在当今世界,新闻、网站和门户网站经常会发现并发布新的威胁、漏洞和恶意活动。当我们尽最大努力保护数据、系统和网络时,就会出现漏洞。为了了解发生了什么,我们转向数字取证领域。虽然仍然是一个相对较新的领域,但法医学已经变得与安全一样重要,特别是考虑到任何人为了进行恶意活动而访问互联网时都可以获得大量信息。谢天谢地,数字指纹和人工制品有时会被留下,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史记录、远程连接列表,甚至是手机短信中。
本书甚至为初学者提供了一种结构化的方法和最佳实践,以使用 Kali Linux 中流行且功能强大的取证工具进行自己的调查,其中许多工具被世界各地的军事组织和取证调查人员使用。
第一章数字取证导论介绍了数字取证科学的各个方面。
第 2 章安装 Kali Linux展示了如何安装、配置和更新 Kali Linux。安装过程将在物理机和虚拟机上进行,以使运行 Kali Linux 的单台和多台机器的用户受益。一旦安装,我们将探索 Kali Linux 中的取证菜单。
第 3 章了解文件系统和存储介质深入操作系统领域和各种文件存储格式,包括最终用户甚至操作系统看不到的秘密隐藏位置。我们还检查有关数据的数据(称为元数据),并查看其 Volatility。
第 4 章事件响应和数据采集询问当报告或检测到事件时会发生什么?谁是第一反应者?维护证据完整性的程序是什么?在本章中,我们将介绍数据采集和证据收集方面的最佳实践和程序。
第 5 章使用 DC3DD 和 GYMAGER获取和保存证据,重点关注法医学获取的一个最重要方面。学习创建数据的法医图像,并使用哈希工具维护完整性。
第 6 章、文件恢复和数据雕刻(使用 Premist、Parcel 和大容量提取器)说明数据消失,无论是意外、故意还是仅仅隐藏在普通人和操作系统的视线之外。在本章中,我们将介绍两个用于执行文件恢复的强大工具,并了解高级搜索功能。
第 7 章具有 Volatility 的内存取证指出,在当今的数字世界中,我们有时会遇到需要使用实时内存取证的场景。学习使用这个强大的内存取证工具来查看正在运行的进程、程序和实时工件。
第 8 章Autopsy–Sleuth 工具包介绍了 Autopsy,它被认为是为数不多的可与商业法医工具相匹敌的工具之一,这一强大的工具将法医能力和调查提升到了专业水平,满足从散列到报告的全数字取证调查的所有方面。
第 9 章、网络和互联网捕获分析与 Xplico合作,利用这一强大工具对捕获的网络和互联网流量进行调查和分析。
第 10 章使用 DFF揭示证据,展示了两种工具如何优于一种工具。使用另一种先进的法医框架工具进行全面和专业的数字法医调查,通过比较发现的结果确保调查结果的完整性。
要完成本书中的练习,读者需要下载以下内容:
- Kali Linux 2017.2 x64 和 Kali Linux 2017.1 x64
- VirtualBox 5.2 或更高版本
- Kali Linux 2017.2 刻录成 DVD
本书面向网络、系统和安全管理员;信息安全干事;审计员;资讯科技经理;学生、研究人员、安全爱好者,以及任何对数字取证领域感兴趣的人,或者任何对使用强大的取证套件学习调查各个阶段的特定工具感兴趣的人,从证据获取和保存到分析。
在本书中,您将发现许多文本样式可以区分不同类型的信息。下面是这些风格的一些例子,并解释了它们的含义。文本中的代码词、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 句柄如下所示:“要开始安装 DFF,我们首先需要使用 Kali Sana 中使用的存储库更新sources.list
代码块设置如下:
deb http://http.kali.org/kali kali-rolling main contrib non-free
deb src http://http.kali.org/kali kali-rolling main contrib non-free
deb http://http.kali.org/kali sana main contrib
当我们希望提请您注意代码块的特定部分时,相关行或项目以粗体显示:
deb http://http.kali.org/kali kali-rolling main contrib non-free
deb src http://http.kali.org/kali kali-rolling main contrib non-free
deb http://http.kali.org/kali sana main contrib
任何命令行输入或输出的编写方式如下:
dc3dd if=/dev/sdb hash=sha1 log=dd_split_usb ofsz=500M ofs=split_test_usb.img.ooo
新术语和重要词语以粗体显示。
警告或重要提示如下所示。
提示和技巧如下所示。
我们欢迎读者的反馈。让我们知道你对这本书的看法你喜欢还是不喜欢。读者反馈对我们很重要,因为它可以帮助我们开发出您真正能从中获得最大收益的标题。要向我们发送一般反馈,只需发送电子邮件[email protected],并在邮件主题中提及该书的标题。如果您对某个主题有专业知识,并且您有兴趣撰写或贡献一本书,请参阅我们的作者指南www.packtpub.com/authors。
既然您是一本 Packt 图书的骄傲拥有者,我们有很多东西可以帮助您从购买中获得最大收益。
您可以从您的帐户下载本书的示例代码文件 http://www.packtpub.com 。如果您在其他地方购买了本书,您可以访问http://www.packtpub.com/support 并注册,将文件直接通过电子邮件发送给您。您可以通过以下步骤下载代码文件:
-
使用您的电子邮件地址和密码登录或注册我们的网站。
-
将鼠标指针悬停在顶部的“支持”选项卡上。
-
点击代码下载和勘误表。
-
在搜索框中输入图书的名称。
-
选择要下载代码文件的书籍。
-
从您购买本书的下拉菜单中选择。
-
点击代码下载。
下载文件后,请确保使用以下最新版本解压或解压缩文件夹:
- WinRAR/7-Zip for Windows
- 适用于 Mac 的 Zipeg/iZip/UnRarX
- 适用于 Linux 的 7-Zip/PeaZip
该书的代码包也托管在 GitHub 上的https://github.com/PacktPublishing/Digital-Forensics-with-Kali-Linux 。我们在上还提供了丰富的书籍和视频目录中的其他代码包 https://github.com/PacktPublishing/ 。看看他们!
虽然我们已尽一切努力确保内容的准确性,但错误确实会发生。如果您在我们的一本书中发现错误,可能是文本或代码中的错误,如果您能向我们报告,我们将不胜感激。通过这样做,您可以使其他读者免于沮丧,并帮助我们改进本书的后续版本。如果您发现任何错误,请访问进行报告 http://www.packtpub.com/submit-errata ,选择您的书籍,点击勘误表提交表单链接,然后输入勘误表的详细信息。一旦您的勘误表得到验证,您的提交将被接受,勘误表将上载到我们的网站或添加到该标题勘误表部分下的任何现有勘误表列表中。要查看之前提交的勘误表,请转至https://www.packtpub.com/books/content/support ,并在搜索字段中输入图书名称。所需信息将出现在勘误表部分下。
在互联网上盗版版权材料是所有媒体都面临的一个持续问题。在 Packt,我们非常重视版权和许可证的保护。如果您在互联网上发现任何形式的非法复制品,请立即向我们提供地址或网站名称,以便我们采取补救措施。请致电[email protected]与我们联系,并提供可疑盗版材料的链接。我们感谢您在保护我们的作者方面提供的帮助以及我们为您带来有价值内容的能力。
如果您对本书的任何方面有任何问题,可以通过[email protected]与我们联系,我们将尽力解决该问题。