網(wǎng)絡(luò)取證是計算機(jī)取證技術(shù)的一個新的發(fā)展方向,是計算機(jī)網(wǎng)絡(luò)技術(shù)與法學(xué)的交叉學(xué)科。《黑客大追蹤:網(wǎng)絡(luò)取證核心原理與實踐》是網(wǎng)絡(luò)取證方面的及時本專著,一經(jīng)出版便好評如潮,在Amazon網(wǎng)站上的評分達(dá)4.5星。
《黑客大追蹤:網(wǎng)絡(luò)取證核心原理與實踐》根據(jù)網(wǎng)絡(luò)取證調(diào)查人員的實際需要,概述了網(wǎng)絡(luò)取證的各個方面,不論是對各種網(wǎng)絡(luò)協(xié)議的分析和對各種網(wǎng)絡(luò)設(shè)備的處理方式,還是取證流程的設(shè)計都有獨到之處。
《黑客大追蹤:網(wǎng)絡(luò)取證核心原理與實踐》共分四大部分十二章,第1章"實用調(diào)查策略",第2章"技術(shù)基礎(chǔ)"和第3章"證據(jù)獲取"屬于及時部分,其中給出了一個取證的方法框架,并介紹了相關(guān)的基礎(chǔ)知識;第4章"數(shù)據(jù)包分析",第5章"流統(tǒng)計分析"、第6章"無線:無須網(wǎng)線的取證"和第7章"網(wǎng)絡(luò)入侵的偵測及分析"屬于第二部分,介紹了對網(wǎng)絡(luò)流量進(jìn)行分析的各種技術(shù);第8章"事件日志的聚合、關(guān)聯(lián)和分析"、第9章"交換器、路由器、防火墻"和第10章"Web"屬于第三部分,詳述了在各種網(wǎng)絡(luò)設(shè)備和服務(wù)器中獲取和分析證據(jù)的方法。第11章"網(wǎng)絡(luò)隧道"和第12章"惡意軟件取證"屬于第四部分,針對網(wǎng)絡(luò)隧道和惡意軟件分析這兩個網(wǎng)絡(luò)取證中的難點和熱點問題展開討論。
《黑客大追蹤:網(wǎng)絡(luò)取證核心原理與實踐》在學(xué)術(shù)理論上具有交叉性、前沿性和創(chuàng)新性,在實踐應(yīng)用中注重可操作性和實用性。可作為網(wǎng)絡(luò)安全/計算機(jī)取證專業(yè)的教材,對于司法工作者、律師、司法鑒定人和IT從業(yè)人員,也具有良好的參考價值。
推薦購買:
《揭秘家用路由器0day漏洞挖掘技術(shù)》:全球本關(guān)于家用路由器底層安全分析的書籍!系統(tǒng)剖析路由器硬件分析之道。技術(shù)要點與實踐可延伸到智能物聯(lián)、工控系統(tǒng)等新興領(lǐng)域!吳石、余弦推薦!
《Android安全攻防實戰(zhàn)》:極其實用的Android安全攻防快速學(xué)習(xí)手冊。大量Android攻防示例代碼、安全攻防工具、技能一站式學(xué)習(xí)。
《iOS應(yīng)用安全攻防實戰(zhàn)》:看過本書的朋友,能夠?qū)⒆约旱膇OS應(yīng)用在安全方面的得分,從不及格提升到80分!
《惡意代碼分析實戰(zhàn)》:迄今為止的一本惡意代碼分析指南,專業(yè)人士案頭必備
《線上幽靈:世界頭號黑客米特尼克自傳》:頭號黑客傳奇人生的啟迪!
、實用、快速掌握網(wǎng)絡(luò)取證核心要點與實踐,讓網(wǎng)絡(luò)犯罪無所遁形!
這是一本詳細(xì)結(jié)合網(wǎng)絡(luò)技術(shù)與法學(xué)要素分析的專著,亞馬遜五星好評!
隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)與應(yīng)用如火如荼的發(fā)展,網(wǎng)絡(luò)安全問題也日益呈現(xiàn)出復(fù)雜化、多樣化、海量化的特征。網(wǎng)絡(luò)取證成為打擊層出不窮的網(wǎng)絡(luò)犯罪的重要依據(jù)。
《黑客大追蹤:網(wǎng)絡(luò)取證核心原理與實踐》囊括了網(wǎng)絡(luò)取證中的所有重要的主題,結(jié)合大量案例介紹取證工具和方法,提供了完整的網(wǎng)絡(luò)取證的分析思路與實踐方法,不僅對專業(yè)的網(wǎng)絡(luò)取證分析師有直接的幫助,也對網(wǎng)絡(luò)安全從業(yè)人員、學(xué)生及對此有興趣的人群有重要的參考價值
及時部分 基礎(chǔ)篇
第1章 實用調(diào)查策略 2
1.1 真實的案例 2
1.1.1 醫(yī)院里被盜的筆記本電腦 3
1.1.2 發(fā)現(xiàn)公司的網(wǎng)絡(luò)被用于傳播盜版 5
1.1.3 被黑的政府服務(wù)器 6
1.2 足跡 7
1.3 電子證據(jù)的概念 8
1.3.1 實物證據(jù) 9
1.3.2 證據(jù) 9
1.3.3 直接證據(jù) 10
1.3.4 情況證據(jù) 11
1.3.5 傳聞證據(jù) 11
1.3.6 經(jīng)營記錄 12
1.3.7 電子證據(jù) 13
1.3.8 基于網(wǎng)絡(luò)的電子證據(jù) 14
1.4 關(guān)于網(wǎng)絡(luò)證據(jù)相關(guān)的挑戰(zhàn) 14
1.5 網(wǎng)絡(luò)取證調(diào)查方法(OSCAR) 15
1.5.1 獲取信息 15
1.5.2 制訂方案 16
1.5.3 收集證據(jù) 17
1.5.4 分析 18
1.5.5 出具報告 19
1.6 小結(jié) 19
第2章 技術(shù)基礎(chǔ) 21
2.1 基于網(wǎng)絡(luò)的證據(jù)來源 21
2.1.1 物理線纜 22
2.1.2 無線網(wǎng)絡(luò)空口 22
2.1.3 交換機(jī) 23
2.1.4 路由器 23
2.1.5 DHCP服務(wù)器 24
2.1.6 域名服務(wù)器 24
2.1.7 登錄認(rèn)證服務(wù)器 25
2.1.8 網(wǎng)絡(luò)入侵檢測/防御系統(tǒng) 25
2.1.9 防火墻 25
2.1.10 Web 26
2.1.11 應(yīng)用服務(wù)器 27
2.1.12 中央日志服務(wù)器 27
2.2 互聯(lián)網(wǎng)的工作原理 27
2.2.1 協(xié)議 28
2.2.2 開放系統(tǒng)互連模型 29
2.2.3 例子:周游世界……然后再回來 30
2.3 互聯(lián)網(wǎng)協(xié)議組 32
2.3.1 互聯(lián)網(wǎng)協(xié)議組的早期歷史和開發(fā)過程 33
2.3.2 網(wǎng)際協(xié)議 34
2.3.3 傳輸控制協(xié)議 38
2.3.4 用戶數(shù)據(jù)報協(xié)議 40
2.4 小結(jié) 42
第3章 證據(jù)獲取 43
3.1 物理偵聽 43
3.1.1 線纜 44
3.1.2 無線電頻率 48
3.1.3 Hub 49
3.1.4 交換機(jī) 50
3.2 流量抓取軟件 52
3.2.1 libpcap和WinPcap 53
3.2.2 伯克利包過濾(Berkeley Packet Filter,BPF)語言 53
3.2.3 tcpdump 57
3.2.4 Wireshark 61
3.2.5 tshark 62
3.2.6 dumpcap 62
3.3 主動式獲取 63
3.3.1 常用接口 63
3.3.2 沒有權(quán)咋辦 68
3.3.3 策略 68
3.4 小結(jié) 69
第二部分 數(shù)據(jù)流分析
第4章 數(shù)據(jù)包分析 72
4.1 協(xié)議分析 73
4.1.1 哪里可以得到協(xié)議信息 73
4.1.2 協(xié)議分析工具 76
4.1.3 協(xié)議分析技巧 79
4.2 包分析 91
4.2.1 包分析工具 91
4.2.2 包分析技術(shù) 94
4.3 流分析 99
4.3.1 流分析工具 100
4.3.2 流分析技術(shù) 103
4.4 分析更高層的傳輸協(xié)議 113
4.4.1 一些常用的高層協(xié)議 114
