書名:實戰Linux系統數位鑑識
原文書名:
產品代碼:
9786263242876系列名稱:
網路/架站系列編號:
ACA027100定價:
620元作者:
Bruce Nikkel譯者:
江湖海頁數:
424頁開數:
17x23x1.97裝訂:
平裝上市日:
20220919出版日:
20220919出版社:
?峰資訊股份有限公司CIP:
略市場分類:
電腦資訊產品分類:
書籍免稅聯合分類:
電腦資訊類- ※缺書中
商品簡介
這是一本深入探討如何分析遭受破壞之Linux系統的書籍。你可以藉由本書瞭解如何鑑識Linux桌面、伺服器與物聯網裝置上的數位證據,並在犯罪或安全事件發生後重建事件的時間線。
在對Linux操作系統進行概述之後,你將學習如何分析儲存、火力系統和安裝的軟體,以及各種發行版的軟體套件系統。你將研究系統日誌、systemd日誌、核心和稽核日誌,以及守護程序和應用程序日誌。此外,你將檢查網路架構,包括接口、位址、網路管理員、DNS、無線裝置、VPN、防火牆和Proxy設定。
.如何鑑識時間、地點、語言與鍵盤的設定,以及時間軸與地理位置
.重構Linux的開機過程,從系統啟動與核心初始化一直到登入畫面
.分析分割表、卷冊管理、檔案系統、目錄結構、已安裝軟體與與網路設定
.對電源、溫度和物理環境,以及關機、重新開機和當機進行歷史分析
- 調查用戶登錄會話,並識別連結周邊裝置痕跡,包括外接硬碟、印表機等
這本綜合指南是專為需要理解Linux的調查人員所編寫的。從這裡開始你的數位鑑證之旅。
這是一本深入探討如何分析遭受破壞之Linux系統的書籍。你可以藉由本書瞭解如何鑑識Linux桌面、伺服器與物聯網裝置上的數位證據,並在犯罪或安全事件發生後重建事件的時間線。
在對Linux操作系統進行概述之後,你將學習如何分析儲存、火力系統和安裝的軟體,以及各種發行版的軟體套件系統。你將研究系統日誌、systemd日誌、核心和稽核日誌,以及守護程序和應用程序日誌。此外,你將檢查網路架構,包括接口、位址、網路管理員、DNS、無線裝置、VPN、防火牆和Proxy設定。
.如何鑑識時間、地點、語言與鍵盤的設定,以及時間軸與地理位置
.重構Linux的開機過程,從系統啟動與核心初始化一直到登入畫面
.分析分割表、卷冊管理、檔案系統、目錄結構、已安裝軟體與與網路設定
.對電源、溫度和物理環境,以及關機、重新開機和當機進行歷史分析
- 調查用戶登錄會話,並識別連結周邊裝置痕跡,包括外接硬碟、印表機等
這本綜合指南是專為需要理解Linux的調查人員所編寫的。從這裡開始你的數位鑑證之旅。
作者簡介
Bruce Nikkel
任教於瑞士伯爾尼應用科技大學,專攻數位鑑識和網路犯罪,是該大學網路安全與工程研究所的共同負責人,也是數位鑑識和網路調查碩士班的指導教授。除了學術工作外,自1997年服務於某家全球金融機構的風險和安全部門,帶領該機構的網路犯罪情資和證據調查團隊逾15年,目前擔任該機構的資安顧問,同時他也是《國際鑑識科學》(Forensic Science International)的數位鑑識期刊編輯,打從1990年代就與Unix和Linux結下不解之緣。
書籍目錄
第1章|數位鑑識簡介
本章介紹數位鑑識的歷史及未來展望,並就數位鑑識分析的重點,說明現今的趨勢和挑戰,以及數位鑑識分析的基本原則和業界的最佳實務。
第2章|關於Linux
