Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie 3 - ebook

Aby pomyślnie przeprowadzić dochodzenie cyfrowe, poza specjalnymi umiejętnościami i wiedzą techniczną musisz dysponować odpowiednimi narzędziami. Z rozwoju technologii korzystają również przestępcy, którzy popełniają swoje występki na wiele dotychczas nieznanych sposobów. W tych warunkach bezcenną pomoc możesz znaleźć w Kali Linuksie - potężnym systemie specjalnie przygotowanym do prowadzenia testów penetracyjnych i dochodzeń w informatyce śledczej.

Ta książka pomoże Ci w doskonaleniu umiejętności potrzebnych na każdym etapie dochodzenia cyfrowego, od zbierania dowodów, poprzez ich analizę, po tworzenie raportów. Dzięki wielu wskazówkom i praktycznym ćwiczeniom przyswoisz techniki analizy, ekstrakcji danych i raportowania przy użyciu zaawansowanych narzędzi. Poznasz różne systemy przechowywania plików i nauczysz się wyszukiwać urządzenia sieciowe za pomocą skanerów Nmap i Netdiscover. Zapoznasz się też ze sposobami utrzymywania integralności cyfrowego materiału dowodowego. Znajdziesz tu ponadto omówienie kilku bardziej zaawansowanych tematów, takich jak pozyskiwanie ulotnych danych z sieci, nośników pamięci i systemów operacyjnych.

Z książki dowiesz się:

• jak przygotować do pracy system Kali Linux na różnych platformach sprzętowych
• po co w analizach DFIR bada się zawartość RAM, a także systemy plików i nośniki danych
• jak używać narzędzi takich jak Scalpel, Magic Rescue, Volatility 3 czy Autopsy 4
• czym jest ransomware i jak korzystać z artefaktów systemowych w dochodzeniach DFIR
• jak za pomocą narzędzi NFAT przechwytywać pakiety i analizować ruch sieciowy

Kali Linux: Twój najlepszy partner w cyfrowej dochodzeniówce!

O korektorach merytorycznych

O autorze

Wstęp

Część 1. Podstawy działania zespołów Blue Team i Purple Team

• Rozdział 1. Podstawy działania zespołów Red, Blue i Purple Team
  • Jak zacząłem pracę z systemem Kali Linux
  • Czym jest Kali Linux?
    • Dlaczego system Kali Linux jest tak popularny?
  • Zespół Red Team
  • Zespół Blue Team
  • Zespół Purple Team
  • Podsumowanie
• Rozdział 2. Wprowadzenie do informatyki śledczej
  • Czym jest informatyka śledcza?
  • Dlaczego potrzebujemy zespołów Red i Purple Team?
  • Metodologia i procedury w informatyce śledczej
    • Normy i standardy z zakresu informatyki śledczej
  • Porównanie systemów operacyjnych dla informatyki śledczej
    • DEFT Linux
    • CAINE Linux
    • CSI Linux
    • Kali Linux
  • Dlaczego należy korzystać z wielu narzędzi w dochodzeniach cyfrowych
    • Komercyjne narzędzia śledcze
    • Techniki anti-forensics - zagrożenie dla informatyki śledczej
  • Podsumowanie
• Rozdział 3. Instalowanie systemu Kali Lin
  • Wymagania techniczne
  • Pobieranie systemu Kali Linux
    • Pobieranie wymaganych narzędzi i obrazów
    • Pobieranie obrazu Kali Linux Everything
  • Instalowanie systemu Kali Linux na przenośnych nośnikach pamięci
  • Instalowanie systemu Kali Linux jako samodzielnego systemu operacyjnego
  • Instalowanie systemu Kali Linux w maszynie wirtualnej VirtualBox
    • Przygotowanie maszyny wirtualnej z systemem Kali Linux
  • Instalowanie systemu Kali Linux w maszynie wirtualnej
    • Instalowanie i konfigurowanie systemu Kali Linux
  • Podsumowanie
• Rozdział 4. Instalowanie dodatkowych komponentów systemu Kali Linux i zadania do wykonania po instalacji
  • Instalacja wstępnie skonfigurowanej wersji Kali Linux w maszynie wirtualnej VirtualBox
  • Instalowanie systemu Kali Linux na platformie Raspberry Pi 4
  • Aktualizacja systemu Kali Linux
  • Włączanie konta użytkownika root w systemie Kali Linux
  • Instalowanie metapakietu kali-tools-forensics
  • Podsumowanie
• Rozdział 5. Instalowanie pakietu Wine w systemie Kali Linux
  • Pakiet Wine i jego zalety w systemie Kali Linux
  • Instalowanie pakietu Wine
    • Konfigurowanie pakietu Wine
  • Testowanie pakietu Wine
  • Podsumowanie

