E-book details

Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie III

Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie III

Shiva V. N. Parasram

Ebook

Aby pomyślnie przeprowadzić dochodzenie cyfrowe, poza specjalnymi umiejętnościami i wiedzą techniczną musisz dysponować odpowiednimi narzędziami. Z rozwoju technologii korzystają również przestępcy, którzy popełniają swoje występki na wiele dotychczas nieznanych sposobów. W tych warunkach bezcenną pomoc możesz znaleźć w Kali Linuksie - potężnym systemie specjalnie przygotowanym do prowadzenia testów penetracyjnych i dochodzeń w informatyce śledczej.

Ta książka pomoże Ci w doskonaleniu umiejętności potrzebnych na każdym etapie dochodzenia cyfrowego, od zbierania dowodów, poprzez ich analizę, po tworzenie raportów. Dzięki wielu wskazówkom i praktycznym ćwiczeniom przyswoisz techniki analizy, ekstrakcji danych i raportowania przy użyciu zaawansowanych narzędzi. Poznasz różne systemy przechowywania plików i nauczysz się wyszukiwać urządzenia sieciowe za pomocą skanerów Nmap i Netdiscover. Zapoznasz się też ze sposobami utrzymywania integralności cyfrowego materiału dowodowego. Znajdziesz tu ponadto omówienie kilku bardziej zaawansowanych tematów, takich jak pozyskiwanie ulotnych danych z sieci, nośników pamięci i systemów operacyjnych.

Z książki dowiesz się:

  • jak przygotować do pracy system Kali Linux na różnych platformach sprzętowych
  • po co w analizach DFIR bada się zawartość RAM, a także systemy plików i nośniki danych
  • jak używać narzędzi takich jak Scalpel, Magic Rescue, Volatility 3 czy Autopsy 4
  • czym jest ransomware i jak korzystać z artefaktów systemowych w dochodzeniach DFIR
  • jak za pomocą narzędzi NFAT przechwytywać pakiety i analizować ruch sieciowy

Kali Linux: Twój najlepszy partner w cyfrowej dochodzeniówce!

O korektorach merytorycznych

O autorze

Wstęp

Część 1. Podstawy działania zespołów Blue Team i Purple Team

  • Rozdział 1. Podstawy działania zespołów Red, Blue i Purple Team
    • Jak zacząłem pracę z systemem Kali Linux
    • Czym jest Kali Linux?
      • Dlaczego system Kali Linux jest tak popularny?
    • Zespół Red Team
    • Zespół Blue Team
    • Zespół Purple Team
    • Podsumowanie
  • Rozdział 2. Wprowadzenie do informatyki śledczej
    • Czym jest informatyka śledcza?
    • Dlaczego potrzebujemy zespołów Red i Purple Team?
    • Metodologia i procedury w informatyce śledczej
      • Normy i standardy z zakresu informatyki śledczej
    • Porównanie systemów operacyjnych dla informatyki śledczej
      • DEFT Linux
      • CAINE Linux
      • CSI Linux
      • Kali Linux
    • Dlaczego należy korzystać z wielu narzędzi w dochodzeniach cyfrowych
      • Komercyjne narzędzia śledcze
      • Techniki anti-forensics - zagrożenie dla informatyki śledczej
    • Podsumowanie
  • Rozdział 3. Instalowanie systemu Kali Lin
    • Wymagania techniczne
    • Pobieranie systemu Kali Linux
      • Pobieranie wymaganych narzędzi i obrazów
      • Pobieranie obrazu Kali Linux Everything
    • Instalowanie systemu Kali Linux na przenośnych nośnikach pamięci
    • Instalowanie systemu Kali Linux jako samodzielnego systemu operacyjnego
    • Instalowanie systemu Kali Linux w maszynie wirtualnej VirtualBox
      • Przygotowanie maszyny wirtualnej z systemem Kali Linux
    • Instalowanie systemu Kali Linux w maszynie wirtualnej
      • Instalowanie i konfigurowanie systemu Kali Linux
    • Podsumowanie
  • Rozdział 4. Instalowanie dodatkowych komponentów systemu Kali Linux i zadania do wykonania po instalacji
    • Instalacja wstępnie skonfigurowanej wersji Kali Linux w maszynie wirtualnej VirtualBox
    • Instalowanie systemu Kali Linux na platformie Raspberry Pi 4
    • Aktualizacja systemu Kali Linux
    • Włączanie konta użytkownika root w systemie Kali Linux
    • Instalowanie metapakietu kali-tools-forensics
    • Podsumowanie
  • Rozdział 5. Instalowanie pakietu Wine w systemie Kali Linux
    • Pakiet Wine i jego zalety w systemie Kali Linux
    • Instalowanie pakietu Wine
      • Konfigurowanie pakietu Wine
    • Testowanie pakietu Wine
    • Podsumowanie

