Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie 3 - ebook
Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie 3 - ebook
Aby pomyślnie przeprowadzić dochodzenie cyfrowe, poza specjalnymi umiejętnościami i wiedzą techniczną musisz dysponować odpowiednimi narzędziami. Z rozwoju technologii korzystają również przestępcy, którzy popełniają swoje występki na wiele dotychczas nieznanych sposobów. W tych warunkach bezcenną pomoc możesz znaleźć w Kali Linuksie - potężnym systemie specjalnie przygotowanym do prowadzenia testów penetracyjnych i dochodzeń w informatyce śledczej.
Ta książka pomoże Ci w doskonaleniu umiejętności potrzebnych na każdym etapie dochodzenia cyfrowego, od zbierania dowodów, poprzez ich analizę, po tworzenie raportów. Dzięki wielu wskazówkom i praktycznym ćwiczeniom przyswoisz techniki analizy, ekstrakcji danych i raportowania przy użyciu zaawansowanych narzędzi. Poznasz różne systemy przechowywania plików i nauczysz się wyszukiwać urządzenia sieciowe za pomocą skanerów Nmap i Netdiscover. Zapoznasz się też ze sposobami utrzymywania integralności cyfrowego materiału dowodowego. Znajdziesz tu ponadto omówienie kilku bardziej zaawansowanych tematów, takich jak pozyskiwanie ulotnych danych z sieci, nośników pamięci i systemów operacyjnych.
Z książki dowiesz się:
- jak przygotować do pracy system Kali Linux na różnych platformach sprzętowych
- po co w analizach DFIR bada się zawartość RAM, a także systemy plików i nośniki danych
- jak używać narzędzi takich jak Scalpel, Magic Rescue, Volatility 3 czy Autopsy 4
- czym jest ransomware i jak korzystać z artefaktów systemowych w dochodzeniach DFIR
- jak za pomocą narzędzi NFAT przechwytywać pakiety i analizować ruch sieciowy
Kali Linux: Twój najlepszy partner w cyfrowej dochodzeniówce!
Spis treści
O korektorach merytorycznych
O autorze
Wstęp
Część 1. Podstawy działania zespołów Blue Team i Purple Team
- Rozdział 1. Podstawy działania zespołów Red, Blue i Purple Team
- Jak zacząłem pracę z systemem Kali Linux
- Czym jest Kali Linux?
- Dlaczego system Kali Linux jest tak popularny?
- Zespół Red Team
- Zespół Blue Team
- Zespół Purple Team
- Podsumowanie
- Rozdział 2. Wprowadzenie do informatyki śledczej
- Czym jest informatyka śledcza?
- Dlaczego potrzebujemy zespołów Red i Purple Team?
- Metodologia i procedury w informatyce śledczej
- Normy i standardy z zakresu informatyki śledczej
- Porównanie systemów operacyjnych dla informatyki śledczej
- DEFT Linux
- CAINE Linux
- CSI Linux
- Kali Linux
- Dlaczego należy korzystać z wielu narzędzi w dochodzeniach cyfrowych
- Komercyjne narzędzia śledcze
- Techniki anti-forensics - zagrożenie dla informatyki śledczej
- Podsumowanie
- Rozdział 3. Instalowanie systemu Kali Lin
- Wymagania techniczne
- Pobieranie systemu Kali Linux
- Pobieranie wymaganych narzędzi i obrazów
- Pobieranie obrazu Kali Linux Everything
- Instalowanie systemu Kali Linux na przenośnych nośnikach pamięci
- Instalowanie systemu Kali Linux jako samodzielnego systemu operacyjnego
- Instalowanie systemu Kali Linux w maszynie wirtualnej VirtualBox
- Przygotowanie maszyny wirtualnej z systemem Kali Linux
- Instalowanie systemu Kali Linux w maszynie wirtualnej
- Instalowanie i konfigurowanie systemu Kali Linux
- Podsumowanie
- Rozdział 4. Instalowanie dodatkowych komponentów systemu Kali Linux i zadania do wykonania po instalacji
- Instalacja wstępnie skonfigurowanej wersji Kali Linux w maszynie wirtualnej VirtualBox
- Instalowanie systemu Kali Linux na platformie Raspberry Pi 4
- Aktualizacja systemu Kali Linux
