Metody zabezpieczenia cyfrowego. Pozyskiwanie dowod - Helion

ebook

Autor: Bruce Nikkel
Tłumaczenie: Kacper Kulczycki
ISBN: 9788301220204
stron: 312, Format: ebook
Data wydania: 2021-12-20
Księgarnia: Helion

Cena książki: 59,40 zł (poprzednio: 99,00 zł)
Oszczędzasz: 40% (-39,60 zł)

Osoby, które kupiły tę książkę, wybierały także »

Tagi: Bezpiecze

Zabezpieczenie cyfrowe jest wa

Osoby które kupowały "Metody zabezpieczenia cyfrowego. Pozyskiwanie dowod", wybierały także:

OSINT w praktyce. Kurs video. Dark web, OPSEC i wycieki danych 99,00 zł, (44,55 zł -55%)
Cybersecurity dla ka 149,00 zł, (67,05 zł -55%)
Hakuj jak duch. 69,00 zł, (34,50 zł -50%)
Alicja i Bob. Bezpiecze 59,00 zł, (29,50 zł -50%)
Bezpiecze 67,77 zł, (37,95 zł -44%)

Spis treści

Metody zabezpieczenia cyfrowego. Pozyskiwanie dowodów narzędziami linuksowymi eBook -- spis treści