Część 2. Podstawowe zagadnienia oraz najlepsze praktyki informatyki śledczej i reagowania na incydenty

  • Rozdział 6. Systemy plików i nośniki pamięci masowej
    • Historia i rodzaje nośników danych
      • Firma IBM i historia nośników pamięci
      • Wymienne nośniki danych
      • Napędy z taśmą magnetyczną
      • Dyskietki
      • Optyczne nośniki danych
      • Płyty Blu-ray
      • Pamięci flash
      • Pamięci flash z portem USB
      • Karty pamięci flash
      • Dyski twarde
      • Dyski twarde IDE
      • Dyski twarde SATA
      • Dyski SSD
    • Systemy plików i systemy operacyjne
      • Microsoft Windows
      • Macintosh (macOS)
      • Linux
    • Typy i stany danych
      • Metadane
      • Slack space
    • Dane ulotne i nieulotne oraz kolejność gromadzenia dowodów cyfrowych
    • Znaczenie pamięci RAM oraz pliku stronicowania i pamięci podręcznej w dochodzeniach DFIR
    • Podsumowanie
  • Rozdział 7. Reagowanie na incydenty, pozyskiwanie cyfrowego materiału dowodowego oraz normy i standardy z zakresu informatyki śledczej
    • Procedury pozyskiwania dowodów cyfrowych
    • Reagowanie na incydenty i osoby reagujące w pierwszej kolejności
    • Zbieranie i dokumentowanie dowodów cyfrowych
      • Narzędzia do fizycznego pozyskiwania danych
    • Pozyskiwanie danych z komputerów włączonych i wyłączonych
      • Kolejność pozyskiwania danych ulotnych
      • Pozyskiwanie danych z urządzeń włączonych i wyłączonych
    • Formularz kontroli łańcucha dowodowego
    • Znaczenie urządzeń blokujących zapis na nośnikach danych
    • Tworzenie binarnych obrazów danych i zachowywanie integralności dowodów cyfrowych
      • Skrót MD5 (Message Digest)
      • Skrót SHA (Secure Hashing Algorithm)
    • Najlepsze praktyki pozyskiwania danych i standardy DFIR
      • Normy i standardy w informatyce śledczej
    • Podsumowanie

Część 3. Dochodzenia cyfrowe i reagowanie na incydenty z użyciem narzędzi dostępnych w systemie Kali Linux

  • Rozdział 8. Narzędzia do gromadzenia dowodów cyfrowych
    • Zastosowanie polecenia fdisk do rozpoznawania partycji
      • Identyfikacja urządzenia za pomocą polecenia fdisk
    • Zastosowanie silnych algorytmów funkcji skrótu do zapewnienia integralności dowodów cyfrowych
    • Tworzenie obrazów binarnych nośników pamięci za pomocą programu DC3DD
      • Weryfikacja wartości skrótu kryptograficznego obrazów binarnych
      • Wymazywanie dysku za pomocą programu DC3DD
    • Tworzenie obrazów binarnych nośników pamięci za pomocą programu DD
    • Tworzenie obrazów dysków za pomocą programu Guymager
      • Uruchamianie programu Guymager
      • Tworzenie binarnych obrazów nośników danych za pomocą programu Guymager
    • Tworzenie obrazów nośników danych i pamięci operacyjnej za pomocą programu FTK Imager uruchamianego za pośrednictwem pakietu Wine
      • Instalowanie programu FTK Imager
      • Tworzenie obrazów zawartości pamięci RAM za pomocą programu FTK Imager
    • Tworzenie obrazów pamięci RAM i plików stronicowania za pomocą programu Belkasoft RAM Capturer
    • Podsumowanie
  • Rozdział 9. Odzyskiwanie skasowanych plików i narzędzia do odtwarzania danych
    • Podstawy działania plików
    • Pobieranie plików do ćwiczeń
    • Odzyskiwanie plików i carving danych za pomocą programu Foremost
    • Odzyskiwanie plików graficznych za pomocą programu Magic Rescue
    • Odzyskiwanie danych za pomocą programu Scalpel
    • Odzyskiwanie danych za pomocą programu bulk_extractor
    • Odzyskiwanie NTFS za pomocą programu scrounge-ntfs
    • Odzyskiwanie obrazów za pomocą programu Recoverjpeg
    • Podsumowanie
  • Rozdział 10. Analiza śledcza zawartości pamięci przy użyciu pakietu Volatility 3
    • Co nowego w pakiecie Volatility 3 Framework
    • Pobieranie przykładowych plików zrzutu pamięci
    • Instalacja pakietu Volatility 3 w systemie Kali Linux
    • Analiza śledcza pliku obrazu pamięci przy użyciu pakietu Volatility 3
      • Weryfikacja obrazu i systemu operacyjnego
      • Identyfikacja i analiza uruchomionych procesów
    • Podsumowanie
  • Rozdział 11. Analiza artefaktów systemowych, malware i oprogramowania ransomware
    • Identyfikacja urządzeń i systemów operacyjnych za pomocą programu p0f
    • swap_digger - narzędzie do analizy pliku wymiany systemu Linux
      • Instalowanie i sposób użycia programu swap_digger
    • Wyodrębnianie haseł za pomocą programu MimiPenguin
    • Analiza złośliwych plików PDF
    • Automatyczna analiza złośliwych plików w serwisie Hybrid Analysis
    • Analiza oprogramowania ransomware przy użyciu pakietu Volatility 3
      • Wtyczka pslist
    • Podsumowanie