簡要介紹現代Linux系統的技術基礎,說明Unix的歷史與影響、Linux發行版的進化及Linux桌面的演變,並介紹主要的Linux發行版家族和構成現代Linux系統的組件。最後,以鑑識分析呼應第1章內容,共同構成本書的基礎。
第3章|儲存裝置和檔案系統裡的證物
從磁碟分割區、卷冊管理和RAID系統下手,開始進行磁碟分析,討論三種最常見的Linux檔案系統(ext4、xfs和btrfs)證物,並從鑑識視角探討Linux的交換(swap)體系,包括針對休眠分割區的分析,還會介紹不同形式的檔案系統加密機制。
第4章|目錄結構和檔案鑑識分析
介紹典型Linux系統所安裝的檔案和目錄階層結構,如何透過雜湊資料來篩選或找出特定檔案,並說明如何分析Linux裡找到的不同檔案類型,包括POSIX類型、應用程式類型和Linux可執行檔,分析項目包含詮釋資料(metadata)和檔案內容,最後會分析當機資料和轉存的記憶體內容。
第5章|日誌裡的證物
本章致力於解析日誌檔,探討從何處尋找被記錄的跡證,內容涵蓋Linux裡的各式日誌紀錄,包括傳統的syslog、systemd日誌及由背景服務程序(daemon;簡稱服務程序)或應用程式所產生的日誌,也一併介紹Linux的稽核系統和核心環形(kernel ring)緩衝區。
第6章|重建開機和初始化過程
一般的系統生命週期是從啟動、運行到關機。本章將從<I>開機引導程序(bootloader)的分析切入,接著探討核心初始化及建立記憶體虛擬磁碟(RAM disk)過程所產生的證物,詳細剖析systemd(init)的啟動過程與系統的其他操作面向,並分析systemd和D-Bus如何啟用隨選服務(on-demand service),最後介紹實體環境和電源管理、睡眠、休眠和關機等機制,並尋找人類接觸實體系統的證據。
第7章|檢驗安裝的軟體套件
本章是唯一依不同Linux發行版作分節討論,內容包含套件安裝程序、分析已安裝的軟體套件、軟體套件的格式和軟體套件的組成,還會介紹如何判斷Linux發行版、發布版號和修補層級。
第8章|網路組態裡的證物
Linux的網路子系統包括硬體介面、DNS解析和網路管理員。在無線網路部分,可能存在Wi-Fi、WWAN和藍牙等證物的活動歷史資訊。本章也會介紹網路安全,包括越來越受歡迎的新WireGuard VPN、逐漸取代iptables的nftables防火牆,以及識別網路代理(proxy)設定。
第9章|時間和地域的鑑識分析
針對Linux系統的國際性和區域性面向的分析,包含重建鑑識時序所需的Linux時間格式、時區和其他時間戳記資訊,也會分析系統語系和鍵盤配置,還會介紹Linux的地理定位服務,以便重現系統的實體位置,特別是像筆記型電腦這種具有漫遊特性的設備。
第10章|重建使用者桌面和登入活動
使用者登入命令環境(shell)和Linux桌面的過程是本章重點,將介紹X11和Wayland等Linux視窗系統,以及GNOME、KDE等桌面環境,也會探討人類使用者的活動軌跡和桌面環境裡常見的證物(檢驗過Windows或Mac機器的人就能理解),這些證物有縮圖、垃圾桶(資源回收筒)、書籤、最近存取的檔案、密碼管理員(password wallet)、桌面搜尋等,最後以探討使用者的網路活動(如遠端登入、遠端桌面、網路共享磁碟和雲端帳戶)做結尾。
第11章|周邊裝置的使用跡證
本章將追蹤連接USB、Thunderbolt和PCI等周邊裝置所留下的跡證,說明如何判定從日誌裡找到的證據,以確認是哪一種周邊裝置在什麼時候連接到系統上,也會介紹Linux列印系統和SANE掃描功能的鑑識分析,以便找出作業過程所留下的歷史證物,還會介紹視訊會議系統所用的Video4Linux系統,最後以檢驗外接式儲存裝置做結尾。
