如今，网络安全与网络工程专业人士已然明白，漏洞是不可避免的，但可以通过迅速识别和拦截漏洞来大幅降低风险。本书提供了网络入侵调查的全面指南。
在本书中,资深网络安全专家Joseph Muniz和Aamir Lakhani介绍了识别攻击者的最新技术，从而跟踪他们在网络中的活动，防止数据泄露和知识产权侵权，并为调查和起诉收集证据。你将学习如何最大化地利用目前的开源项目资源与思科公司的相关工具来进行复现、数据分析、网络和端点漏洞检测、案例管理、监控、分析等工作。
与主要关注攻击后证据收集的电子数据取证图书不同，本书覆盖了跟踪威胁的完整技术链，提高了智能性，可根除潜在的恶意软件，并有效地反击目前正在进行的破坏行动。

韩马剑，男，河北省公安厅网络安全保卫总队电子数据鉴定支队支队长，公安部网络安全专家、中国合格评定国家委员会技术评审员、中国电子学会计算机取证专家委员会委员。从事网络犯罪侦查、电子数据取证工作十余年，在网络安全专业方向具有较深的造诣，侦办破获多起重大网络案件，多次荣立个人二等功、三等功。警务技术统编教材《电子数据勘查取证》编写组成员，公安院校录改教材《网络犯罪侦查》《电子数据取证》副主编。撰写并发表《虚拟化技术在电子数据检验鉴定实验室中的应用研究》《路由器取证研究》《电子数据侦查实验刑事诉讼应用与审查研究》等多篇专业论文。

译者序
前言
致谢
作者简介
审校者简介
第1章 电子数据取证
1.1 定义电子数据取证
1.2 从事取证服务
1.3 汇报犯罪活动
1.4 搜查令与法律
1.5 取证角色
1.6 取证就业市场
1.7 取证培训
1.8 小结
参考文献
第2章 网络犯罪与防御
2.1 数字时代的犯罪
2.2 漏洞利用
2.3 对手
2.4 网络法
2.5 小结
参考文献
第3章 建立电子数据取证实验室
3.1 桌面虚拟化
3.1.1 VMware Fusion
3.1.2 VirtualBox
3.2 安装Kali Linux
3.3 攻击虚拟机
3.4 Cuckoo沙盒
3.4.1 Cuckoo虚拟化软件
3.4.2 安装TCPdump
3.4.3 在VirtualBox上为Cuckoo创建账户
3.5 Binwalk
3.6 The Sleuth Kit
3.7 Cisco Snort
3.8 Windows 工具
3.9 物理访问控制
3.10 存储取证证据
3.11 快速取证背包
3.12 小结
参考文献
第4章 违规应急响应
4.1 机构在应急响应中失败的原因
4.2 为网络事件做好准备
4.3 应急响应定义
4.4 应急响应计划
4.5 组建应急响应团队
4.5.1 应急响应团队的介入时机
4.5.2 应急响应中容易忽略的事项
4.5.3 电话树和联系人列表
4.5.4 设施
4.6 应急响应
4.7 评估事件严重性
4.8 遵循的通知程序
4.9 事件后采取的行动和程序
4.10 了解有助于应对违规事件的软件
4.10.1 趋势分析软件
4.10.2 安全分析参考架构
4.10.3 其他软件类别
4.11 小结
参考文献
第5章 调查
5.1 预调查
5.2 开始案件
5.3 应急响应人员
5.4 设备电源状态
5.5 搜查和扣押
5.6 证据保管链
5.7 网络调查
5.8 取证报告
5.8.1 案例摘要
5.8.2 获取和检查准备
5.8.3 发现
5.8.4 结论
5.8.5 作者列表
5.9 结束案件
5.10 评判案件
5.11 小结
参考文献
第6章 收集和保全证据
6.1 应急响应人员
6.2 证据
6.2.1 Autopsy
6.2.2 授权
6.3 硬盘驱动器
6.3.1 连接和设备
6.3.2 RAID
6.4 易失性数据
6.4.1 DumpIt
6.4.2 LiME
6.4.3 Volatility
6.5 复制
6.5.1 dd
6.5.2 dcfldd
6.5.3 ddrescue
6.5.4 Netcat
6.5.5 Guymager
6.5.6 压缩和分片
6.6 哈希
6.6.1 MD5和SHA哈希
6.6.2 哈希挑战
6.7 数据保全
6.8 小结
参考文献
第7章 终端取证
7.1 文件系统
7.1.1 定位数据
7.1.2 未知文件
7.1.3 Windows注册表
7.1.4 被删除的文件
7.1.5 Windows回收站
7.1.6 快捷方式
7.1.7 打印缓冲池
7.1.8 松弛空间和损坏的簇
7.1.9 交换数据流
7.2 Mac OS X
7.3 日志分析
7.4 物联网取证
7.5 小结
参考文献
第8章 网络取证
8.1 网络协议
8.2 安全工具
8.2.1 防火墙
8.2.2 入侵检测和防御系统
8.2.3 内容过滤器
8.2.4 网络访问控制
8.2.5 数据包捕获
8.2.6 网络流
8.2.7 沙盒
8.2.8 蜜罐
8.2.9 安全信息和事件管理器
8.2.10 威胁分析与提要
8.2.11 安全工具总结
8.3 安全日志
8.4 网络基线
8.5 威胁征兆
8.5.1 侦察
8.5.2 漏洞利用
8.5.3 恶意行为
8.5.4 信标
8.5.5 暴力破解
8.5.6 泄露
8.5.7 其他指标
8.6 小结
参考文献
第9章 手机取证
9.1 移动设备
9.2 iOS架构
9.3 iTunes取证
9.4 iOS快照
9.5 如何给iPhone越狱
9.6 Android
9.7 绕过PIN
9.8 使用商业工具取证
9.9 通话记录和短信欺骗
9.10 语音邮件绕过
9.11 如何找到预付费手机
9.12 SIM卡克隆
9.13 小结
参考文献
第10章 邮件和社交媒体
10.1 瓶中信
10.2 邮件首部
10.3 社交媒体
10.4 人员搜索
10.5 谷歌搜索
10.6 Facebook搜索
10.7 小结
参考文献
第11章 思科取证能力
11.1 思科安全架构
11.2 思科开源工具
11.3 思科Firepower
11.4 思科高级恶意软件防护
11.5 思科威胁网格
11.6 思科Web安全设备
11.7 思科认知威胁分析
11.8 Meraki
11.9 电子邮件安全设备
11.10 思科身份识别服务引擎
11.11 思科Stealthwatch
11.12 思科Tetration
11.13 思科保护伞
11.14 思科Cloudlock
11.15 思科网络技术
11.16 小结
参考文献
第12章 取证案例场景
12.1 场景1：网络通信调查
12.1.1 预定方案
12.1.2 网络数据调查策略
12.1.3 调查
12.1.4 结束调查
12.2 场景2：正在使用的终端设备的取证
12.2.1 预定方案
12.2.2

1.本书由资深网络安全专家和行业安全架构领导者联袂撰写；
2.本书阐述了识别网络攻击者的*新技术，利用开源技术和专业工具，构成完整技术链，跟踪网络威胁、分析漏洞、监控网络，达到根除潜在恶意软件，有效反击网络破坏的行为，该书是一本网络入侵调查取证的方法指南。