實戰 Linux 系統數位鑑識 (Practical Linux Forensics: A Guide for Digital Investigators) | 拾書所

實戰 Linux 系統數位鑑識 (Practical Linux Forensics: A Guide for Digital Investigators)

$ 490 元 原價 620

這是一本深入探討如何分析遭受破壞之Linux系統的書籍。你可以藉由本書瞭解如何鑑識Linux桌面、伺服器與物聯網裝置上的數位證據,並在犯罪或安全事件發生後重建事件的時間線。

在對Linux操作系統進行概述之後,你將學習如何分析儲存、火力系統和安裝的軟體,以及各種發行版的軟體套件系統。你將研究系統日誌、systemd日誌、核心和稽核日誌,以及守護程序和應用程序日誌。此外,你將檢查網路架構,包括接口、位址、網路管理員、DNS、無線裝置、VPN、防火牆和Proxy設定。

.如何鑑識時間、地點、語言與鍵盤的設定,以及時間軸與地理位置
.重構Linux的開機過程,從系統啟動與核心初始化一直到登入畫面
.分析分割表、卷冊管理、檔案系統、目錄結構、已安裝軟體與與網路設定
.對電源、溫度和物理環境,以及關機、重新開機和當機進行歷史分析
- 調查用戶登錄會話,並識別連結周邊裝置痕跡,包括外接硬碟、印表機等

這本綜合指南是專為需要理解Linux的調查人員所編寫的。從這裡開始你的數位鑑證之旅。

 

<序>

市面上已有好幾本關於Windows,甚至Mac的鑑識分析書籍,但針對Linux系統的鑑識分析書籍卻很少見,專門剖析裝有Linux系統的靜態硬碟(簡稱死碟〔dead disk〕)之書籍更是稀少。筆者看到社群裡的數位鑑識人員不斷埋怨「有愈來愈多的Linux磁碟映像送到實驗室來,可是不曉得如何下手!」這些抱怨的聲音來自私營部門(公司)和公家機構(執法單位)的鑑識實驗室,本書目標是希望為此日益增長的證據領域提供活用的資源,協助鑑識人員勘查及萃取Linux系統上的數位證據,以便重現過往的活動軌跡,描繪出符合事件邏輯的結論,並針對分析結果撰寫完整的鑑識報告。

撰寫本書的另一個原因是基於個人興趣,以及想要更深入瞭解現代Linux系統的內部結構,十幾年來,Linux發行版的重大進展已改變Linux鑑識分析的處理方式,筆者在瑞士伯爾尼應用科技大學教授數位鑑識和Linux課程,撰寫本書正可驅動我去理解這些主題。

人們對目標系統執行鑑識分析的動機或有不同,有關電腦系統的鑑識分析大致可分為受害方和加害方兩大類。
就受害方的角度,分析作業常涉及網路攻擊、系統入侵和網路詐騙等事件,鑑識對象是受害方所擁有,通常他們會願意提供給鑑識人員分析,這類鑑識對象有:
• 因漏洞或不當組態而遭受技術入侵或危害的伺服器。
• 因身分憑據被盜而遭到未經授權存取的伺服器。
• 遭到惡意軟體入侵的個人桌面系統。常因使用者點擊惡意鏈結或下載及執行惡意程式和腳本所致。
• 社交工程的受害者,因受誘騙而執行非自願的動作。
• 受到脅迫或勒索的使用者,不得不執行非自願的行為。
• 針對受害組織的大型調查行動中,電腦系統也是鑑識分析的標的之一。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
從加害方的角度,就是分析執法當局所扣押或企業事件應變團隊所沒收的電腦系統,這些系統可能是嫌疑人或犯罪者所擁有、管理或操作。底下列出一些常見的例子:
• 被設置成託管釣魚網站或散播惡意軟體的伺服器。
• 用於管理殭屍網路的命令和控制(C&C)伺服器。
• 濫用存取權而進行惡意活動或違反組織政策的使用者。
• 執行非法活動的個人桌面系統,例如保有或散發非法素材、從事入侵活動或參與非法地下網站活動(如賭博、兒童色情等)。
• 因大型犯罪調查(如組織犯罪、毒品買賣、恐怖行動等)而須鑑識分析的電腦系統。
• 配合大型民事調查(如訴訟或電子搜索)而須鑑識分析的電腦系統。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。

當Linux電腦被執法人員依法扣押、經擁有該電腦的組織沒收,或由受害者自願提供,它們將被製作成映像系統再交由數位鑑識人員分析。Linux已是伺服器、物聯網(IoT)和嵌入式裝置上的常見平台,使用Linux的個人桌面系統亦不斷成長中,隨著Linux佔有率的增高,受害方和加害方的鑑識分析需求愈加殷切。
某些情況下,特別是人們受誣告或無端受到懷疑時,鑑識分析是證明其清白的重要手段。

Brand Slider