4.4.2 高層協(xié)議分析工具 122
4.4.3 高層協(xié)議分析技術(shù) 124
4.5 結(jié)論 127
4.6 案例研究:Ann的約會 127
4.6.1 分析:協(xié)議概要 128
4.6.2 DHCP通信 128
4.6.3 關(guān)鍵詞搜索 130
4.6.4 SMTP分析——Wireshark 133
4.6.5 SMTP分析——TCPFlow 136
4.6.6 SMTP 分析——附件提取 137
4.6.7 查看附件 139
4.6.8 找到Ann的簡單方法 140
4.6.9 時間線 145
4.6.10 案件的理論推導(dǎo) 145
4.6.11 挑戰(zhàn)賽問題的應(yīng)答 146
4.6.12 下一步 148
序
我的曾祖父是個木匠。我現(xiàn)在就趴在他做的桌子上,坐著他做的椅子寫這篇序。他的世界是一門手藝,"熟能生巧"。他生命后期的作品,即使表面上看是個與某個早期作品一樣的東西,但旁人仍能看出他技藝的精湛。
網(wǎng)絡(luò)安全的特點是其革新速度——不光是迅速增長的進(jìn)步,還有那些時不時冒出來的"驚喜"。用數(shù)學(xué)術(shù)語說,網(wǎng)絡(luò)安全的"功系數(shù)"是不斷被技術(shù)進(jìn)步打斷的階梯函數(shù)的積分。我的祖先在提高他的技藝時,可不會受困于胡桃木、鋼鐵或亞麻籽等原材料性狀的改變,但在現(xiàn)如今提升網(wǎng)絡(luò)安全水平時可沒有這么好運(yùn)。
乍一看,取證好像只是為解釋已經(jīng)發(fā)生的事而做的簡單活計,因此還顯得有些矯情。但事實并非如此,究其原因在于它的復(fù)雜性。這個復(fù)雜性是逐漸積累起來的。而且,就像作者在一開始說過的那樣,如果積累足夠多的話,即便只是一個最簡單的網(wǎng)絡(luò),想知道其中發(fā)生的所有事也會變得不可能。因此,取證的目的就在于揭示那些發(fā)生在網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施上的,有意義的,先前不為人知的重要因素。只有在知道了這些因素之后,將來才真正有改進(jìn)的機(jī)會。
取證是一門藝術(shù),勤能補(bǔ)拙。取證的發(fā)現(xiàn)過程就在于排除正在調(diào)查的事件的可能成因。就像雕刻時,我們的目的就是去掉所有使它看上去不像一頭大象的多余石料一樣,取證也是要去掉所有經(jīng)觀察并不成立的假說,并最終得出結(jié)論。套用EF 舒馬赫的觀點,取證是個收斂的問題;但網(wǎng)絡(luò)安全卻是個發(fā)散的問題。換而言之,在取證中付出的努力越多,解的集合就越趨向于某一個答案,但這一結(jié)論在一般的網(wǎng)絡(luò)安全問題上卻不成立。
或許我們應(yīng)該說:取證不是一門關(guān)于安全的學(xué)科,而是一門關(guān)于"不安全"的學(xué)科。安全是關(guān)于所有潛在的事件的,正如Peter Bernstein的定義:"風(fēng)險就是諸多難以預(yù)見的情況"。取證不必從越來越復(fù)雜的事實中歸納出各種可能性,只須推導(dǎo)出其"何以至此"的原因即可。然而,一般來說,在網(wǎng)絡(luò)安全中,犯罪分子總是有一種先天的優(yōu)勢,而在取證中,是防御者擁有這一優(yōu)勢。
取證是門藝術(shù),"真的假不了,假的真不了"是它天生具有的戰(zhàn)略優(yōu)勢。對你(現(xiàn)在或?qū)淼娜∽C人員)來說,你的任務(wù)就是在你擁有戰(zhàn)略優(yōu)勢的地方提高你的技藝——不光是理論上的,還要有實際操作技能。這就是你需要這本書的原因。
技精于學(xué)生是老師的義務(wù),而"青出于藍(lán)而勝于藍(lán)"同樣也是學(xué)生的責(zé)任。但是在變成頂尖高手之前,你還是需要老師的教導(dǎo),超越他們并非易事。說到底,技藝非凡的大師能讓你知道當(dāng)前的工具箱中哪些東西是一直能用的,哪些是隨著時代的進(jìn)步可能被淘汰掉的。他同樣也能清楚地知道,你缺些什么。從這個角度來講,這本書的篇幅安排是大師所選。序
我的曾祖父是個木匠。我現(xiàn)在就趴在他做的桌子上,坐著他做的椅子寫這篇序。他的世界是一門手藝,"熟能生巧"。他生命后期的作品,即使表面上看是個與某個早期作品一樣的東西,但旁人仍能看出他技藝的精湛。
