Криминалистика компьютерной памяти на практике: Как эффектив- но анализировать оперативную память
معرفی کتاب «Криминалистика компьютерной памяти на практике: Как эффектив- но анализировать оперативную память» نوشتهٔ Островская С., Скулкин О.، منتشرشده توسط نشر ДМК Пресс در سال 2023. این کتاب در 5 صفحه، فرمت pdf، زبان ru ارائه شده است.
Криминалистика компьютерной памяти — действенный метод анализа, применимый в разных областях, от реагирования на инциденты до анализа вредоносных программ. Он позволяет не только получить представление о контексте пользователя, но и искать уникальные следы вредоносных программ, а иногда и полностью реконструировать сложную целевую атаку. Авторы книги знакомят читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с применением свободно распространяемых инструментов и фреймворков для анализа памяти. В издании принят практический подход, используются образы памяти из реальных инцидентов. Это позволяет лучше понять предмет и наработать навыки, необходимые для реагирования на инциденты и расследования сложных целевых атак. Рассматриваются элементы внутреннего устройства Windows, Linux и macOS, изучаются методы и инструменты для обнаружения, исследования и активного поиска угроз методами криминалистики. Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников.Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей. Предполагается базовое знакомство с принципами работы вредоносного ПО. Знание внутреннего устройства операционных систем необязательно, но желательно. p, li { white-space: pre-wrap; }hr { height: 1px; border-width: 0; }li.unchecked::marker { content: "\2610"; }li.checked::marker { content: "\2612"; } Предисловие от издательства Отзывы и пожелания Список опечаток Нарушение авторских прав Об авторах О рецензентах Предисловие Целевая аудитория Структура Как извлечь максимум пользы из этой книги Скачайте цветные изображения Условные обозначения Оставайтесь на связи Поделитесь своими мыслями Часть I. Основы криминалистики памяти Глава 1. Зачем нужна криминалистика памяти? Основные преимущества криминалистики памяти Без следов Найди меня в памяти Фреймворки Living off the land На страже конфиденциальности Цели и методы исследования Устройство потерпевшего Устройство подозреваемого Сложности исследования памяти Инструменты Критические системы Нестабильность Кратко Глава 2. Создание дампов памяти Введение в управление памятью Адресное пространство Виртуальная память Разбиение на страницы Разделяемая память Стек и куча Анализ живой памяти Windows Linux и macOS Создание полного и частичного дампа памяти Популярные инструменты и методы создания дампов Виртуально или физически Локально или удаленно Как выбрать О времени Кратко Часть II. Криминалистика памяти в windows Глава 3. Создание дампа памяти в Windows Трудности создания дампов памяти в Windows Подготовка к созданию дампа памяти в Windows Создание дампа памяти с помощью FTK Imager Создание дампа памяти с помощью WinPmem Создание дампа памяти с помощью Belkasoft Live RAM Capturer Создание дампа памяти с помощью Magnet RAM Capture Кратко Глава 4. Реконструкция пользовательской активности Технические требования Анализ запущенных приложений Введение в Volatility Идентификация профиля Поиск активных процессов Поиск завершившихся процессов Поиск открытых документов Документы в памяти процессов Исследование истории браузера Анализ Chrome с помощью плагина yarascan Анализ Firefox с помощью ulk Extractor Анализ Tor с помощью Strings Исследование коммуникационных приложений Почта, почта, почта Мессенджеры Восстановление паролей пользователя Hashdump Cachedump Lsadump Пароли в открытом виде Обнаружение криптоконтейнеров Следы пользовательской активности в реестре Виртуальный реестр Установка MemProcFS Работа с реестром Windows Кратко Глава 5. Поиск следов вредоносных программ и их анализ Поиск вредоносных процессов Имена процессов Обнаружение аномального поведения Анализ аргументов командной строки Аргументы командной строки процессов История команд Исследование сетевых соединений Процесс-инициатор IP-адреса и порты Обнаружение внедрения кода в память процесса Внедрение DLL Удаленное внедрение DLL Рефлексивное внедрение DLL Внедрение переносимых исполняемых файлов Внедрение в пустой процесс Процесс-двойник Поиск следов закрепления Автозапуск при загрузке или входе в систему Создание учетной записи Создание или изменение системных процессов Запланированная задача Построение таймлайна Таймлайн на основе файловой системы Таймлайн на основе памяти Кратко Глава 6. Альтернативные источники энергозависимых данных Исследование файлов гибернации Получение файла гибернации Анализ файла hiberfil.sys Изучение