收藏本站

取证中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7023|回复: 74
收起左侧

[其他分类] 《Windows取证分析》扫描版

  [复制链接]
发表于 2015-12-23 23:11:20 | 显示全部楼层 |阅读模式
书名:Windows取证分析
作者:(美)Harlan Carvey
译者:王智慧、崔孝晨、陆道宏
出版社:科学出版社
页数:219
出版日期:2009年 thumb.jpg
前言
第1章 开机取证:数据收集
引言
开机取证(Live Response)
诺卡德交换原理
易变信息的次序
何时进行开机取证
收集什么数据
系统时间
当前登录用户
打开的文件
网络信息(缓存的NetBIOS名字列表)
网络连接
进程信息
进程到端口的映射
进程内存
网络状态
剪贴板内容
服务/驱动信息
命令行历史
映射的驱动器
共享
非易变信息
注册表设置
事件日志
设备和其他信息
有关怎样挑选工具
开机取证方法
本地开机取证方法
远程取证方法
混合方法
小结
参考资料
快速解决方案
常见问题

第2章 开机取证:数据分析
引言
数据分析
案例一
案例二
敏捷分析
扩大范围
应对
防范
小结
参考资料
快速解决方案
常见问题

第3章 Windows内存分析
引言
内存分析简史
获取物理内存镜像
基于硬件的方案
利用火线接口
崩溃转储
利用虚拟机
休眠文件
DD
分析物理内存镜像
进程基础
分析内存镜像
分析进程内存
提取进程可执行文件镜像
内存镜像分析和页交换文件
根据内存镜像判断操作系统类型
分析内存池
获取进程内存
小结
参考资料
快速解决方案
常见问题

第4章 注册表分析
引言
注册表内部结构
配置单元文件内的注册表结构
注册表作为日志文件
监视注册表变化
注册表分析
系统信息
自动启动位置
枚举注册表白动启动位置
USB移动存储设备
Mounted Dcvices
查找用户
追踪用户活动
Windows XP系统还原点
小结
光盘内容
参考资料
快速解决方案
常见问题

第5章 文件分析
引言
事件日志
理解事件
事件日志文件格式
事件日志头部
事件记录结构
Vista事件日志
IIS 日志
因特网浏览器历史
其他日志文件
回收站
系统还原点
Prefetch文件
快捷方式文件
文件元数据
Word文档
PDF文档
图像文件
义件特征分析
NTFS分支数据流
其他分析方法
小结
参考资料
快速解决方案
常见问题

第6章 可执行文件分析
引言
静态分析
记录文件信息
分析可执行文件
动态分析
测试环境
一次性系统
工具
流稗
小结
参考资料
快速解决方案
常见问题

第7章 Rootkits及其检测
引言
Rootkits
Rootkit检测
开机柃测
GMER
Helios
MS Strider GhostBuster
F-Secure BlackLight
Sophos Anti-Rootkit
AntiRootkit.com
后期检测
预防
小结
参考资料
快速解决方案
常见问题

游客,如果您要查看本帖隐藏内容请回复


回复

使用道具 举报

发表于 2015-12-24 07:34:36 | 显示全部楼层
看看怎么样?
回复 支持 反对

使用道具 举报

发表于 2015-12-24 08:01:46 | 显示全部楼层
看看再说。
回复

使用道具 举报

发表于 2015-12-24 08:09:04 | 显示全部楼层
学习中…………
回复

使用道具 举报

发表于 2015-12-24 08:58:47 | 显示全部楼层
感谢分享~
回复

使用道具 举报

发表于 2015-12-24 09:49:48 | 显示全部楼层
see                                 
回复 支持 反对

使用道具 举报

发表于 2015-12-24 11:01:56 | 显示全部楼层
看目录不错,下载学习学习!
回复 支持 反对

使用道具 举报

发表于 2015-12-24 12:12:55 | 显示全部楼层
这个要看看
回复 支持 反对

使用道具 举报

发表于 2015-12-24 14:15:31 | 显示全部楼层
感谢黄河母亲
回复 支持 反对

使用道具 举报

发表于 2015-12-24 16:32:32 | 显示全部楼层
且看且点赞,感谢楼主!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|    

GMT+8, 2018-6-22 22:49

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表