網(wǎng)絡(luò)安全的特點是其革新速度——不光是迅速增長的進(jìn)步,還有那些時不時冒出來的"驚喜"。用數(shù)學(xué)術(shù)語說,網(wǎng)絡(luò)安全的"功系數(shù)"是不斷被技術(shù)進(jìn)步打斷的階梯函數(shù)的積分。我的祖先在提高他的技藝時,可不會受困于胡桃木、鋼鐵或亞麻籽等原材料性狀的改變,但在現(xiàn)如今提升網(wǎng)絡(luò)安全水平時可沒有這么好運(yùn)。
乍一看,取證好像只是為解釋已經(jīng)發(fā)生的事而做的簡單活計,因此還顯得有些矯情。但事實并非如此,究其原因在于它的復(fù)雜性。這個復(fù)雜性是逐漸積累起來的。而且,就像作者在一開始說過的那樣,如果積累足夠多的話,即便只是一個最簡單的網(wǎng)絡(luò),想知道其中發(fā)生的所有事也會變得不可能。因此,取證的目的就在于揭示那些發(fā)生在網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施上的,有意義的,先前不為人知的重要因素。只有在知道了這些因素之后,將來才真正有改進(jìn)的機(jī)會。
取證是一門藝術(shù),勤能補(bǔ)拙。取證的發(fā)現(xiàn)過程就在于排除正在調(diào)查的事件的可能成因。就像雕刻時,我們的目的就是去掉所有使它看上去不像一頭大象的多余石料一樣,取證也是要去掉所有經(jīng)觀察并不成立的假說,并最終得出結(jié)論。套用EF 舒馬赫的觀點,取證是個收斂的問題;但網(wǎng)絡(luò)安全卻是個發(fā)散的問題。換而言之,在取證中付出的努力越多,解的集合就越趨向于某一個答案,但這一結(jié)論在一般的網(wǎng)絡(luò)安全問題上卻不成立。
或許我們應(yīng)該說:取證不是一門關(guān)于安全的學(xué)科,而是一門關(guān)于"不安全"的學(xué)科。安全是關(guān)于所有潛在的事件的,正如Peter Bernstein的定義:"風(fēng)險就是諸多難以預(yù)見的情況"。取證不必從越來越復(fù)雜的事實中歸納出各種可能性,只須推導(dǎo)出其"何以至此"的原因即可。然而,一般來說,在網(wǎng)絡(luò)安全中,犯罪分子總是有一種先天的優(yōu)勢,而在取證中,是防御者擁有這一優(yōu)勢。
取證是門藝術(shù),"真的假不了,假的真不了"是它天生具有的戰(zhàn)略優(yōu)勢。對你(現(xiàn)在或?qū)淼娜∽C人員)來說,你的任務(wù)就是在你擁有戰(zhàn)略優(yōu)勢的地方提高你的技藝——不光是理論上的,還要有實際操作技能。這就是你需要這本書的原因。
技精于學(xué)生是老師的義務(wù),而"青出于藍(lán)而勝于藍(lán)"同樣也是學(xué)生的責(zé)任。但是在變成頂尖高手之前,你還是需要老師的教導(dǎo),超越他們并非易事。說到底,技藝非凡的大師能讓你知道當(dāng)前的工具箱中哪些東西是一直能用的,哪些是隨著時代的進(jìn)步可能被淘汰掉的。他同樣也能清楚地知道,你缺些什么。從這個角度來講,這本書的篇幅安排是大師所選。
基本上,由于每起案件案情的不同,各個案件的取證調(diào)查過程中,各自所需的工具集也都不盡相同,所以好的辦法就是擁有所有會用到的專業(yè)工具,當(dāng)然其中的一些工具的使用頻率會高于其他工具。將工具集的作用發(fā)揮到的前提是:你深入了解其中的每個功能,當(dāng)然,這并不是說你需要而無須經(jīng)常使用其中的每一個工具。Nicholas Taleb是這樣描述Unberto Eco的逆圖書收藏主義的:"……應(yīng)該在你的經(jīng)濟(jì)狀況、按揭利率以及不動產(chǎn)資產(chǎn)允許的情況下,盡可能多地收集你所不了解的資料。"
你,親愛的讀者,能拿到這樣一本與眾不同的取證書籍,且讀且珍惜!
Daniel E. Geer, Jr., Sc.D.
譯者序
這是一本視角獨特的電子取證書籍,令人耳目一新!
我自從2002年起從事電子取證工作至今已有十余年了,應(yīng)該說這一行里幾乎一直不停地涌現(xiàn)出新的技術(shù)、思路,你看嘛:
十幾年前,幾乎所有的取證書籍討論的都只有一件事——數(shù)據(jù)恢復(fù)/文件系統(tǒng)分析。好像憑著一手?jǐn)?shù)據(jù)恢復(fù)技術(shù)就能包打天下了。2005年出版的File System Forensic Analysis是個巔峰,至此文件系統(tǒng)分析技術(shù)已經(jīng)非常成熟了,并出現(xiàn)了各種傻瓜式的工具。毫不夸張地說,現(xiàn)在用一樣的工具,一個初出茅廬的新手做數(shù)據(jù)恢復(fù),得到的結(jié)果已經(jīng)和老鳥們差不多了——到停滯期了?才不是呢!
