Kiedy spełni się najgorszy sen każdego administratora i użytkownika, kiedy zostaną przełamane wszystkie zabezpieczenia i intruz dostanie się do systemu, trzeba działać szybko i precyzyjnie. Jednym z kluczowych aspektów jest przeprowadzenie analizy powłamaniowej. Dzięki niej można ocenić skalę szkód i słabe punkty zabezpieczeń oraz podjąć działania mające na celu zapobieżenie takim incydentom w przyszłości.

W Twoje ręce oddajemy kolejne wydanie niezwykłej książki, napisanej przez jednego z najlepszych specjalistów w zakresie analizy śledczej i powłamaniowej. W trakcie lektury zdobędziesz szczegółową wiedzę na temat metod prowadzenia analizy w systemie Windows. Dowiesz się, jak analizować system plików, rejestr oraz logi systemu. Ponadto nauczysz się wykrywać złośliwe oprogramowanie oraz korzystać z usługi VSS. Znajdziesz tu także przydatną listę kontrolną, która pozwoli Ci błyskawicznie wkroczyć do akcji po wystąpieniu włamania. To obowiązkowa lektura dla każdego specjalisty od bezpieczeństwa systemów!

Poznaj najlepsze praktyki:

• reagowania na incydenty
• prowadzenia analizy śledczej i powłamaniowej
• wykrywania złośliwego oprogramowania
• kontroli rejestru systemu

Obowiązkowa lektura dla każdego inżyniera bezpieczeństwa systemów.

Rozdziały:

Rozdział 1. Założenia analizy systemów komputerowych (21)

• Wprowadzenie (21)
• Założenia analizy systemów komputerowych (24)
  • Wersje systemu Windows (25)
  • Reguły i zasady przeprowadzania analizy (27)
  • Dokumentacja (40)
  • Konwergencja (42)
  • Wirtualizacja (44)
• Konfiguracja środowiska śledczego (46)
• Podsumowanie (50)

Rozdział 2. Szybka reakcja na incydenty (51)

• Wprowadzenie (51)
• Jak być przygotowanym do sprawnego reagowania na incydenty? (53)
  • Pytania (55)
  • Najważniejszy element - przygotowania (57)
  • Dzienniki zdarzeń (logi) (62)
• Gromadzenie danych (68)
  • Szkolenia (72)
• Podsumowanie (74)

Rozdział 3. Usługa VSS - kopiowanie woluminów w tle (75)

• Wprowadzenie (75)
• Czym jest usługa kopiowania woluminów w tle? (76)
  • Klucze w rejestrze (78)
• Praca z kopiami VSS we włączonych systemach (79)
  • Pakiet ProDiscover (83)
  • Pakiet F-Response (83)
• Praca z kopiami VSS w binarnych obrazach dysków (86)
  • Metoda z wykorzystaniem plików VHD (88)
  • Metoda z wykorzystaniem oprogramowania VMware (93)
  • Automatyzacja dostępu do kopii VSS (97)
  • ProDiscover (100)
• Podsumowanie (103)
• Literatura i inne źródła (103)

Rozdział 4. Analiza systemu plików (105)

• Wprowadzenie (106)
• Tablica MFT (107)
  • Mechanizm tunelowania w systemie plików (114)
• Dzienniki zdarzeń systemowych (116)
  • Dziennik zdarzeń systemu Windows (121)
• Folder Recycle Bin (125)
• Pliki prefetch (129)
• Zaplanowane zadania (134)
• Listy szybkiego dostępu (138)
• Pliki hibernacji (145)
• Pliki aplikacji (146)
  • Logi programów antywirusowych (147)
  • Komunikator Skype (148)
  • Produkty firmy Apple (149)
  • Pliki graficzne (zdjęcia, obrazy) (151)
• Podsumowanie (153)
• Literatura i inne źródła (154)

Rozdział 5. Analiza rejestru systemu Windows (155)

• Wprowadzenie (156)
• Analiza rejestru (157)
  • Nomenklatura rejestru (158)
  • Rejestr jako plik dziennika (159)
  • Analiza historii urządzeń USB (160)
  • Gałąź System (175)
  • Gałąź Software (178)
  • Gałęzie rejestru związane z profilem użytkownika (188)
  • Dodatkowe źródła informacji (199)
  • Narzędzia (202)
• Podsumowanie (204)
• Literatura i inne źródła (204)

Rozdział 6. Wykrywanie złośliwego oprogramowania (205)

• Wprowadzenie (206)
• Typowe cechy złośliwego oprogramowania (207)
  • Początkowy wektor infekcji (209)
  • Mechanizm propagacji (212)
  • Mechanizm przetrwania (214)
  • Artefakty (219)
• Wykrywanie złośliwego oprogramowania (222)
  • Analiza logów (223)
  • Skany antywirusowe (229)
  • Zaglądamy głębiej (234)
  • Złośliwe strony internetowe (251)
• Podsumowanie (254)
• Literatura i inne źródła (254)

Rozdział 7. Analiza zdarzeń w osi czasu (255)

• Wprowadzenie (256)
• Zestawienie zdarzeń w osi czasu (256)
  • Źródła danych (259)
  • Formaty czasu (260)
  • Koncepcje (261)
  • Zalety analizy czasowej (263)
  • Format (267)
• Tworzenie historii zdarzeń w osi czasu (273)
  • Metadane systemu plików (275)
  • Dzienniki zdarzeń (282)
  • Pliki prefetch (286)
  • Dane z rejestru (287)
  • Dodatkowe źródła danych (290)
  • Konwersja pliku zdarzeń na finalną postać (292)
  • Kilka uwag związanych z wizualizacją (294)
• Studium przypadku (295)
• Podsumowanie (299)

Rozdział 8. Analiza aplikacji (301)

• Wprowadzenie (301)
• Pliki logów (303)
• Analiza dynamiczna (305)
• Przechwytywanie ruchu sieciowego (310)
• Analiza pamięci zajmowanej przez aplikację (312)
• Podsumowanie (313)
• Literatura i inne źródła (313)