後記
在此為Linux數位鑑識人員提供一些最終建議,根據筆者個人的數位鑑識經歷,為讀者們留下一些提示、建議和精神激勵。
附錄|鑑識人員應注意的檔案及目錄清單
這裡提供本書介紹過的檔案和目錄清單,作為鑑識人員快速查找特定檔案或目錄時參考,並以數位鑑識的觀點簡單說明這些資源的用途。
推薦序/導讀/自序
市面上已有好幾本關於Windows,甚至Mac的鑑識分析書籍,但針對Linux系統的鑑識分析書籍卻很少見,專門剖析裝有Linux系統的靜態硬碟(簡稱死碟〔dead disk〕)之書籍更是稀少。筆者看到社群裡的數位鑑識人員不斷埋怨「有愈來愈多的Linux磁碟映像送到實驗室來,可是不曉得如何下手!」這些抱怨的聲音來自私營部門(公司)和公家機構(執法單位)的鑑識實驗室,本書目標是希望為此日益增長的證據領域提供活用的資源,協助鑑識人員勘查及萃取Linux系統上的數位證據,以便重現過往的活動軌跡,描繪出符合事件邏輯的結論,並針對分析結果撰寫完整的鑑識報告。
撰寫本書的另一個原因是基於個人興趣,以及想要更深入瞭解現代Linux系統的內部結構,十幾年來,Linux發行版的重大進展已改變Linux鑑識分析的處理方式,筆者在瑞士伯爾尼應用科技大學教授數位鑑識和Linux課程,撰寫本書正可驅動我去理解這些主題。
人們對目標系統執行鑑識分析的動機或有不同,有關電腦系統的鑑識分析大致可分為受害方和加害方兩大類。
就受害方的角度,分析作業常涉及網路攻擊、系統入侵和網路詐騙等事件,鑑識對象是受害方所擁有,通常他們會願意提供給鑑識人員分析,這類鑑識對象有:
• 因漏洞或不當組態而遭受技術入侵或危害的伺服器。
• 因身分憑據被盜而遭到未經授權存取的伺服器。
• 遭到惡意軟體入侵的個人桌面系統。常因使用者點擊惡意鏈結或下載及執行惡意程式和腳本所致。
• 社交工程的受害者,因受誘騙而執行非自願的動作。
• 受到脅迫或勒索的使用者,不得不執行非自願的行為。
• 針對受害組織的大型調查行動中,電腦系統也是鑑識分析的標的之一。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
從加害方的角度,就是分析執法當局所扣押或企業事件應變團隊所沒收的電腦系統,這些系統可能是嫌疑人或犯罪者所擁有、管理或操作。底下列出一些常見的例子:
• 被設置成託管釣魚網站或散播惡意軟體的伺服器。
• 用於管理殭屍網路的命令和控制(C&C)伺服器。
• 濫用存取權而進行惡意活動或違反組織政策的使用者。
• 執行非法活動的個人桌面系統,例如保有或散發非法素材、從事入侵活動或參與非法地下網站活動(如賭博、兒童色情等)。
• 因大型犯罪調查(如組織犯罪、毒品買賣、恐怖行動等)而須鑑識分析的電腦系統。
• 配合大型民事調查(如訴訟或電子搜索)而須鑑識分析的電腦系統。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
當Linux電腦被執法人員依法扣押、經擁有該電腦的組織沒收,或由受害者自願提供,它們將被製作成映像系統再交由數位鑑識人員分析。Linux已是伺服器、物聯網(IoT)和嵌入式裝置上的常見平台,使用Linux的個人桌面系統亦不斷成長中,隨著Linux佔有率的增高,受害方和加害方的鑑識分析需求愈加殷切。
某些情況下,特別是人們受誣告或無端受到懷疑時,鑑識分析是證明其清白的重要手段。