接下來的幾年時間里,各種奇招、怪招、損招層出不窮。拿注冊表里的各種信息(比如通過注冊表里緩存的驅(qū)動信息,倒推計算機(jī)上曾插過幾個什么樣的USB設(shè)備),分析內(nèi)存中的數(shù)據(jù)(找被rootkit隱藏的進(jìn)程/數(shù)據(jù)),分析應(yīng)用程序存儲下來的信息(比如拿各種IM工具的聊天記錄),對應(yīng)用程序/病毒木馬本身進(jìn)行分析從中獲取信息(比如上海2009.7.18私車額度拍賣網(wǎng)站遭DDOS攻擊案,就是我通過分析攻擊用的木馬破獲的),等等不一而足。我本人也分別在2008年和2012年在安全焦點峰會上提出過利用信息熵分析重構(gòu)raid 5陣列和針對單個文件(而非文件系統(tǒng))做數(shù)據(jù)恢復(fù)的兩個思路,也曾和一些朋友合作翻譯出版了《Windows取證分析》一書,綜述了當(dāng)年Windows平臺下的取證技巧。
不過,這條路貌似又有點……,單機(jī)平臺上能挖的地方基本上都已經(jīng)過了一遍了,再要找點新鮮的實在是難啊……
上面的歷史經(jīng)驗告訴我們,每到這樣的關(guān)頭就會有全新的思路出現(xiàn)。問題是這個全新的思路是什么呢?是Android/iOS平臺?當(dāng)然這是非常有可能的,不過不要忘了還有另一個重要方向——網(wǎng)絡(luò)取證,也就是本書的主題。
任何技術(shù)要發(fā)展都離不開天時、地利、人和。天時者,時代大背景也。目前移動網(wǎng)絡(luò)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的發(fā)展普及是所謂"天時",正如第1章中的那個案例那樣,現(xiàn)在丟個手機(jī)都能通過單位內(nèi)部的Wi-Fi熱點日志尋蹤,這在以前是不可想象的。離開這個背景去談網(wǎng)絡(luò)取證都是扯;地利者,所需的各類設(shè)備上取證技術(shù)的成熟。網(wǎng)絡(luò)設(shè)備種類繁多,但隨著近年來網(wǎng)絡(luò)設(shè)備的普及,這些設(shè)備的操作方法也不再是少數(shù)人的專利了,越來越多的人能玩轉(zhuǎn)這些設(shè)備是基礎(chǔ);人和者,人的觀念。自從內(nèi)存取證的概念被提出來之后,證據(jù)的易滅失等級就開始受到了大家的重視。傳統(tǒng)的計算機(jī)取證的眼光囿于計算機(jī)單機(jī)設(shè)備,我們的思路總是從某一臺具體的設(shè)備入手進(jìn)行分析的。盡管我們也強(qiáng)調(diào)電子現(xiàn)場的還原,但那也僅僅是囿于某臺設(shè)備內(nèi)部狀態(tài)的保護(hù)和分析。有人說,具體辦案時不是一樣會把各臺設(shè)備中獲得的信息串到一起分析嗎?這不就是網(wǎng)絡(luò)取證嗎?還真不一樣!因為網(wǎng)絡(luò)取證是把網(wǎng)絡(luò)整體看作一個現(xiàn)場的高度。這個高度的上升立馬導(dǎo)致你分析問題的思路發(fā)生了變化。現(xiàn)在你會考慮各個設(shè)備上證據(jù)的易滅失等級,容易滅失的先取,不容易滅失的后取。而不像以前看到一臺設(shè)備,不分析網(wǎng)絡(luò)就拉起袖子開始干活了,結(jié)果導(dǎo)致因為沒有及時勘查載有易滅失證據(jù)的設(shè)備而造成證據(jù)的長期性丟失。在這方面,本書作者提出的OSCAR方法是個亮點。
也正是由于這些原因,這本Network Forensics: Tracking Hackers through Cyberspace自從2012年6月出版后,在Amazon上一直深受好評排名居高不下。我有幸讀到這本書,并將其推薦到國內(nèi),深感壓力。
本書的翻譯團(tuán)隊是個非常強(qiáng)大的團(tuán)隊,有經(jīng)驗豐富的鑒定師(擁有公安部和司法部認(rèn)證的電子數(shù)據(jù)鑒定資質(zhì)的鑒定人各一名),也有來自一線的技術(shù)支持人員和網(wǎng)絡(luò)安全保衛(wèi)實戰(zhàn)單位的辦案民警,還有教學(xué)經(jīng)驗豐富的外語專業(yè)教師。這也是一次公安專業(yè)院校與地方網(wǎng)絡(luò)安全/電子取證專業(yè)團(tuán)隊合作的嘗試。全書十二章內(nèi)容翻譯的分工安排如下:
