Metody zabezpieczenia cyfrowego. Pozyskiwanie dowod - Helion
ebook
Autor: Bruce NikkelTłumaczenie: Kacper Kulczycki
ISBN: 9788301220204
stron: 312, Format: ebook
Data wydania: 2021-12-20
Księgarnia: Helion
Cena książki: 59,40 zł (poprzednio: 99,00 zł)
Oszczędzasz: 40% (-39,60 zł)
Tagi: Bezpiecze
Osoby które kupowały "Metody zabezpieczenia cyfrowego. Pozyskiwanie dowod", wybierały także:
- OSINT w praktyce. Kurs video. Dark web, OPSEC i wycieki danych 96,25 zł, (34,65 zł -64%)
- Cybersecurity dla ka 144,86 zł, (52,15 zł -64%)
- Wireshark. Kurs video. Analiza ruchu sieciowego i wykrywanie w 198,98 zł, (79,59 zł -60%)
- Prometheus. Kurs video. Monitorowanie system 159,00 zł, (63,60 zł -60%)
- Python dla haker 89,00 zł, (40,05 zł -55%)
Spis treści
Metody zabezpieczenia cyfrowego. Pozyskiwanie dowodów narzędziami linuksowymi eBook -- spis treści
- Okładka
- Strona tytułowa
- Dedykacja
- Strona redakcyjna
- O autorze
- Od tłumacza
- Spis treści
- PRZEDMOWA
- WPROWADZENIE
- Dlaczego napisałem tę książkę
- Co wyróżnia tę książkę
- Dlaczego warto korzystać z linii poleceń
- Docelowi czytelnicy i wymagania
- Kto powinien przeczytać tę książkę
- Niezbędna wiedza
- Preinstalowana platforma i oprogramowanie
- Jak zorganizowana jest ta książka
- Zakres tej książki
- Konwencje i format
- 0. OGÓLNY ZARYS INFORMATYKI ŚLEDCZEJ
- Historia informatyki śledczej
- Koniec wieku XX
- 20002010
- 2010obecnie
- Główne kierunki i wyzwania cyfrowego zabezpieczenia
- Zmiany rozmiaru, lokalizacji i złożoności dowodu
- Problem wielu jurysdykcji
- Przemysł, środowisko akademickie i współpraca z organami ścigania
- Zasady cyfrowego śledztwa post mortem
- Standardy informatyki śledczej
- Publikacje recenzowane
- Branżowe wytyczne i najlepsze praktyki
- Zasady stosowane w tej książce
- Historia informatyki śledczej
- 1. OMÓWIENIE NOŚNIKÓW DANYCH
- Magnetyczne nośniki danych
- Dyski twarde
- Taśmy magnetyczne
- Starsze pamięci magnetyczne
- Pamięć nieulotna
- Dyski półprzewodnikowe (SSD)
- Napędy USB flash
- Wymienne karty pamięci
- Starsze typy pamięci nieulotnej
- Dyski optyczne
- Płyty kompaktowe
- Digital Versatile Discs
- Płyty Blu-ray
- Starsze dyski optyczne
- Interfejsy i złącza
- Serial ATA
- Serial Attached SCSI i Fibre Channel
- Non-Volatile Memory Express
- Universal Serial Bus
- Thunderbolt
- Interfejsy starszego typu
- Polecenia, protokoły i mostki
- Polecenia ATA
- Polecenia SCSI
- Polecenia NVMe
- Mostkowanie, tunelowanie i przekazywanie
- Tematy specjalne
- Obszary dysku DCO i HPA
- Obszar serwisowy dysku
- USB Attached SCSI Protocol
- Advanced Format 4Kn
- NVMe Namespaces
- Solid State Hybrid Disks
- Podsumowanie
- Magnetyczne nośniki danych
- 2. LINUX PLATFORMA ZABEZPIECZENIA DOCHODZENIOWO-ŚLEDCZEGO
- Linux i OSS w kontekście dochodzeniowo-śledczym
- Korzyści stosowania Linuxa i OSS w laboratoriach informatyki śledczej
- Niewygody stosowania Linuxa i OSS w laboratoriach informatyki śledczej
- Jądro Linux i urządzenia pamięci masowej
- Wykrywanie urządzeń przez jądro systemu
- Urządzenia pamięci masowej w katalogu /dev
- Inne urządzenia specjalne
- Jądro Linux i systemy plików
- Obsługa systemów plików przez jądro systemu
- Montowanie systemów plików w systemie Linux
- Dostęp do systemów plików za pomocą narzędzi śledczych
- Dystrybucje i powłoki systemu Linux
- Dystrybucje Linuxa
- Powłoka
- Wywołanie komendy
- Przesyłanie łączami i przekierowania
- Podsumowanie