Część 2. Podstawowe zagadnienia oraz najlepsze praktyki informatyki śledczej i reagowania na incydenty

• Rozdział 6. Systemy plików i nośniki pamięci masowej
  • Historia i rodzaje nośników danych
    • Firma IBM i historia nośników pamięci
    • Wymienne nośniki danych
    • Napędy z taśmą magnetyczną
    • Dyskietki
    • Optyczne nośniki danych
    • Płyty Blu-ray
    • Pamięci flash
    • Pamięci flash z portem USB
    • Karty pamięci flash
    • Dyski twarde
    • Dyski twarde IDE
    • Dyski twarde SATA
    • Dyski SSD
  • Systemy plików i systemy operacyjne
    • Microsoft Windows
    • Macintosh (macOS)
    • Linux
  • Typy i stany danych
    • Metadane
    • Slack space
  • Dane ulotne i nieulotne oraz kolejność gromadzenia dowodów cyfrowych
  • Znaczenie pamięci RAM oraz pliku stronicowania i pamięci podręcznej w dochodzeniach DFIR
  • Podsumowanie
• Rozdział 7. Reagowanie na incydenty, pozyskiwanie cyfrowego materiału dowodowego oraz normy i standardy z zakresu informatyki śledczej
  • Procedury pozyskiwania dowodów cyfrowych
  • Reagowanie na incydenty i osoby reagujące w pierwszej kolejności
  • Zbieranie i dokumentowanie dowodów cyfrowych
    • Narzędzia do fizycznego pozyskiwania danych
  • Pozyskiwanie danych z komputerów włączonych i wyłączonych
    • Kolejność pozyskiwania danych ulotnych
    • Pozyskiwanie danych z urządzeń włączonych i wyłączonych
  • Formularz kontroli łańcucha dowodowego
  • Znaczenie urządzeń blokujących zapis na nośnikach danych
  • Tworzenie binarnych obrazów danych i zachowywanie integralności dowodów cyfrowych
    • Skrót MD5 (Message Digest)
    • Skrót SHA (Secure Hashing Algorithm)
  • Najlepsze praktyki pozyskiwania danych i standardy DFIR
    • Normy i standardy w informatyce śledczej
  • Podsumowanie

Część 3. Dochodzenia cyfrowe i reagowanie na incydenty z użyciem narzędzi dostępnych w systemie Kali Linux

• Rozdział 8. Narzędzia do gromadzenia dowodów cyfrowych
  • Zastosowanie polecenia fdisk do rozpoznawania partycji
    • Identyfikacja urządzenia za pomocą polecenia fdisk
  • Zastosowanie silnych algorytmów funkcji skrótu do zapewnienia integralności dowodów cyfrowych
  • Tworzenie obrazów binarnych nośników pamięci za pomocą programu DC3DD
    • Weryfikacja wartości skrótu kryptograficznego obrazów binarnych
    • Wymazywanie dysku za pomocą programu DC3DD
  • Tworzenie obrazów binarnych nośników pamięci za pomocą programu DD
  • Tworzenie obrazów dysków za pomocą programu Guymager
    • Uruchamianie programu Guymager
    • Tworzenie binarnych obrazów nośników danych za pomocą programu Guymager
  • Tworzenie obrazów nośników danych i pamięci operacyjnej za pomocą programu FTK Imager uruchamianego za pośrednictwem pakietu Wine
    • Instalowanie programu FTK Imager
    • Tworzenie obrazów zawartości pamięci RAM za pomocą programu FTK Imager
  • Tworzenie obrazów pamięci RAM i plików stronicowania za pomocą programu Belkasoft RAM Capturer
  • Podsumowanie
• Rozdział 9. Odzyskiwanie skasowanych plików i narzędzia do odtwarzania danych
  • Podstawy działania plików
  • Pobieranie plików do ćwiczeń
  • Odzyskiwanie plików i carving danych za pomocą programu Foremost
  • Odzyskiwanie plików graficznych za pomocą programu Magic Rescue
  • Odzyskiwanie danych za pomocą programu Scalpel
  • Odzyskiwanie danych za pomocą programu bulk_extractor
  • Odzyskiwanie NTFS za pomocą programu scrounge-ntfs
  • Odzyskiwanie obrazów za pomocą programu Recoverjpeg
  • Podsumowanie
• Rozdział 10. Analiza śledcza zawartości pamięci przy użyciu pakietu Volatility 3
  • Co nowego w pakiecie Volatility 3 Framework
  • Pobieranie przykładowych plików zrzutu pamięci
  • Instalacja pakietu Volatility 3 w systemie Kali Linux
  • Analiza śledcza pliku obrazu pamięci przy użyciu pakietu Volatility 3
    • Weryfikacja obrazu i systemu operacyjnego
    • Identyfikacja i analiza uruchomionych procesów
  • Podsumowanie
• Rozdział 11. Analiza artefaktów systemowych, malware i oprogramowania ransomware
  • Identyfikacja urządzeń i systemów operacyjnych za pomocą programu p0f
  • swap_digger - narzędzie do analizy pliku wymiany systemu Linux
    • Instalowanie i sposób użycia programu swap_digger
  • Wyodrębnianie haseł za pomocą programu MimiPenguin
  • Analiza złośliwych plików PDF
  • Automatyczna analiza złośliwych plików w serwisie Hybrid Analysis
  • Analiza oprogramowania ransomware przy użyciu pakietu Volatility 3
    • Wtyczka pslist
  • Podsumowanie