第1章由武曉音同志翻譯,第2章由龔濟(jì)悅同志翻譯,第3章由殷方同志翻譯,第4、5、6、7、8、9章由上海弘連網(wǎng)絡(luò)科技有限公司的陸道宏同志及數(shù)字犯罪調(diào)查小組(DCI)的沈永安、羅鳴和蹇星亮同志翻譯,第10章由王宏同志翻譯,第11、12章及剩余其他部分由我翻譯。全書由我和陸道宏同志統(tǒng)一審校。除陸道宏、沈永安、羅鳴和蹇星亮同志之外的其他譯者均為上海公安高等專科學(xué)校信息化、涉外警務(wù)等教研室的教師教官。本書中文版的面世首先要感謝各位譯者付出的辛勤勞動。
其次,我要感謝博文視點的各位編輯老師,特別是顧慧芳、劉皎老師,感謝你們對我的一貫支持和耐心的指導(dǎo),使我從中獲益良多!同時也感謝你們?yōu)楸緯某霭嫠ㄙM的大量時間!
當(dāng)前,提出了"把我國從網(wǎng)絡(luò)大國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國"的戰(zhàn)略構(gòu)想,2013版的《中華人民共和國刑事訴訟法》中也首次將電子數(shù)據(jù)作為一種正式的法定證據(jù)類型。可以預(yù)見,網(wǎng)絡(luò)安全-電子取證工作在我國將會有一個較大的發(fā)展。本書既可供廣大從事電子取證教學(xué)和實際工作的人員閱讀,也計劃作為我校偵查專業(yè)第二本科電子取證類課程的參考資料使用。
崔孝晨
2014年5月
當(dāng)安全圈前輩cnhawk找到我,希望我為這本由崔孝晨老師及公安系統(tǒng)一線專家團(tuán)隊翻譯的亞馬遜5星暢銷書寫份推薦的時候,小生何其惶恐。網(wǎng)絡(luò)犯罪取證和黑客追蹤溯源,不但是"貓捉老鼠"般的斗智斗力,更需要偵查人員廣博深厚的知識技術(shù)水平和長時間的經(jīng)驗積累。
在這個領(lǐng)域,小生沉醉多年,從最開始摸索如何利用Network general 的sniffer portable便攜式設(shè)備抵近目標(biāo)局域網(wǎng),到利用網(wǎng)關(guān)設(shè)備旁路分光/鏡像采集、分析重要內(nèi)網(wǎng)網(wǎng)絡(luò)流量和協(xié)議,再到利用機(jī)器學(xué)習(xí)方法挖掘處理海量日志和社工證據(jù),更親身實踐過先進(jìn)木馬和僵尸網(wǎng)絡(luò)的攻防對抗……10多年一路走來,深感網(wǎng)絡(luò)取證追蹤領(lǐng)域的浩瀚復(fù)雜、相關(guān)技術(shù)資料搜集整理的艱辛,更為"如何構(gòu)建完備的網(wǎng)絡(luò)取證知識技能體系?如何將長期以來在各個層次實施取證/對抗的經(jīng)驗教訓(xùn)進(jìn)行系統(tǒng)化的梳理?"這個巨大的課題而長期的困惑著……直到我讀完這本書。
從本地取證到網(wǎng)絡(luò)追蹤,遠(yuǎn)不僅僅是從磁盤數(shù)據(jù)恢復(fù)+內(nèi)存dump到網(wǎng)絡(luò)數(shù)據(jù)包截獲分析的"升級",而是實現(xiàn)了從"單點證據(jù)采集"到"全域、多層次海量數(shù)據(jù)證據(jù)鏈信息的挖掘推理"的躍變。取證的裝備和技術(shù)在發(fā)展,偵查人員的思維和眼界更要改變。當(dāng)安全圈前輩cnhawk找到我,希望我為這本由崔孝晨老師及公安系統(tǒng)一線專家團(tuán)隊翻譯的亞馬遜5星暢銷書寫份推薦的時候,小生何其惶恐。網(wǎng)絡(luò)犯罪取證和黑客追蹤溯源,不但是"貓捉老鼠"般的斗智斗力,更需要偵查人員廣博深厚的知識技術(shù)水平和長時間的經(jīng)驗積累。