- Linux i OSS w kontekście dochodzeniowo-śledczym
- 3. FORMATY OBRAZÓW DOWODOWYCH
- Obrazy nieprzetworzone (raw)
- Tradycyjne dd
- Warianty dd do zastosowań dochodzeniowo-śledczych
- Narzędzia do odzyskiwania danych
- Formaty dowodowe
- EnCase EWF
- FTK SMART
- AFF
- SquashFS jako kontener dowodowy
- Podstawy SquashFS
- Kontenery dowodowe SquashFS
- Podsumowanie
- Obrazy nieprzetworzone (raw)
- 4. PLANOWANIE I PRZYGOTOWANIA
- Dbałość o ścieżkę audytu
- Zarządzanie zadaniami
- Taskwarrior
- Todo.txt
- Alias powłoki
- Historia wiersza poleceń
- Rejestratory terminali
- Audyt systemu Linux
- Organizowanie zebranych dowodów i danych z wyjścia poleceń
- Konwencje nazewnictwa dla plików i katalogów
- Skalowalna struktura katalogów śledztwa
- Zapisywanie wyjścia poleceń za pomocą przekierowania
- Ocena logistyczna infrastruktury zabezpieczenia
- Rozmiary obrazów i wymagane miejsce na dysku
- Kompresja plików
- Pliki rzadkie
- Zgłaszane rozmiary plików i obrazów
- Przenoszenie i kopiowanie obrazów dowodowych
- Szacowanie czasów ukończenia zadań
- Wydajność i wąskie gardła
- Ciepło i czynniki środowiskowe
- Ustanawianie ochrony przed zapisem
- Sprzętowe blokery zapisu
- Programowe blokery zapisu
- Linuxowe bootowalne płyty CD do informatyki śledczej
- Nośniki z trybami fizycznego dostępu tylko do odczytu
- Podsumowanie
- Dbałość o ścieżkę audytu
- 5. PODŁĄCZANIE BADANEGO NOŚNIKA DO HOSTA ZABEZPIECZENIA
- Badanie podejrzanego sprzętu komputerowego
- Analiza sprzętowej konfiguracji komputera i usuwanie dysku
- Inspekcja sprzętu w badanym komputerze
- Podłączenie zabezpieczanego dysku do hosta śledczego
- Przegląd sprzętu hosta zabezpieczenia
- Identyfikacja podejrzanego napędu
- Sprawdzanie informacji zwracanych przez badany dysk
- Dokumentowanie danych identyfikacyjnych urządzenia
- Sprawdzanie możliwości i funkcji dysku za pomocą hdparm
- Wydobycie danych SMART za pomocą smartctl
- Włączanie dostępu do ukrytych sektorów
- Usuwanie DCO
- Usuwanie HPA
- Dostęp do obszaru serwisowego dysku
- Zabezpieczenie hasłem ATA i dyski samoszyfrujące
- Identyfikacja i odblokowanie dysków chronionych hasłem ATA
- Identyfikacja i odblokowanie dysków samoszyfrujących Opal
- Szyfrowane pendrivey
- Podłączanie nośników wymiennych
- Napędy optyczne
- Napędy taśmowe
- Karty pamięci
- Podłączanie innych nośników
- Apple Target Disk Mode
- NVMe SSD
- Inne urządzenia z dostępem do bloków lub znaków
- Podsumowanie
- Badanie podejrzanego sprzętu komputerowego
- 6. POZYSKIWANIE OBRAZU DOWODOWEGO
- Pozyskanie obrazu za pomocą narzędzi typu dd
- Standardowe, unixowe dd i GNU dd
- Programy dcfldd i dc3dd
- Pozyskanie obrazów w formatach dowodowych
- Narzędzie ewfacquire
- AccessData ftkimager
- Kontener dowodowy SquashFS
- Pozyskiwanie obrazu z jednoczesnym zapisem w kilku miejscach
- Zastosowanie kryptografii podczas zabezpieczania dowodów cyfrowych
- Podstawy kryptograficznych funkcji skrótu
- Okna haszowania
- Podpisywanie obrazu za pomocą PGP lub S/MIME
- Znaczniki czasu RFC-3161
- Obsługa awarii i błędów dysku
- Obsługa błędów w narzędziach informatyki śledczej
- Narzędzia do odzyskiwania danych
- SMART i błędy jądra
- Inne metody w przypadku awarii dysku
- Uszkodzone dyski optyczne
- Pozyskiwanie obrazu nośnika przez sieć
- Zdalne pozyskiwanie obrazów dowodowych za pomocą rdd
- Bezpieczne, zdalne tworzenie obrazu za pomocą ssh
- Zdalne pozyskiwanie do kontenera dowodowego SquashFS