Część 4. Zautomatyzowane narzędzia DFIR

• Rozdział 12. Pakiet Autopsy Forensic Browser
  • Wprowadzenie do pakietów Autopsy i The Sleuth Kit
  • Pobieranie przykładowych plików do użycia i tworzenie nowego dochodzenia za pomocą nakładki Autopsy Forensic Browser
    • Uruchamianie nakładki Autopsy Forensic Browser
    • Tworzenie nowego dochodzenia w nakładce Autopsy Forensic Browser
  • Analiza dowodów przy użyciu nakładki Autopsy Forensic Browser
  • Podsumowanie
• Rozdział 13. Przeprowadzanie dochodzeń cyfrowych przy użyciu pakietu Autopsy 4
  • Funkcje interfejsu użytkownika pakietu Autopsy 4
  • Instalowanie pakietu Autopsy 4 w systemie Kali Linux za pomocą pakietu Wine
  • Pobieranie przykładowych plików obrazów do analizy
  • Tworzenie nowych dochodzeń i wprowadzenie do interfejsu pakietu Autopsy 4
  • Analizowanie katalogów i odzyskiwanie usuniętych plików i artefaktów za pomocą Autopsy 4
  • Podsumowanie

Część 5. Narzędzia do analizy śledczej połączeń sieciowych

• Rozdział 14. Narzędzia do wykrywania i eksplorowania sieci
  • Zastosowanie programu netdiscover do wykrywania i identyfikowania urządzeń w sieci
  • Zastosowanie skanera Nmap do wykrywania i identyfikowania urządzeń w sieci
  • Zastosowanie skanera Nmap do wykrywania otwartych portów i usług
  • Zastosowanie wyszukiwarki Shodan.io do wyszukiwania urządzeń IoT, zapór sieciowych, systemów CCTV i serwerów
    • Zastosowanie filtrów Shodan do wyszukiwania urządzeń IoT
  • Podsumowanie
• Rozdział 15. Analiza pakietów sieciowych za pomocą programu Xplico
  • Instalowanie pakietu Xplico w systemie Kali Linux
  • Instalowanie systemu DEFT Linux 8.1 w maszynie wirtualnej VirtualBox
    • Pobieranie przykładowych plików do analizy
  • Uruchamianie pakietu Xplico w systemie DEFT Linux
  • Zastosowanie pakietu Xplico do automatycznej analizy ruchu sieciowego, poczty elektronicznej i połączeń głosowych
    • Zautomatyzowana analiza ruchu http
    • Zautomatyzowana analiza ruchu SMTP
    • Zautomatyzowana analiza ruchu VoIP
  • Podsumowanie
• Rozdział 16. Narzędzia do analizy ruchu sieciowego
  • Przechwytywanie pakietów za pomocą programu Wireshark
  • Analiza pakietów sieciowych za pomocą programu NetworkMiner
  • Analiza pakietów sieciowych za pomocą programu PcapXray
  • Analiza online plików PCAP w witrynie packettotal.com
  • Analiza online plików PCAP w witrynie apackets.com
  • Tworzenie raportów i prezentacja wyników
  • Podsumowanie