在這個領(lǐng)域,小生沉醉多年,從最開始摸索如何利用Network general 的sniffer portable便攜式設(shè)備抵近目標(biāo)局域網(wǎng),到利用網(wǎng)關(guān)設(shè)備旁路分光/鏡像采集、分析重要內(nèi)網(wǎng)網(wǎng)絡(luò)流量和協(xié)議,再到利用機(jī)器學(xué)習(xí)方法挖掘處理海量日志和社工證據(jù),更親身實踐過先進(jìn)木馬和僵尸網(wǎng)絡(luò)的攻防對抗……10多年一路走來,深感網(wǎng)絡(luò)取證追蹤領(lǐng)域的浩瀚復(fù)雜、相關(guān)技術(shù)資料搜集整理的艱辛,更為"如何構(gòu)建完備的網(wǎng)絡(luò)取證知識技能體系?如何將長期以來在各個層次實施取證/對抗的經(jīng)驗教訓(xùn)進(jìn)行系統(tǒng)化的梳理?"這個巨大的課題而長期的困惑著……直到我讀完這本書。
從本地取證到網(wǎng)絡(luò)追蹤,遠(yuǎn)不僅僅是從磁盤數(shù)據(jù)恢復(fù)+內(nèi)存dump到網(wǎng)絡(luò)數(shù)據(jù)包截獲分析的"升級",而是實現(xiàn)了從"單點證據(jù)采集"到"全域、多層次海量數(shù)據(jù)證據(jù)鏈信息的挖掘推理"的躍變。取證的裝備和技術(shù)在發(fā)展,偵查人員的思維和眼界更要改變。
書中把"證據(jù)"定義為:任何可觀察且可記錄的事件或者是事件的因素,即能用來正確理解一個已被觀察到的事件發(fā)生原因和本質(zhì)的,任何可以被觀察到并被記錄下來的活動或產(chǎn)生活動的人為因素。從我的理解看,本書圍繞網(wǎng)絡(luò)取證和黑客追蹤這個主題,通過深入淺出的技術(shù)總結(jié)和實戰(zhàn)案例分析,囊括了"觀察""記錄"和"理解"三個核心要素:
1.如何成為一名精通無線/有線網(wǎng)絡(luò)通信和協(xié)議分析的偵查員?
針對廣域網(wǎng)、園區(qū)有線網(wǎng)、無線網(wǎng)等不同網(wǎng)絡(luò)目標(biāo),了解網(wǎng)絡(luò)中各類系統(tǒng)的配置、接口和功能,從不同類型的接入點(如:無線AP、交換機(jī))或中間媒介(如光纖、以太網(wǎng)線)切入網(wǎng)絡(luò),主動/被動地截獲各級各類網(wǎng)絡(luò)流量,從各種標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議如802.11b/g/n, ARP, DHCP, IPv4, IPv6, TCP, UDP, ICMP, TLS/SSL, SMTP, IMAP, DNS, HTTP, SMB, FTP, RTP等或目標(biāo)內(nèi)部通信協(xié)議入手,分析黑客的通信要素和信息內(nèi)容,追蹤黑客在網(wǎng)絡(luò)中的行動軌跡。
2.如何成為一名深刻理解網(wǎng)絡(luò)運(yùn)維和安全防護(hù)的偵查員?
大型重要網(wǎng)絡(luò)的運(yùn)維和一體化安全防護(hù),不再是過去網(wǎng)管員"重裝系統(tǒng)、配置DHCP、升級殺毒軟件病毒庫"的簡單重復(fù)勞動。各類自動化運(yùn)維系統(tǒng)和安全防御工具,定期對應(yīng)用服務(wù)器、路由器、防火墻、網(wǎng)絡(luò)設(shè)備、照相機(jī)和各種其他設(shè)備產(chǎn)生的事件日志中進(jìn)行采集,獲取特定時間、特定系統(tǒng)/環(huán)境下的設(shè)備狀態(tài),并進(jìn)行可視化的統(tǒng)計和格式化標(biāo)準(zhǔn)化處理。各類監(jiān)控攝像探頭的錄像、登記記錄、網(wǎng)絡(luò)訪問日志、無線接入點的日志、動態(tài)主機(jī)配置協(xié)議保留的地址分配日志、活動目錄、域控制器、VPN控制器等提供的日志、活動目錄事件日志、Web服務(wù)器日志以及目標(biāo)電腦中可能會安裝的位置追蹤軟件日志等,都是我們進(jìn)行綜合關(guān)聯(lián)與分析的重要素材。多源日志信息的融合與關(guān)聯(lián)分析將成為偵查員們的利器,我們將能夠快速地定位黑客電腦的物理位置——移動設(shè)備聯(lián)入建筑物里的哪個無線接入點?還可以通過跟蹤移動設(shè)備聯(lián)入各個WAP的情況,勾畫出黑客設(shè)備移動的軌跡圖;的時間和位置要素,能讓我們從海量的監(jiān)控攝像數(shù)據(jù)中迅速找到黑客的面部特征。
3.如何成為一名熟練運(yùn)用系統(tǒng)架構(gòu)思想和數(shù)據(jù)科學(xué)方法的偵查員?
