内存取证原理与实践
内存取证技术可以躲开黑客设置的陷阱,获取真实可信的计算机系统信息,特别是正在运行系统的信息。目前信息安全类图书市场上尚没有全面、完整和深入介绍内存取证技术理论和技术实际应用的书籍。跟随本书内容,读者可以一步一步学习如何获取内存信息(物理内存镜像、应用程序使用的内存),如何从内存信息中获取网络连接状态、进程信息、文件信息、用户信息、系统信息、应用程序信息等。本书完整地详细论述了内存取证技术的理论与技术原理,读者不仅能够知其然,而且也可以知其所以然。
内容简介
本书详细讨论了近年来计算机取证技术中热门并极富挑战性的内存取证技术,共15章。第1~4章首先对内存取证的发展和意义进行概述式的描述,然后对涉及的现代计算机软硬件技术基础进行简要介绍,*后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统(Windows、Linux和Mac)对内存分析进行更加深入的介绍。第11~15章介绍内存分析技术在*计算环境下的一些相关进展和技术,如移动设备的内存分析、云计算环境(虚拟机)下的内存分析应用。本书的读者对象为内存取证领域内本科生、研究生和科研人员,同时,对于具备计算机专业技术背景,并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员,本书同样是重要参考资料。
作者简介
王连海,研究员,工学博士,山东省计算机网络重点实验室总工,山东省区块链技术应用创新中心秘书长,享受国务院政府津贴,山东省有突出贡献的中青年专家,山东省优秀科技工作者。主要研究方向为区块链、计算机取证、网络安全和网络性能测试。
目 录
第1章内存取证技术概述1
1.1计算机取证技术1
1.2计算机取证技术的发展3
1.3计算机取证类型4
1.4内存取证7
1.5本章小结10
第2章内存取证基础知识11
2.1PC硬件架构11
2.2内存管理14
2.3地址转换17
2.4ARM架构21
2.5本章小结23
第3章内存获取技术24
3.1基于软件的内存获取技术和工具24
3.2基于硬件的内存获取技术和工具28
3.3禁止DMA获取内存的技术33
3.4内存获取的其他方式36
3.5本章小结38
第4章基于物理内存分析的在线取证模型及其可信性评估39
4.1基于物理内存分析的在线取证模型39
4.2影响内存获取可信性的因素41
4.3基于测量理论的内存取证的可信性评估43
4.4内存获取的精密度、准确度和系统误差分析45
4.5内存获取工具的加载活动覆盖关键痕迹的概率50
4.6内存镜像文件提取的数据与实际电子数据之间的比较52
4.7本章小结54
第5章Windows内存分析原理55
5.1Windows操作系统关键组件55
5.2基于系统组件名称查找的Windows内存分析方法57
5.3基于池特征扫描的内存分析方法61
5.4基于KPCR结构的方法66
5.5本章小结74
第6章Windows内存分析75
6.1进程信息分析75
6.2Windows事件日志内存分析92
6.3Windows注册表内存分析95
6.4Windows内存的网络信息分析102
6.5Windows服务的内存分析106
6.6Windows内存中的文件110
6.7从PageFile中获取更多内存数据111
6.8本章小结113
第7章Linux操作系统内存分析原理114
7.1Linux操作系统关键组件114
7.2ELF二进制格式122
7.3Volatility物理内存分析方法128
7.4不依赖于内核符号表文件的Linux物理内存分析方法129
7.5本章小结132
第8章Linux内存分析133
8.1进程信息133
8.2文件系统信息141
8.3网络连接信息145
8.4模块信息149
8.5系统信息152
8.6交换文件的分析156
8.7本章小结158
第9章MacOS内存分析原理159
9.1MacOS的发展史159
9.2MacOSX架构162
9.3Mach-O可执行文件格式167
9.4内核符号表170
9.5内核用户空间虚拟地址的划分170
9.6内核地址空间布局随机化171
9.7地址转换172
9.8MatthieuSuiche的MacOS内存分析原理174
9.9不依赖mach_kernel文件的MacOS内存分析方法174
9.10本章小结177
第10章MacOS内存分析技术178
10.1系统配置信息的分析178
10.2挂载的文件系统信息的分析179
10.3进程信息的分析181
10.4内核扩展(驱动、内核模块)的分析195
10.5系统调用的分析196
10.6网络信息的分析197
10.7SLAB分配器的分析201
10.8Bash命令的获取203
10.9内核调试缓冲区信息的获取203
10.10本章小结204
第11章安卓智能手机内存取证205
11.1智能手机的硬件组成206
11.2从数字取证到智能手机取证207
11.3智能手机的数据获取210
11.4安卓系统概述211
11.5安卓智能手机内存获取214
11.6安卓智能手机内存分析218
11.7本章小结222
第12章内存分析在云安全中的应用223
12.1云计算服务模型223
12.2虚拟化环境下面临的安全风险及研究现状225
12.3基于内存分析的虚拟机安全监控方法227
12.4基于内存旁路的云安全威胁监控技术239
12.5本章小结242
第13章基于uKey的认证机制的破解243
13.1身份认证技术243
13.2uKey的认证机制244
13.3破解基于uKey的Windows登录认证机制249
13.4本章小结255
第14章木马的检测分析256
14.1恶意代码256
14.2APT攻击263
14.3Windows特种木马检测266
14.4Linux恶意代码检测291
14.5MacOS恶意代码检测309
14.6本章小结318
第15章系统密码的破解319
