惡意代碼取證（簡體書）

病毒、蠕蟲、特洛伊木馬數量迅速增長。本書旨在幫助數字調查人員在計算機系統上識別惡意軟件，將其隔離，從而揭示其功能和目的，并且可以在主體系統上確定被破壞的惡意軟件。

第1章　惡意軟件事件響應：易失性數據收集與實時Windows系統檢查
引言
建立實時響應工具包
測試和驗證您的工具
易失性數據收集方法
易失性數據的保存
搜集目標系統詳細信息
識別登錄到當前系統的用戶
檢查網絡連接和活動
搜集進程信息
關聯開放端口及其活動進程（和程序）
檢查服務和驅動程序
檢查打開的文件
收集命令的歷史記錄
識別共享
檢查計劃任務
收集剪貼板內容
從實時Windows系統收集非易失性數據
在實時Windows系統中對存儲媒介進行司法復制
對實時Windows系統的特定數據進行司法保存
適用于Windows的事件響應工具套件
Windows Forensic Toolchest
從實時Windows系統中檢查和提取惡意軟件
小結
第2章　惡意軟件事件響應：易失性數據收集與實時Linux系統檢查
引言
易失性數據收集方法
Linux上的事件響應工具集
實時UNIX系統的完整內存轉儲
在實時UNIX系統上保存進程內存信息
獲取目標系統的詳細信息
識別出登錄到系統的用戶
檢查網絡連接
收集進程信息
／proc目錄中的易失性數據
打開的文件和附屬資源
檢查已加載的模塊
收集命令行歷史信息
識別出已安裝的共享驅動器
確定計劃任務
實時Linux系統中的非易失性數據收集
對實時Linux系統中的存儲介質的取證拷貝
對實時Linux系統中的指定數據進行取證保存
評估安全配置
評估主機的信任關系
收集登錄日志和系統日志信息
　小結
第3章 內存取證：分析物理內存和進程內存獲取取證線索
引言
內存取證方法學
傳統內存分析方法
Windows內存取證工具
深入分析內存映像
活動的、未活動的和隱藏的進程
Windows內存取證工具機理
虛擬內存地址
進程和線程
恢復提取可執行文件
提取進程內存數據
進程內存數據的導出和Windows系統實時分析
對實時運行的進程進行安全評估
捕獲進程并分析內存
Linux內存取證分析工具
進程元數據
Linux內存取證分析工具機理
定位內存數據結構
進程
其他內存數據結構
在Linux系統上導出進程內存并進行分析
系統上的進程活動
用ps搜集進程信息
利用lsof識別進程活動
在／proc中定位可疑進程
　……
第4章　事后取證：從Windows系統中搜索并撮惡意軟件以及相關線索
第5章　事后取證：從Linux系統中搜索并撮惡意軟件以及相關線索
第6章　法律規范
第7章　文件識別和構型：Windows系統中可疑文件的初步分析　
第8章　文件識別和構型：Linux系統上可疑文件的初步分析　
第9章　Windows平臺下可疑軟件分析
第10章　Linux平臺下可疑程序分析