互聯(lián)網(wǎng)如此復(fù)雜,以至于我們已無法徹底分析和理解其工作模式。自其誕生以來,匿名性就是互聯(lián)網(wǎng)的特質(zhì)之一,甚至即便設(shè)備位于你掌握的組織內(nèi)部時,定位到它也需要分析海量的網(wǎng)絡(luò)文檔和日志。當(dāng)前的各種自動化運(yùn)維(slunk)或安防設(shè)備(如IDS)已經(jīng)具有一定的統(tǒng)計處理和關(guān)聯(lián)分析能力,但對于"黑客行為模式識別、攻擊者分類、未來攻擊動作預(yù)測、黑客總體實力評估"等更高等級的偵查工作仍然力不從心。我們?nèi)匀恍枰由羁痰乩斫饩W(wǎng)絡(luò)信息系統(tǒng)的架構(gòu),對海量的樣本數(shù)據(jù)中主動的學(xué)習(xí)特征、建立模型,在機(jī)器學(xué)習(xí)、人工智能等科學(xué)方法的幫助下,在重重迷霧中抽絲剝繭,理清繁榮復(fù)雜的海量證據(jù)間關(guān)系。
相信讀完本書,無論是大專院校計算機(jī)和網(wǎng)絡(luò)安全相關(guān)專業(yè)的學(xué)生,還是公安網(wǎng)絡(luò)安全保衛(wèi)部門的一線偵查員,亦或國家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)單位的技術(shù)人員,都會大有裨益。末了,小生不才,也附送一句忠告:黑客和APT攻擊者正變得越來越強(qiáng)大,偵查員們一刻都不能停歇,請盡快的進(jìn)一步學(xué)習(xí)掌握基于大數(shù)據(jù)的智能化海量情報分析方法和技能,讓犯罪者在我國的網(wǎng)絡(luò)空間中無所遁跡。
張宇翔(ID:潛伏鷹)
2014.11.1.北京.
雙十一買的書,物流多少有點問題,不過可以理解
物流贊,超級快!
買好書去當(dāng)當(dāng)
實用性強(qiáng),對工作幫助很大。
內(nèi)容不錯,紙張也好,值得購買,還會繼續(xù)關(guān)注的!
還好
寄來的書質(zhì)量不太好
不錯,正想學(xué)習(xí)這方面的知識,這本書剛到手
不錯
質(zhì)量不錯,送貨速度快。
通俗易懂、深入淺出,授人以漁。同時,又密切結(jié)合應(yīng)用案例,從而讓讀者可以在模擬場景中深深的理會知識。書中不含較為復(fù)雜的技術(shù)理論問題,一切從實際出發(fā)。
想法很到位,
好
很不錯,很愉快的一次購物,下次還來當(dāng)當(dāng)
1萬個贊
還不錯
好看
不錯
不錯,有的個別頁印刷模糊
讀書能陶冶人的情操,給人知識和智慧。所以,我們應(yīng)該多讀書,為我們以后的人生道路打下好的、扎實的基礎(chǔ)!讀書養(yǎng)性,讀書可以陶冶自己的性情,使自己溫文爾雅,具有書卷氣;讀書破萬卷,下筆如有神,多讀書可以提高寫作能力,寫文章就才思敏捷;舊書不厭百回讀,熟讀深思子自知,讀書可以提高理解能力,只要熟讀深思,你就可以知道其中的道理了;讀書可以使自己的知識得到積累,君子學(xué)以聚之。
?,?!?
非常不錯的書籍
不錯
第一次買,你家自營就是個笑話,比申通還慢的速度~快遞包裝破損~書沒塑封,都是二手吧??第一次也是最后一次,當(dāng)當(dāng)就是一坨屎!!
很好
不錯的書,學(xué)習(xí)網(wǎng)絡(luò)知識很好。
好書推薦值得購買
非常滿意,很喜歡
發(fā)貨迅速,性價比超高。
紙張很好!