Okładka
Strona tytułowa
Dedykacja
Strona redakcyjna
O autorze
Od tłumacza
Spis treści
PRZEDMOWA
WPROWADZENIE
- Dlaczego napisałem tę książkę
- Co wyróżnia tę książkę
- Dlaczego warto korzystać z linii poleceń
- Docelowi czytelnicy i wymagania
  - Kto powinien przeczytać tę książkę
  - Niezbędna wiedza
  - Preinstalowana platforma i oprogramowanie
- Jak zorganizowana jest ta książka
- Zakres tej książki
- Konwencje i format
0. OGÓLNY ZARYS INFORMATYKI ŚLEDCZEJ
- Historia informatyki śledczej
  - Koniec wieku XX
  - 20002010
  - 2010obecnie
- Główne kierunki i wyzwania cyfrowego zabezpieczenia
  - Zmiany rozmiaru, lokalizacji i złożoności dowodu
  - Problem wielu jurysdykcji
  - Przemysł, środowisko akademickie i współpraca z organami ścigania
- Zasady cyfrowego śledztwa post mortem
  - Standardy informatyki śledczej
  - Publikacje recenzowane
  - Branżowe wytyczne i najlepsze praktyki
  - Zasady stosowane w tej książce
1. OMÓWIENIE NOŚNIKÓW DANYCH
- Magnetyczne nośniki danych
  - Dyski twarde
  - Taśmy magnetyczne
  - Starsze pamięci magnetyczne
- Pamięć nieulotna
  - Dyski półprzewodnikowe (SSD)
  - Napędy USB flash
  - Wymienne karty pamięci
  - Starsze typy pamięci nieulotnej
- Dyski optyczne
  - Płyty kompaktowe
  - Digital Versatile Discs
  - Płyty Blu-ray
  - Starsze dyski optyczne
- Interfejsy i złącza
  - Serial ATA
  - Serial Attached SCSI i Fibre Channel
  - Non-Volatile Memory Express
  - Universal Serial Bus
  - Thunderbolt
  - Interfejsy starszego typu
- Polecenia, protokoły i mostki
  - Polecenia ATA
  - Polecenia SCSI
  - Polecenia NVMe
  - Mostkowanie, tunelowanie i przekazywanie
- Tematy specjalne
  - Obszary dysku DCO i HPA
  - Obszar serwisowy dysku
  - USB Attached SCSI Protocol
  - Advanced Format 4Kn
  - NVMe Namespaces
  - Solid State Hybrid Disks
- Podsumowanie
2. LINUX PLATFORMA ZABEZPIECZENIA DOCHODZENIOWO-ŚLEDCZEGO
- Linux i OSS w kontekście dochodzeniowo-śledczym
  - Korzyści stosowania Linuxa i OSS w laboratoriach informatyki śledczej
  - Niewygody stosowania Linuxa i OSS w laboratoriach informatyki śledczej
- Jądro Linux i urządzenia pamięci masowej
  - Wykrywanie urządzeń przez jądro systemu
  - Urządzenia pamięci masowej w katalogu /dev
  - Inne urządzenia specjalne
- Jądro Linux i systemy plików
  - Obsługa systemów plików przez jądro systemu
  - Montowanie systemów plików w systemie Linux
  - Dostęp do systemów plików za pomocą narzędzi śledczych
- Dystrybucje i powłoki systemu Linux
  - Dystrybucje Linuxa
  - Powłoka
  - Wywołanie komendy
  - Przesyłanie łączami i przekierowania
- Podsumowanie
3. FORMATY OBRAZÓW DOWODOWYCH
- Obrazy nieprzetworzone (raw)
  - Tradycyjne dd
  - Warianty dd do zastosowań dochodzeniowo-śledczych
  - Narzędzia do odzyskiwania danych
- Formaty dowodowe
  - EnCase EWF
  - FTK SMART
  - AFF
- SquashFS jako kontener dowodowy
  - Podstawy SquashFS
  - Kontenery dowodowe SquashFS
- Podsumowanie
4. PLANOWANIE I PRZYGOTOWANIA
- Dbałość o ścieżkę audytu
  - Zarządzanie zadaniami
  - Taskwarrior
  - Todo.txt
  - Alias powłoki
  - Historia wiersza poleceń
  - Rejestratory terminali
  - Audyt systemu Linux
- Organizowanie zebranych dowodów i danych z wyjścia poleceń
  - Konwencje nazewnictwa dla plików i katalogów
  - Skalowalna struktura katalogów śledztwa
  - Zapisywanie wyjścia poleceń za pomocą przekierowania
- Ocena logistyczna infrastruktury zabezpieczenia
  - Rozmiary obrazów i wymagane miejsce na dysku
  - Kompresja plików
  - Pliki rzadkie
  - Zgłaszane rozmiary plików i obrazów
  - Przenoszenie i kopiowanie obrazów dowodowych
  - Szacowanie czasów ukończenia zadań
  - Wydajność i wąskie gardła
  - Ciepło i czynniki środowiskowe
- Ustanawianie ochrony przed zapisem
  - Sprzętowe blokery zapisu
  - Programowe blokery zapisu
  - Linuxowe bootowalne płyty CD do informatyki śledczej
  - Nośniki z trybami fizycznego dostępu tylko do odczytu
- Podsumowanie
5. PODŁĄCZANIE BADANEGO NOŚNIKA DO HOSTA ZABEZPIECZENIA
- Badanie podejrzanego sprzętu komputerowego
  - Analiza sprzętowej konfiguracji komputera i usuwanie dysku
  - Inspekcja sprzętu w badanym komputerze
- Podłączenie zabezpieczanego dysku do hosta śledczego
  - Przegląd sprzętu hosta zabezpieczenia
  - Identyfikacja podejrzanego napędu
- Sprawdzanie informacji zwracanych przez badany dysk
  - Dokumentowanie danych identyfikacyjnych urządzenia
  - Sprawdzanie możliwości i funkcji dysku za pomocą hdparm
  - Wydobycie danych SMART za pomocą smartctl
- Włączanie dostępu do ukrytych sektorów
  - Usuwanie DCO
  - Usuwanie HPA
  - Dostęp do obszaru serwisowego dysku
- Zabezpieczenie hasłem ATA i dyski samoszyfrujące
  - Identyfikacja i odblokowanie dysków chronionych hasłem ATA
