Криминалистика компьютерной памяти на практике

Островская Светлана, Скулкин Олег

Код товара: 4948564
(0 оценок)Оценить
ОтзывНаписать отзыв
ВопросЗадать вопрос
PDF
1 904
3 172
Доставим в
г. Москва
Планируемая дата
28 февраля (Ср)
Курьером
Л-Пост
бесплатно от 3 500 ₽
В пункт выдачи
от 77 ₽
бесплатно от 2 000 ₽
Точная стоимость доставки рассчитывается при оформлении заказа
Издательство:
ДМК-Пресс
Оригинальное название:
Practical Memory Forensics
Год издания:
2022 г.
Может быть отгружен товар указанного или более позднего года
Переводчик:

Описание

Характеристики

Криминалистика компьютерной памяти - действенный метод анализа, применимый в разных областях, от реагирования на инциденты до анализа вредоносных программ. Он позволяет не только получить представление о контексте пользователя, но и искать уникальные следы вредоносных программ, а иногда и полностью реконструировать сложную целевую атаку.
Авторы книги знакомят читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с применением свободно распространяемых инструментов и фреймворков для анализа памяти.
В издании принят практический подход, используются образы памяти из реальных инцидентов. Это позволяет лучше понять предмет и наработать навыки, необходимые для реагирования на инциденты и расследования сложных целевых атак. Рассматриваются элементы внутреннего устройства Windows, Linux и macOS, изучаются методы и инструменты для обнаружения, исследования и активного поиска угроз методами криминалистики.
Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников.

Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей.
Предполагается базовое знакомство с принципами работы вредоносного ПО. Знание внутреннего устройства операционных систем необязательно, но желательно.
количество томов
1
количество страниц
256 стр.
переплет
Твёрдый переплёт
размеры
243x172x18 мм
цвет
Синий
тип бумаги
офсетная (60-220 г/м2)
ISBN
978-5-93700-157-3
возрастная категория
18+ (нет данных)
вес
код в Майшоп
4948564
язык
русский

