恶意代码取证

　　旨在提出一套完整的恶意软件取证方法和流程，并以Windows和Linux两种操作系统为平台详细介绍了恶意软件取证过程的5个主要的阶段：易失性数据取证保存和检查、内存检查、硬盘检查、恶意软件静态分析、恶意软件动态分析。《恶意代码取证》可用作高等院校信息安全专业及计算机专业本科生、研究生的教材。同时，对于信息安全特别是网络司法取证学界的广大教师、研究人员以及公安网侦人员，《恶意代码取证》同样是不可多得的重要参考资料。网络犯罪是信息时代的产物。近年来随着计算机以及互联网的普及，尤其是各类金融业务通过因特网不断得到拓展，全球的网络犯罪案件迅速增长。如何有效防范并打击网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题，而且是计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。

　　James M．Aquilina是Sttoz Friedberg的行政主管兼代理常驻辩护律师，StrozFriedberg是一家专门从事计算机取证，电子数据的保存、分析和生产，计算机欺诈响应，滥用响应以及计算机安全的服务与咨询公司。Aquilina先生为了公司的管理经营及其法律事务的处理而劳心劳力，另外全面负责整个洛杉矶办事处的工作。他曾为政府部门、重要法律部门、公司管理和信息系统等部门指导、完成了很多数字取证和电子侦查任务，处理了很多刑事、民事、管理以及内部的公司纠纷案件，如电子伪造、擦除、大面积删除或其他形式的电子数据窃取，机密信息泄露，通过计算机盗窃商业机密和非法电子监视等。他曾经担任第三方中立专家对电子证据进行法院认可的取证检查。Aquilina先生还带头开展了该公司的在线欺诈和职权滥用调查，并定期组织技术和战略磋商会议，以保护计算机网络免受间谍软件和其他入侵软件、恶意软件和恶意代码、网络欺诈以及其他形式的非法因特网活动的侵害。他博学多知，对僵尸网络、分布式拒绝服务攻击以及其他自动化网络入侵等都有深入了解，这使他能为企业提供解决计算机欺诈和职权滥用事件等问题的咨询和解决方案，以加强其基础设施的保护。在加入Stroz Friedberg之前，Aquilina先生是美国加利福尼亚州中部地区联邦检察官办公室刑事司的一名助理检察官，在那里他主要负责网络和知识产权犯罪科与计算机和电子通信方面相关的工作。他还担任了洛杉矶电子犯罪特遣部队成员和计算机入侵工作组（一个机构间的网络犯罪响应组织）负责人。在担任助理检察官期间，．Aquilina先生负责调查并监督与计算机入侵犯罪、拒绝服务攻击敲诈、计算机和因特网欺诈、侵权犯罪、盗窃商业机密以及其他涉及盗窃和滥用个人职权等行为相关的起诉案件。Aquilina先生主持参与过很多著名的网络犯罪调查案例，例如美国第一例起诉利用僵尸网络进行牟利的犯罪案例，“地下僵尸管理者”通过转卖其所控制的受感染计算机大军用以发动攻击、发送垃圾邮件或秘密安装广告软件来牟利：他曾推进陪审团就第一起与数码摄像机使用相关的刑事版权侵犯案件进行定罪；他曾负责监督指导政府对网络犯罪打击活动[Opreation Cyberslam]（一项国际入侵犯罪调查，主要调查雇佣黑客针对在线商业竞争者进行计算机攻击等犯罪行为）的起诉；他也曾协助美国洛杉矶相关检察机关收集和分析当地恐怖组织的相关电子证据。在其于美国联邦检察官办公室工作期间，Aquilina先生同时也任职于重大欺诈和恐怖主义，有组织犯罪科，调查和审判了很多复杂案件，例如他曾审判过一起重大的国税局税务官和会计师联合腐败案件；他曾起诉法国里昂信贷银行欺诈一家现己解散的保险公司的赔偿，并为之昭雪：他还以勒索和绑架罪审判过一个亚美尼亚有组织犯罪集团。随着2001年9月11日袭击事件的发生，Aquilina先生开始协助联邦调查局紧急行动中心法律科的组建和运作。Aquilina先生在从事公共服务之前，曾在纽约的Richards、Spears、Kibbe＆Orbe律师事务所工作，当时主要负责解决联邦白领工作问题和纽约州的刑事、管理问题。Aquilina先生也曾担任过十分受人尊敬的加利福尼亚州南部的美国地方法院法官Irma E．Gonzalez的法律助理。他是乔治敦大学的优秀学士，美国加利福尼亚大学伯克利分校法学院的法学博士，当时他还是理查德厄斯金的学术研究员，担任了《加利福尼亚州法律审查》（califomiaLawReview）的文章编辑和执行委员会成员。