  - Identyfikacja i odblokowanie dysków samoszyfrujących Opal
  - Szyfrowane pendrivey
- Podłączanie nośników wymiennych
  - Napędy optyczne
  - Napędy taśmowe
  - Karty pamięci
- Podłączanie innych nośników
  - Apple Target Disk Mode
  - NVMe SSD
  - Inne urządzenia z dostępem do bloków lub znaków
- Podsumowanie
6. POZYSKIWANIE OBRAZU DOWODOWEGO
- Pozyskanie obrazu za pomocą narzędzi typu dd
  - Standardowe, unixowe dd i GNU dd
  - Programy dcfldd i dc3dd
- Pozyskanie obrazów w formatach dowodowych
  - Narzędzie ewfacquire
  - AccessData ftkimager
  - Kontener dowodowy SquashFS
  - Pozyskiwanie obrazu z jednoczesnym zapisem w kilku miejscach
- Zastosowanie kryptografii podczas zabezpieczania dowodów cyfrowych
  - Podstawy kryptograficznych funkcji skrótu
  - Okna haszowania
  - Podpisywanie obrazu za pomocą PGP lub S/MIME
  - Znaczniki czasu RFC-3161
- Obsługa awarii i błędów dysku
  - Obsługa błędów w narzędziach informatyki śledczej
  - Narzędzia do odzyskiwania danych
  - SMART i błędy jądra
  - Inne metody w przypadku awarii dysku
  - Uszkodzone dyski optyczne
- Pozyskiwanie obrazu nośnika przez sieć
  - Zdalne pozyskiwanie obrazów dowodowych za pomocą rdd
  - Bezpieczne, zdalne tworzenie obrazu za pomocą ssh
  - Zdalne pozyskiwanie do kontenera dowodowego SquashFS
  - Pozyskiwanie obrazu zdalnego dysku w formatach EnCase i FTK
  - Zabezpieczanie działającego systemu za pomocą migawek Copy-On-Write
- Zabezpieczanie nośników wymiennych
  - Karty pamięci
  - Dyski optyczne
  - Taśmy magnetyczne
- RAID i systemy wielodyskowe
  - Zabezpieczanie zastrzeżonych układów RAID
  - JBOD i RAID-0 striping dysków
  - Microsoft Dynamic Disks
  - RAID-1 mirroring dysków
  - Linux RAID-5
- Podsumowanie
7. OPEROWANIE OBRAZAMI DOWODOWYMI
- Zastosowania kompresji obrazów
  - Standardowe linuxowe narzędzia do obsługi kompresji
  - Format skompresowany EnCase EWF
  - Format skompresowany FTK SMART
  - Kompresja wbudowana w AFFlib
  - Skompresowane kontenery dowodowe SquashFS
- Operowanie podzielonymi obrazami
  - Polecenie GNU split
  - Podział obrazów podczas akwizycji
  - Dostęp do zawartości podzielonego obrazu
  - Ponowne składanie podzielonych obrazów
- Sprawdzanie integralności obrazów dowodowych
  - Sprawdzanie kryptogracznego skrótu utworzonego podczas zabezpieczenia
  - Ponowne obliczanie haszy obrazów dowodowych
  - Kryptograczne skróty podzielonych obrazów nieprzetworzonych
  - Znajdowanie niepasujących do siebie okien haszowania
  - Sprawdzanie poprawności podpisów cyfrowych i znaczników czasu
- Przekształcanie formatów obrazów
  - Zamiana obrazów nieprzetworzonych
  - Konwersja z formatu EnCase/E01
  - Zamiana plików EnCase na FTK
  - Konwersja formatu AFF
- Kryptograficzne zabezpieczanie obrazu
  - Szyfrowanie GPG
  - Szyfrowanie OpenSSL
  - Wbudowane szyfrowanie w formatach dowodowych
  - Uniwersalne szyfrowanie dysków
- Klonowanie i powielanie dysków
  - Przygotowanie klona dysku
  - Użycie HPA do powielenia liczby sektorów nośnika
  - Zapis obrazu na klonie dysku
- Przesyłanie i przechowywanie obrazów
  - Zapis na nośniku wymiennym
  - Niedrogie dyski do przechowywania i przenoszenia danych
  - Przesyłanie dużej liczby danych przez sieć
- Bezpieczne zamazywanie i usuwanie danych
  - Usuwanie pojedynczych plików
  - Bezpieczne zamazywanie zawartości nośników danych
  - Wykorzystanie komendy ATA Security Erase Unit
  - Niszczenie kluczy szyfrowania dysków
- Podsumowanie
8. UZYSKIWANIE DOSTĘPU DO ZAWARTOŚCI NIETYPOWYCH OBRAZÓW
- Pliki obrazów pozyskanych w celach dowodowych
  - Pliki nieprzetworzonych obrazów dysków oraz urządzenia pętli
  - Pliki obrazów w formatach dowodowych
  - Przygotowanie obrazów startowych za pomocą xmount
- Obrazy maszyn wirtualnych (VM)
  - QEMU QCOW2
  - VirtualBox VDI
  - VMWare VMDK
  - Microsoft VHD
- Systemy plików szyfrowane z poziomu systemu operacyjnego
  - Microsoft BitLocker
  - Apple FileVault
  - Linux LUKS
  - TrueCrypt i VeraCrypt
- Podsumowanie
9. WYODRĘBNIANIE PODZBIORÓW DANYCH Z OBRAZÓW DOWODOWYCH
- Określanie układu partycji oraz typów systemów plików
  - Schematy partycjonowania
  - Tablice partycji
  - Identyfikacja systemów plików
- Wyodrębnianie zawartości partycji
  - Wyodrębnianie poszczególnych partycji
  - Znajdowanie i wyodrębnianie usuniętych partycji
  - Identyfikowanie i wyodrębnianie przestrzeni między partycjami
  - Wydobycie sektorów z obszarów HPA i DCO
- Wydobywanie innych fragmentarycznych danych
  - Wyodrębnianie slack space z systemów plików
  - Wyodrębnianie nieprzydzielonych bloków systemu plików
  - Ręczne wyodrębnianie za pomocą przesunięć
- Podsumowanie
UWAGI KOŃCOWE
Dodatek od tłumacza
Przypisy