Część 4. Zautomatyzowane narzędzia DFIR

  • Rozdział 12. Pakiet Autopsy Forensic Browser
    • Wprowadzenie do pakietów Autopsy i The Sleuth Kit
    • Pobieranie przykładowych plików do użycia i tworzenie nowego dochodzenia za pomocą nakładki Autopsy Forensic Browser
      • Uruchamianie nakładki Autopsy Forensic Browser
      • Tworzenie nowego dochodzenia w nakładce Autopsy Forensic Browser
    • Analiza dowodów przy użyciu nakładki Autopsy Forensic Browser
    • Podsumowanie
  • Rozdział 13. Przeprowadzanie dochodzeń cyfrowych przy użyciu pakietu Autopsy 4
    • Funkcje interfejsu użytkownika pakietu Autopsy 4
    • Instalowanie pakietu Autopsy 4 w systemie Kali Linux za pomocą pakietu Wine
    • Pobieranie przykładowych plików obrazów do analizy
    • Tworzenie nowych dochodzeń i wprowadzenie do interfejsu pakietu Autopsy 4
    • Analizowanie katalogów i odzyskiwanie usuniętych plików i artefaktów za pomocą Autopsy 4
    • Podsumowanie

Część 5. Narzędzia do analizy śledczej połączeń sieciowych

  • Rozdział 14. Narzędzia do wykrywania i eksplorowania sieci
    • Zastosowanie programu netdiscover do wykrywania i identyfikowania urządzeń w sieci
    • Zastosowanie skanera Nmap do wykrywania i identyfikowania urządzeń w sieci
    • Zastosowanie skanera Nmap do wykrywania otwartych portów i usług
    • Zastosowanie wyszukiwarki Shodan.io do wyszukiwania urządzeń IoT, zapór sieciowych, systemów CCTV i serwerów
      • Zastosowanie filtrów Shodan do wyszukiwania urządzeń IoT
    • Podsumowanie
  • Rozdział 15. Analiza pakietów sieciowych za pomocą programu Xplico
    • Instalowanie pakietu Xplico w systemie Kali Linux
    • Instalowanie systemu DEFT Linux 8.1 w maszynie wirtualnej VirtualBox
      • Pobieranie przykładowych plików do analizy
    • Uruchamianie pakietu Xplico w systemie DEFT Linux
    • Zastosowanie pakietu Xplico do automatycznej analizy ruchu sieciowego, poczty elektronicznej i połączeń głosowych
      • Zautomatyzowana analiza ruchu http
      • Zautomatyzowana analiza ruchu SMTP
      • Zautomatyzowana analiza ruchu VoIP
    • Podsumowanie
  • Rozdział 16. Narzędzia do analizy ruchu sieciowego
    • Przechwytywanie pakietów za pomocą programu Wireshark
    • Analiza pakietów sieciowych za pomocą programu NetworkMiner
    • Analiza pakietów sieciowych za pomocą programu PcapXray
    • Analiza online plików PCAP w witrynie packettotal.com
    • Analiza online plików PCAP w witrynie apackets.com
    • Tworzenie raportów i prezentacja wyników
    • Podsumowanie
  • Title: Informatyka śledcza i Kali Linux. Przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x. Wydanie III
  • Author: Shiva V. N. Parasram
  • Original title: Digital Forensics with Kali Linux: Enhance your investigation skills by performing network and memory forensics with Kali Linux 2022.x, 3rd Edition
  • Translation: Grzegorz Kowalczyk
  • ISBN: 978-83-289-0593-1, 9788328905931
  • Date of issue: 2024-02-13
  • Format: Ebook
  • Item ID: inslk3
  • Publisher: Helion
  • Age category: 14+