他目前担任国际电子商务顾问理事会（电子商务理事会）网络法律问题的名誉理事会会员，该组织提供CEH（道德黑客认证）和CHFI（黑客法医调查员认证）认证，引领世界各地的安全行业专家。Eoghan Casey是一位事件响应和数字取证分析专家，经常在大面积的调查范围（包括国际范围内的网络入侵）内开展安全漏洞响应和数字证据分析工作。他在数字取证方面有丰富的经验，能够根据安全漏洞响应确定计算机入侵的起源、性质和范围，并利用取证与安全技术来维护受害网络的安全。他曾研究过数百种数字取证过程中可获得的证据，包括电子邮件和文件服务器、手持设备、备份磁带、数据库系统和网络日志等。Casey先生是其研究领域的权威，经常在美国和国外相关专业杂志或会议上撰写相关论文并发表演讲，如数字取证研究研讨会、高科技犯罪调查协会、搜索、IT安全和Infragard等会议。他曾编写了一本十分流行的教科书：《数字取证和计算机犯罪：取证科学、计算机与网络》（学术出版社，2004年）。他还是《计算机犯罪调查手册》的编辑，并且合著过《儿童剥削和色情调查》一书。Casey先生现在担任国际期刊《调查取证》的总编辑，该期刊按季度出版数字取证和事件响应方面的文章。作为Stroz Friedberg的数字取证调查总指导，Casey与其他人一起管理该公司在计算机取证、计算机犯罪响应和紧急事件响应领域的技术业务。此外，他还积极参与待审民事和刑事案件的作证，并提交专家报告以为计算机和网络犯罪案件的审判而向大陪审团作证。Casey先生还带头开展Stroz Friedberg公司外部和内部的各种取证培训项目并担任培训负责人。在Casey到Stroz Friedberg公司工作之前，他曾作为顾问在许多涉及与凶杀、剥削儿童和其他类型案件相关的网上犯罪活动和数字证据的刑事调查中协助执法部门办案。Casev于1999年至2002年间曾在耶鲁大学担任信息安全主管，并在后续咨询工作中负责脆弱性评估，处理关键安全漏洞，部署和维护入侵检测系统、防火墙和重要的公共基础设施，制定相关政策、规程和教育项目。自1996年以来。Casey先生一直通过在线和实地训练的方式提供培训服务，其课程涵盖了数字取证、事故响应和入侵调查。Casey先生于1991—1995年间还曾在美国航天局的极端紫外线探测卫星项目中担任高级研究助理和卫星操作员，负责编写与自动执行日常、安全性要求很高的卫星操纵流程相关的计算机程序，建立并维护一个Sybase的sQL数据库。Casey先生毕业于加州大学伯克利分校的机械工程专业，并获得纽约大学教育传播与技术专业硕士学位。Cameron H．Malin是联邦调查局分配给美国加利福尼亚州洛杉矶的网络重案组的特别代理，主要负责调查计算机入侵和恶意代码等问题。Malin先生是一位通过国际电子商务顾问理事会（电子商务理事会）认证的道德黑客（CEH认证），是一位通过国际信息系统安全认证协会（“（ISC）2”）认证的信息系统安装专家（CISSP），还是一位通过SANS研究机构认证的资深逆向工程恶意软件分析专家、资深系统入侵分析员、资深故障处理员和资深取证分析员。Malin先生目前是数字取证国际期刊（UDE）的编委会成员和信息保障技术分析中心（IATAC）的主题专栏专家。就职于美国联邦调查局之前，Malin曾是佛罗里达州迈阿密的国家检察官助理（ASA）和美国司法部长特别助理，专门从事计算机犯罪的起诉。在其作为国家检察官助理的任职期间，Malin先生也担任了乔治华盛顿大学的硕士课程《计算机欺诈调查》的助理教授。本书中由Cameron Matin所提及的相关技术、工具、方法、观点和意见都仅代表其个人意见，并不代表美国司法部、联邦调查局，甚至美国政府。联邦政府或者任何联邦机构不以任何方式对此书或其内容进行支持。译者简介：彭国军，男，1979年11月生，湖北荆州人。武汉大学计算机学院教师、信息安全博士。2001年起从事恶意软件及防护技术研究，曾协助公安机关进行多起网络犯罪案件的取证工作；2004年主编信息安全专业本科教材《计算机病毒分析与对抗》（“十一五”规划教材），参编和翻译的著作包括《计算机网络管理实用教程》、《信息安全原理与实践》等。主持多个省部级网络与安全科研项目，并参与多个国家“863”项目与国家自然科学基金项目。目前已发表信息安全方向科研与教学论文近20篇，各类安全技术文章近20篇。研究方向包括恶意代码、网络攻防、软件可信等。