15.1密码认证机制319
15.2Windows系统密码破解325
15.3Linux系统密码破解330
15.4MacOSX登录屏保密码破解331
15.5以修改内存方式向MacOS植入应用程序335
15.6本章小结337
参考文献339
内容简介
本书详细讨论了近年来计算机取证技术中热门并极富挑战性的内存取证技术,共15章。第1~4章首先对内存取证的发展和意义进行概述式的描述,然后对涉及的现代计算机软硬件技术基础进行简要介绍,*后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统(Windows、Linux和Mac)对内存分析进行更加深入的介绍。第11~15章介绍内存分析技术在*计算环境下的一些相关进展和技术,如移动设备的内存分析、云计算环境(虚拟机)下的内存分析应用。本书的读者对象为内存取证领域内本科生、研究生和科研人员,同时,对于具备计算机专业技术背景,并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员,本书同样是重要参考资料。
作者简介
王连海,研究员,工学博士,山东省计算机网络重点实验室总工,山东省区块链技术应用创新中心秘书长,享受国务院政府津贴,山东省有突出贡献的中青年专家,山东省优秀科技工作者。主要研究方向为区块链、计算机取证、网络安全和网络性能测试。
目 录
第1章内存取证技术概述1
1.1计算机取证技术1
1.2计算机取证技术的发展3
1.3计算机取证类型4
1.4内存取证7
1.5本章小结10
第2章内存取证基础知识11
2.1PC硬件架构11
2.2内存管理14
2.3地址转换17
2.4ARM架构21
2.5本章小结23
第3章内存获取技术24
3.1基于软件的内存获取技术和工具24
3.2基于硬件的内存获取技术和工具28
3.3禁止DMA获取内存的技术33
3.4内存获取的其他方式36
3.5本章小结38
第4章基于物理内存分析的在线取证模型及其可信性评估39
4.1基于物理内存分析的在线取证模型39
4.2影响内存获取可信性的因素41
4.3基于测量理论的内存取证的可信性评估43
4.4内存获取的精密度、准确度和系统误差分析45
4.5内存获取工具的加载活动覆盖关键痕迹的概率50
4.6内存镜像文件提取的数据与实际电子数据之间的比较52
4.7本章小结54
第5章Windows内存分析原理55
5.1Windows操作系统关键组件55
5.2基于系统组件名称查找的Windows内存分析方法57
5.3基于池特征扫描的内存分析方法61
5.4基于KPCR结构的方法66
5.5本章小结74
第6章Windows内存分析75
6.1进程信息分析75
6.2Windows事件日志内存分析92
6.3Windows注册表内存分析95
6.4Windows内存的网络信息分析102
6.5Windows服务的内存分析106
6.6Windows内存中的文件110
6.7从PageFile中获取更多内存数据111
6.8本章小结113
第7章Linux操作系统内存分析原理114
7.1Linux操作系统关键组件114
7.2ELF二进制格式122
7.3Volatility物理内存分析方法128
7.4不依赖于内核符号表文件的Linux物理内存分析方法129
7.5本章小结132
第8章Linux内存分析133
8.1进程信息133
8.2文件系统信息141
8.3网络连接信息145
8.4模块信息149
8.5系统信息152
8.6交换文件的分析156
8.7本章小结158
第9章MacOS内存分析原理159
9.1MacOS的发展史159
9.2MacOSX架构162
9.3Mach-O可执行文件格式167
9.4内核符号表170
9.5内核用户空间虚拟地址的划分170
9.6内核地址空间布局随机化171
9.7地址转换172
9.8MatthieuSuiche的MacOS内存分析原理174
9.9不依赖mach_kernel文件的MacOS内存分析方法174
9.10本章小结177
第10章MacOS内存分析技术178
10.1系统配置信息的分析178
10.2挂载的文件系统信息的分析179
10.3进程信息的分析181
10.4内核扩展(驱动、内核模块)的分析195
10.5系统调用的分析196
10.6网络信息的分析197
10.7SLAB分配器的分析201
10.8Bash命令的获取203
10.9内核调试缓冲区信息的获取203
10.10本章小结204
第11章安卓智能手机内存取证205
11.1智能手机的硬件组成206
11.2从数字取证到智能手机取证207
11.3智能手机的数据获取210
11.4安卓系统概述211
11.5安卓智能手机内存获取214
11.6安卓智能手机内存分析218
11.7本章小结222
第12章内存分析在云安全中的应用223
12.1云计算服务模型223
12.2虚拟化环境下面临的安全风险及研究现状225
12.3基于内存分析的虚拟机安全监控方法227
12.4基于内存旁路的云安全威胁监控技术239
12.5本章小结242
第13章基于uKey的认证机制的破解243
13.1身份认证技术243
13.2uKey的认证机制244
13.3破解基于uKey的Windows登录认证机制249
13.4本章小结255
第14章木马的检测分析256
14.1恶意代码256
14.2APT攻击263
14.3Windows特种木马检测266
14.4Linux恶意代码检测291
14.5MacOS恶意代码检测309
14.6本章小结318
第15章系统密码的破解319
15.1密码认证机制319
15.2Windows系统密码破解325
15.3Linux系统密码破解330
15.4MacOSX登录屏保密码破解331
15.5以修改内存方式向MacOS植入应用程序335
15.6本章小结337
参考文献339
精选留言