файлов подкачки Получение файлов подкачки Анализ pagefile.sys Поиск по строкам Карвинг файлов Анализ аварийных дампов Создание аварийного дампа Имитация отказа системы Создание дампа процесса Анализ аварийных дампов Аварийные дампы системы Анализ дампа процесса Кратко Часть III. Криминалистика памяти в linux Глава 7. Создание дампа памяти в Linux Трудности создания дампов памяти в Linux Подготовка к созданию дампа памяти в Linux Создание дампа памяти с помощью LiME Создание дампа памяти с помощью AVML Создание профиля Volatility Кратко Глава 8. Реконструкция действий пользователя Технические требования Исследование запущенных программ Анализ истории Bash Поиск открытых документов Восстановление файловой системы Проверка истории браузера Изучение коммуникационных приложений Поиск примонтированных устройств Обнаружение криптоконтейнеров Кратко Глава 9. Обнаружение вредоносной активности Исследование сетевой активности Анализ вредоносной активности Изучение объектов ядра Кратко Часть IV. Криминалистика памяти в macOS Глава 8. Создание дампа памяти в macOS Трудности создания дампов памяти в macOS Подготовка к созданию дампа памяти в macOS Создание дампа памяти с помощью osxpmem Создание профиля Volatility Кратко Глава 11. Обнаружение и анализ вредоносной активности в macOS Особенности анализа macOS с помощью Volatility Технические требования Исследование сетевых соединений Анализ процессов и их памяти Восстановление файловой системы Получение данных из пользовательских приложений Поиск вредоносной активности Кратко Предметный указатель A practical guide to enhancing your digital investigations with cutting-edge memory forensics techniquesKey FeaturesExplore memory forensics, one of the vital branches of digital investigationLearn the art of user activities reconstruction and malware detection using volatile memoryGet acquainted with a range of open-source tools and techniques for memory forensicsBook DescriptionMemory Forensics is a powerful analysis technique that can be used in different areas, from incident response to malware analysis. With memory forensics, you can not only gain key insights into the user's context but also look for unique traces of malware, in some cases, to piece together the puzzle of a sophisticated targeted attack.Starting with an introduction to memory forensics, this book will gradually take you through more modern concepts of hunting and investigating advanced malware using free tools and memory analysis frameworks. This book takes a practical approach and uses memory images from real incidents to help you gain a better understanding of the subject and develop the skills required to investigate and respond to malware-related incidents and complex targeted attacks. You'll cover Windows, Linux, and macOS internals and explore techniques and tools to detect, investigate, and hunt threats using memory forensics. Equipped with this knowledge, you'll be able to create and analyze memory dumps on your own, examine user activity, detect traces of fileless and memory-based malware, and reconstruct the actions taken by threat actors.By the end of this book, you'll be well-versed in memory forensics and have gained hands-on experience of using various tools associated with it.What you will learnUnderstand the fundamental concepts of memory organizationDiscover how to perform a forensic investigation of random access memoryCreate full memory dumps as well as dumps of individual processes in Windows, Linux, and macOSAnalyze hibernation files, swap files, and crash dumpsApply various methods to analyze user activitiesUse multiple approaches to search for traces of malicious activityReconstruct threat actor tactics and techniques using random access memory analysisWho this book is forThis book is for incident responders, digital forensic specialists, cybersecurity analysts, system administrators, malware analysts, students, and curious security professionals new to this field and interested in learning memory forensics. A basic understanding of malware and its working is expected. Although not mandatory, knowledge of operating systems internals will be helpful. For those new to this field, the book covers all the necessary concepts. Memory forensics is a vital part of modern digital forensic examinations as threat actors have started using memory-based malware more often. This comprehensive guide focuses on the application of modern memory forensics techniques to detect hidden threats in memory and reconstruct user activity based on volatile data.
دانلود کتاب Криминалистика компьютерной памяти на практике: Как эффектив- но анализировать оперативную память