Содержание

Предисловие от издательства
Отзывы и пожелания
Список опечаток
Нарушение авторских прав
Об авторах
О рецензентах
Предисловие
Целевая аудитория
Структура книги
Как извлечь максимум пользы из этой книги
Скачайте цветные изображения
Условные обозначения
Оставайтесь на связи
Поделитесь своими мыслями
ЧАСТЬ I. ОСНОВЫ КРИМИНАЛИСТИКИ ПАМЯТИ
Глава 1. Зачем нужна криминалистика памяти?
Основные преимущества криминалистики памяти
Без следов
Найди меня в памяти
Фреймворки
Living off the land
На страже конфиденциальности
О целях и методологии расследования
Устройство потерпевшего
Устройство подозреваемого
О проблемах КТЭ памяти
Инструменты
Критические системы
Нестабильность
Резюме
Глава 2. Создание дампов памяти
Введение в управление памятью
Адресное пространство
Виртуальная память
Разбиение на страницы
Разделяемая память
Стек и куча
Что такое анализ живой памяти?
Windows
Linux и macOS
Получение полного и частичного образов памяти
Популярные инструменты и методы создания дампа
памяти
Виртуальная или физическая
Локальная или удаленная
Как выбрать
Пора
Резюме
ЧАСТЬ II. КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ
ЭКСПЕРТИЗА В WINDOWS
Глава 3. Получение образа памяти в Windows
Проблемы получения образа памяти в Windows
Подготовка к получению образа памяти в Windows
Создание образа памяти с помощью FTK Imager
Создание образа памяти с помощью WinPmem
Создание образа памяти с помощью Belkasoft RAM
Capturer
Создание образа памяти с помощью Magnet RAM
Capture
Резюме
Глава 4. Реконструкция пользовательской
активности
Технические требования
Анализ запущенных приложений
Введение в Volatility
Идентификация профиля
Поиск активных процессов
Поиск завершившихся процессов
Поиск открытых документов
Документы в памяти процесса
Исследование истории браузера
Анализ Chrome с помощью плагина yarascan
Анализ Firefox с помощью bulk_extractor
Анализ Tor с помощью Strings
Исследование коммуникационных приложений
Почта, почта, почта
Мессенджеры
Восстановление паролей пользователя
Hashdump
Cachedump
Lsadump
Пароли в открытом виде
Обнаружение криптоконтейнеров
Исследование реестра Windows
Виртуальный реестр
Установка MemProcFS
Работа с реестром Windows
Резюме
Глава 5. Обнаружение вредоносных программ и их
анализ средствами компьютерно-технической
экспертизы в Windows
Поиск вредоносных процессов
Имена процессов
Обнаружение аномального поведения
Анализ аргументов командной строки
Командные аргументы процессов
История команд
Исследование сетевых подключений
Процесс-инициатор
IP-адреса и порты
Обнаружение внедрений в память процесса
Внедрение динамически компонуемой библиотеки
Удаленное внедрение DLL
Рефлексивное внедрение DLL
Внедрение переносимых исполняемых файлов
Выдалбливание процесса
Подмена процесса
Поиск свидетельств присутствия
Автостарт на этапе загрузки или входа в систему
Создание учетной записи
Создание и модификация системных процессов
Запланированная задача
Создание хронологий
Хронологии событий в файловой системе
Хронологии событий в памяти
Резюме
Глава 6. Альтернативные источники
энергозависимых данных
Исследование файлов гибернации
Получение файла гибернации
Анализ файла hiberfil.sys
Изучение файла страничного обмена и файла
подкачки
Получение файлов страничного обмена
Анализ pagefile.sys
Поиск строк
Выпиливание файлов
Анализ аварийных дампов
Создание дампа памяти
Имитация отказа системы
Создание дампа процесса
Анализ аварийных дампов
Аварийные дампы системы
Анализ дампа процесса
Резюме
ЧАСТЬ III. КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ
ЭКСПЕРТИЗА В LINUX
Глава 7. Создание дампа памяти в Linux
Проблемы, связанные с созданием дампа памяти в
Linux
Подготовка к созданию дампа памяти в Linux
Создание дампа памяти с помощью LiME
Создание дампа памяти с помощью AVML
Создание профиля Volatility
Резюме
Глава 8. Реконструкция действий пользователя
Технические требования
Исследование запущенных программ
Анализ истории Bash
Поиск открытых документов
Восстановление файловой системы
Проверка истории браузера
Изучение коммуникационных приложений
Поиск смонтированных устройств
Обнаружение криптоконтейнеров
Резюме
Глава 9. Обнаружение вредоносных действий
Исследование сетевой активности
Анализ вредоносной активности
Исследование объектов ядра
Резюме
ЧАСТЬ IV. КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ
ЭКСПЕРТИЗА В MACOS
Глава 8. Создание дампа памяти в macOS
Проблемы получения дампа памяти в macOS
Подготовка к получению дампа памяти в macOS
Получение дампа памяти с помощью osxpmem
Создание профиля Volatility
Резюме
Глава 11. Обнаружение и анализ вредоносной
активности в macOS
Особенности анализа macOS с помощью Volatility
Технические требования
Исследование сетевых подключений
Анализ процессов и их памяти
Восстановление файловой системы
Получение данных из пользовательских
приложений
Поиск вредоносной активности
Кратко
Предметный указатель

Отзывы

Вопросы

Поделитесь своим мнением об этом товаре с другими покупателями — будьте первыми!

Дарим бонусы за отзывы!

За какие отзывы можно получить бонусы?
  • За уникальные, информативные отзывы, прошедшие модерацию
Как получить больше бонусов за отзыв?
  • Публикуйте фото или видео к отзыву
  • Пишите отзывы на товары с меткой "Бонусы за отзыв"
Правила начисления бонусов
Задайте вопрос, чтобы узнать больше о товаре
Если вы обнаружили ошибку в описании товара «Криминалистика компьютерной памяти на практике» (авторы: Островская Светлана, Скулкин Олег), то выделите её мышкой и нажмите Ctrl+Enter. Спасибо, что помогаете нам стать лучше!
Ваш населённый пункт:
г. Москва
Выбор населённого пункта