- Pozyskiwanie obrazu zdalnego dysku w formatach EnCase i FTK
- Zabezpieczanie działającego systemu za pomocą migawek Copy-On-Write
- Zabezpieczanie nośników wymiennych
- Karty pamięci
- Dyski optyczne
- Taśmy magnetyczne
- RAID i systemy wielodyskowe
- Zabezpieczanie zastrzeżonych układów RAID
- JBOD i RAID-0 striping dysków
- Microsoft Dynamic Disks
- RAID-1 mirroring dysków
- Linux RAID-5
- Podsumowanie
- Pozyskanie obrazu za pomocą narzędzi typu dd
- 7. OPEROWANIE OBRAZAMI DOWODOWYMI
- Zastosowania kompresji obrazów
- Standardowe linuxowe narzędzia do obsługi kompresji
- Format skompresowany EnCase EWF
- Format skompresowany FTK SMART
- Kompresja wbudowana w AFFlib
- Skompresowane kontenery dowodowe SquashFS
- Operowanie podzielonymi obrazami
- Polecenie GNU split
- Podział obrazów podczas akwizycji
- Dostęp do zawartości podzielonego obrazu
- Ponowne składanie podzielonych obrazów
- Sprawdzanie integralności obrazów dowodowych
- Sprawdzanie kryptogracznego skrótu utworzonego podczas zabezpieczenia
- Ponowne obliczanie haszy obrazów dowodowych
- Kryptograczne skróty podzielonych obrazów nieprzetworzonych
- Znajdowanie niepasujących do siebie okien haszowania
- Sprawdzanie poprawności podpisów cyfrowych i znaczników czasu
- Przekształcanie formatów obrazów
- Zamiana obrazów nieprzetworzonych
- Konwersja z formatu EnCase/E01
- Zamiana plików EnCase na FTK
- Konwersja formatu AFF
- Kryptograficzne zabezpieczanie obrazu
- Szyfrowanie GPG
- Szyfrowanie OpenSSL
- Wbudowane szyfrowanie w formatach dowodowych
- Uniwersalne szyfrowanie dysków
- Klonowanie i powielanie dysków
- Przygotowanie klona dysku
- Użycie HPA do powielenia liczby sektorów nośnika
- Zapis obrazu na klonie dysku
- Przesyłanie i przechowywanie obrazów
- Zapis na nośniku wymiennym
- Niedrogie dyski do przechowywania i przenoszenia danych
- Przesyłanie dużej liczby danych przez sieć
- Bezpieczne zamazywanie i usuwanie danych
- Usuwanie pojedynczych plików
- Bezpieczne zamazywanie zawartości nośników danych
- Wykorzystanie komendy ATA Security Erase Unit
- Niszczenie kluczy szyfrowania dysków
- Podsumowanie
- Zastosowania kompresji obrazów
- 8. UZYSKIWANIE DOSTĘPU DO ZAWARTOŚCI NIETYPOWYCH OBRAZÓW
- Pliki obrazów pozyskanych w celach dowodowych
- Pliki nieprzetworzonych obrazów dysków oraz urządzenia pętli
- Pliki obrazów w formatach dowodowych
- Przygotowanie obrazów startowych za pomocą xmount
- Obrazy maszyn wirtualnych (VM)
- QEMU QCOW2
- VirtualBox VDI
- VMWare VMDK
- Microsoft VHD
- Systemy plików szyfrowane z poziomu systemu operacyjnego
- Microsoft BitLocker
- Apple FileVault
- Linux LUKS
- TrueCrypt i VeraCrypt
- Podsumowanie
- Pliki obrazów pozyskanych w celach dowodowych
- 9. WYODRĘBNIANIE PODZBIORÓW DANYCH Z OBRAZÓW DOWODOWYCH
- Określanie układu partycji oraz typów systemów plików
- Schematy partycjonowania
- Tablice partycji
- Identyfikacja systemów plików
- Wyodrębnianie zawartości partycji
- Wyodrębnianie poszczególnych partycji
- Znajdowanie i wyodrębnianie usuniętych partycji
- Identyfikowanie i wyodrębnianie przestrzeni między partycjami
- Wydobycie sektorów z obszarów HPA i DCO
- Wydobywanie innych fragmentarycznych danych
- Wyodrębnianie slack space z systemów plików
- Wyodrębnianie nieprzydzielonych bloków systemu plików
- Ręczne wyodrębnianie za pomocą przesunięć
- Podsumowanie
- Określanie układu partycji oraz typów systemów plików
- UWAGI KOŃCOWE
- Dodatek od tłumacza
- Przypisy