第1章 恶意软件事件响应：易失性数据收集与实时Windows系统检查
引言
建立实时响应工具包
测试和验证您的工具
易失性数据收集方法
易失性数据的保存
搜集目标系统详细信息
识别登录到当前系统的用户
检查网络连接和活动
搜集进程信息
关联开放端口及其活动进程（和程序）
检查服务和驱动程序
检查打开的文件
收集命令的历史记录
识别共享
检查计划任务
收集剪贴板内容
从实时Windows系统收集非易失性数据
在实时Windows系统中对存储媒介进行司法复制
对实时Windows系统的特定数据进行司法保存
适用于Windows的事件响应工具套件
Windows Forensic Toolchest
从实时Windows系统中检查和提取恶意软件
小结
第2章 恶意软件事件响应：易失性数据收集与实时Linux系统检查
引言
易失性数据收集方法
Linux上的事件响应工具集
实时UNIX系统的完整内存转储
在实时UNIX系统上保存进程内存信息
获取目标系统的详细信息
识别出登录到系统的用户
检查网络连接
收集进程信息
／proc目录中的易失性数据
打开的文件和附属资源
检查已加载的模块
收集命令行历史信息
识别出已安装的共享驱动器
确定计划任务
实时Linux系统中的非易失性数据收集
对实时Linux系统中的存储介质的取证拷贝
对实时Linux系统中的指定数据进行取证保存
评估安全配置
评估主机的信任关系
收集登录日志和系统日志信息
小结
第3章 内存取证：分析物理内存和进程内存获取取证线索
引言
内存取证方法学
传统内存分析方法
Windows内存取证工具
深入分析内存映像
活动的、未活动的和隐藏的进程
Windows内存取证工具机理
虚拟内存地址
进程和线程
恢复提取可执行文件
提取进程内存数据
进程内存数据的导出和Windows系统实时分析
对实时运行的进程进行安全评估
捕获进程并分析内存
Linux内存取证分析工具
进程元数据
Linux内存取证分析工具机理
定位内存数据结构
进程
其他内存数据结构
在Linux系统上导出进程内存并进行分析
系统上的进程活动
用ps搜集进程信息
利用lsof识别进程活动
在／proc中定位可疑进程
从Jproc目录拷贝可疑可执行文件
捕获并检测进程内存数据
用gcore导出核心进程映像
用Pcat获取进程内存数据
用Memfetch获取进程内存数据
用ProcessDumper获取进程内存数据
其他事项
小结
第4章 事后取证：从windows系统中搜索并提取恶意软件以及相关线索
引言
受害windows系统的司法检查
时间分析：不仅仅只是一个时间轴
功能分析：重载一台windows计算机镜像
关系分析
关联与重载
从windows系统中发现并提取恶意软件
搜索已知的恶意软件
检查已安装的程序
检查预取文件
检查可执行文件
检查服务、驱动自启动位置以及计划任务
审查日志
检查用户账户
检查文件系统
检查注册表
还原点
关键词搜索
深入的wlndows系统中的恶意软件发现与提取技术
定制解药
小结
第5章 事后取证：从Linux系统中搜索并提取恶意软件以及相关线索
引言
从Linux系统上发现和提取恶意软件
搜索已知的恶意软件
审查已安装的程序和潜在的可疑可执行文件
审查自启动区域、配置文件和计划任务
检查日志
审查用户账户
检查文件系统
关键字搜索
小结
第6章 法律规范
引言
注意事项
调查机构
司法机构
私人调查机构
调查机构的法定约束
存储数据
实时数据
非内容数据
受保护数据
联邦法律
洲际法律
数据获取工具
跨境获得数据
执法部门介入
增加被法院受理的机会
第7章 文件识别和构型：Windows系统中可疑文件的初步分析
引言
案例：“HotNewVideo!”
文件构型过程概述
可执行文件分析
系统详细信息
哈希值
文件相似性索引
文件特征识别与分类
反病毒特征码
提取文件嵌入线索：字符串、符号信息，以及文件元数据
文件混淆技术：加壳和加密文件的鉴别
嵌入线索的再提取
小结
第8章 文件识别和构型：Linux系统上可疑文件的初步分析
引言
文件构型过程概述
分析Linux可执行文件
可执行文件是如何被编译的
静态链接vs动态链接
……
第9章 Windows平台下可疑软件分析
第10章 Linux平台下可疑程序分析