- Włączanie konta użytkownika root w systemie Kali Linux
- Instalowanie metapakietu kali-tools-forensics
- Podsumowanie
- Rozdział 5. Instalowanie pakietu Wine w systemie Kali Linux
- Pakiet Wine i jego zalety w systemie Kali Linux
- Instalowanie pakietu Wine
- Konfigurowanie pakietu Wine
- Testowanie pakietu Wine
- Podsumowanie
Część 2. Podstawowe zagadnienia oraz najlepsze praktyki informatyki śledczej i reagowania na incydenty
- Rozdział 6. Systemy plików i nośniki pamięci masowej
- Historia i rodzaje nośników danych
- Firma IBM i historia nośników pamięci
- Wymienne nośniki danych
- Napędy z taśmą magnetyczną
- Dyskietki
- Optyczne nośniki danych
- Płyty Blu-ray
- Pamięci flash
- Pamięci flash z portem USB
- Karty pamięci flash
- Dyski twarde
- Dyski twarde IDE
- Dyski twarde SATA
- Dyski SSD
- Systemy plików i systemy operacyjne
- Microsoft Windows
- Macintosh (macOS)
- Linux
- Typy i stany danych
- Metadane
- Slack space
- Dane ulotne i nieulotne oraz kolejność gromadzenia dowodów cyfrowych
- Znaczenie pamięci RAM oraz pliku stronicowania i pamięci podręcznej w dochodzeniach DFIR
- Podsumowanie
- Historia i rodzaje nośników danych
- Rozdział 7. Reagowanie na incydenty, pozyskiwanie cyfrowego materiału dowodowego oraz normy i standardy z zakresu informatyki śledczej
- Procedury pozyskiwania dowodów cyfrowych
- Reagowanie na incydenty i osoby reagujące w pierwszej kolejności
- Zbieranie i dokumentowanie dowodów cyfrowych
- Narzędzia do fizycznego pozyskiwania danych
- Pozyskiwanie danych z komputerów włączonych i wyłączonych
- Kolejność pozyskiwania danych ulotnych
- Pozyskiwanie danych z urządzeń włączonych i wyłączonych
- Formularz kontroli łańcucha dowodowego
- Znaczenie urządzeń blokujących zapis na nośnikach danych
- Tworzenie binarnych obrazów danych i zachowywanie integralności dowodów cyfrowych
- Skrót MD5 (Message Digest)
- Skrót SHA (Secure Hashing Algorithm)
- Najlepsze praktyki pozyskiwania danych i standardy DFIR
- Normy i standardy w informatyce śledczej
- Podsumowanie
Część 3. Dochodzenia cyfrowe i reagowanie na incydenty z użyciem narzędzi dostępnych w systemie Kali Linux
- Rozdział 8. Narzędzia do gromadzenia dowodów cyfrowych
- Zastosowanie polecenia fdisk do rozpoznawania partycji
- Identyfikacja urządzenia za pomocą polecenia fdisk
- Zastosowanie silnych algorytmów funkcji skrótu do zapewnienia integralności dowodów cyfrowych
- Tworzenie obrazów binarnych nośników pamięci za pomocą programu DC3DD
- Weryfikacja wartości skrótu kryptograficznego obrazów binarnych
- Wymazywanie dysku za pomocą programu DC3DD
- Tworzenie obrazów binarnych nośników pamięci za pomocą programu DD
- Tworzenie obrazów dysków za pomocą programu Guymager
- Uruchamianie programu Guymager
- Tworzenie binarnych obrazów nośników danych za pomocą programu Guymager
- Tworzenie obrazów nośników danych i pamięci operacyjnej za pomocą programu FTK Imager uruchamianego za pośrednictwem pakietu Wine
- Instalowanie programu FTK Imager
- Tworzenie obrazów zawartości pamięci RAM za pomocą programu FTK Imager
- Tworzenie obrazów pamięci RAM i plików stronicowania za pomocą programu Belkasoft RAM Capturer
- Podsumowanie
- Zastosowanie polecenia fdisk do rozpoznawania partycji
- Rozdział 9. Odzyskiwanie skasowanych plików i narzędzia do odtwarzania danych
- Podstawy działania plików
- Pobieranie plików do ćwiczeń
- Odzyskiwanie plików i carving danych za pomocą programu Foremost
- Odzyskiwanie plików graficznych za pomocą programu Magic Rescue
- Odzyskiwanie danych za pomocą programu Scalpel
- Odzyskiwanie danych za pomocą programu bulk_extractor
