.3分布式命令和控制系统422
12.1.4自动自我升级426
12.1.5变化形态的网络行为428
12.1.6混在网络活动中434
12.1.7Fast-FluxDNS436
12.1.8不错持续威胁（Advanced Persistent Threat，APT）437
12.2恶意软件的网络行为440
12.2.1传播441
12.2.2命令和控制通信443
12.2.3载荷的行为446
12.3未来的恶意软件和网络取证446
12.4教学案例：Ann的“极光行动”447
12.4.1分析：入侵检测447
12.4.2TCP会话：10.10.10.10:4444？10.10.10.70:1036449
12.4.3TCP会话：10.10.10.10:4445455
12.4.4TCP会话：10.10.10.10:8080-10.10.10.70:1035461
12.4.5时间线466
12.4.6案情推测467
12.4.7回答之前提出的问题468
12.4.8下一步468
后记470

内容摘要
网络取证是计算机取证技术的一个新的发展方向，是计算机网络技术与法学的交叉学科。本书是网络取证方面的第一本专著，一经出版便好评如潮，在Amazon网站上的评分达4.5星。
本书根据网络取证调查人员的实际需要，概述了网络取证的各个方面，不论是对各种网络协议的分析和对各种网络设备的处理方式，还是取证流程的设计都有独到之处。
本书共分四大部分十二章，第1章“实用调查策略”，第2章“技术基础”和第3章“证据获取”属于第一部分，其中给出了一个取证的方法框架，并介绍了相关的基础知识；第4章“数据包分析”，第5章“流统计分析”、第6章“无线：无须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分，介绍了对网络流量进行分析的各种技术；第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分，详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分，针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。
配送说明

...
相似商品
为你推荐