- Odzyskiwanie NTFS za pomocą programu scrounge-ntfs
- Odzyskiwanie obrazów za pomocą programu Recoverjpeg
- Podsumowanie
- Rozdział 10. Analiza śledcza zawartości pamięci przy użyciu pakietu Volatility 3
- Co nowego w pakiecie Volatility 3 Framework
- Pobieranie przykładowych plików zrzutu pamięci
- Instalacja pakietu Volatility 3 w systemie Kali Linux
- Analiza śledcza pliku obrazu pamięci przy użyciu pakietu Volatility 3
- Weryfikacja obrazu i systemu operacyjnego
- Identyfikacja i analiza uruchomionych procesów
- Podsumowanie
- Rozdział 11. Analiza artefaktów systemowych, malware i oprogramowania ransomware
- Identyfikacja urządzeń i systemów operacyjnych za pomocą programu p0f
- swap_digger - narzędzie do analizy pliku wymiany systemu Linux
- Instalowanie i sposób użycia programu swap_digger
- Wyodrębnianie haseł za pomocą programu MimiPenguin
- Analiza złośliwych plików PDF
- Automatyczna analiza złośliwych plików w serwisie Hybrid Analysis
- Analiza oprogramowania ransomware przy użyciu pakietu Volatility 3
- Wtyczka pslist
- Podsumowanie
Część 4. Zautomatyzowane narzędzia DFIR
- Rozdział 12. Pakiet Autopsy Forensic Browser
- Wprowadzenie do pakietów Autopsy i The Sleuth Kit
- Pobieranie przykładowych plików do użycia i tworzenie nowego dochodzenia za pomocą nakładki Autopsy Forensic Browser
- Uruchamianie nakładki Autopsy Forensic Browser
- Tworzenie nowego dochodzenia w nakładce Autopsy Forensic Browser
- Analiza dowodów przy użyciu nakładki Autopsy Forensic Browser
- Podsumowanie
- Rozdział 13. Przeprowadzanie dochodzeń cyfrowych przy użyciu pakietu Autopsy 4
- Funkcje interfejsu użytkownika pakietu Autopsy 4
- Instalowanie pakietu Autopsy 4 w systemie Kali Linux za pomocą pakietu Wine
- Pobieranie przykładowych plików obrazów do analizy
- Tworzenie nowych dochodzeń i wprowadzenie do interfejsu pakietu Autopsy 4
- Analizowanie katalogów i odzyskiwanie usuniętych plików i artefaktów za pomocą Autopsy 4
- Podsumowanie
Część 5. Narzędzia do analizy śledczej połączeń sieciowych
- Rozdział 14. Narzędzia do wykrywania i eksplorowania sieci
- Zastosowanie programu netdiscover do wykrywania i identyfikowania urządzeń w sieci
- Zastosowanie skanera Nmap do wykrywania i identyfikowania urządzeń w sieci
- Zastosowanie skanera Nmap do wykrywania otwartych portów i usług
- Zastosowanie wyszukiwarki Shodan.io do wyszukiwania urządzeń IoT, zapór sieciowych, systemów CCTV i serwerów
- Zastosowanie filtrów Shodan do wyszukiwania urządzeń IoT
- Podsumowanie
- Rozdział 15. Analiza pakietów sieciowych za pomocą programu Xplico
- Instalowanie pakietu Xplico w systemie Kali Linux
- Instalowanie systemu DEFT Linux 8.1 w maszynie wirtualnej VirtualBox
- Pobieranie przykładowych plików do analizy
- Uruchamianie pakietu Xplico w systemie DEFT Linux
- Zastosowanie pakietu Xplico do automatycznej analizy ruchu sieciowego, poczty elektronicznej i połączeń głosowych
- Zautomatyzowana analiza ruchu http
- Zautomatyzowana analiza ruchu SMTP
- Zautomatyzowana analiza ruchu VoIP
- Podsumowanie
- Rozdział 16. Narzędzia do analizy ruchu sieciowego
- Przechwytywanie pakietów za pomocą programu Wireshark
- Analiza pakietów sieciowych za pomocą programu NetworkMiner
- Analiza pakietów sieciowych za pomocą programu PcapXray
- Analiza online plików PCAP w witrynie packettotal.com
- Analiza online plików PCAP w witrynie apackets.com
- Tworzenie raportów i prezentacja wyników
- Podsumowanie
Kategoria: | Systemy operacyjne |
Zabezpieczenie: |
Watermark
|
ISBN: | 978-83-289-0593-1 |
Rozmiar pliku: | 35 MB |