Windows forensics cookbook на русском

Картинка с сайта: habr.com

Хотите разобраться в компьютерной или мобильной криминалистике? Научиться реагированию на инциденты? Реверсу вредоносных программ? Проактивному поиску угроз (Threat Hunting)? Киберразведке? Подготовиться к собеседованию? В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, собрал топ-11 книг по компьютерной криминалистике, расследованию инцидентов и реверсу вредоносных программ, которые помогут изучить опыт профессионалов, прокачать свои скиллы, получить более высокую должность или новую высокооплачиваемую работу.

Когда я пришел в компьютерную экспертизу — а это был в 2000 год — из методической литературы у специалистов было только 71 страничное пособие: «Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации», выпущенное МВД России и ряд публикаций в различных периодических изданиях. И даже эти немногие материалы были доступны лишь ограниченному кругу. Приходилось искать, ксерокопировать, переводить иностранные книги по форензике — литература достойного качества по этой теме на русском языке отсутствовала.

Сейчас ситуация немного другая. Литературы очень много, как и раньше она преимущественно на английском языке. И чтобы сориентироваться в этом море информации, чтобы в 101 раз не перечитывать книгу, содержащую материал начального уровня, я подготовил эту подборку, изучить которую будет полезно как начинающим, так и профессионалам.

1. File Systems Forensic Analysis

автор: Brian Carrier

С чего начинается практически любое исследование цифрового объекта? С определения операционной и файловой систем исследуемого устройства. Автор книги проделал огромную работу по обобщению сведений о различных файловых системах. Читатель узнает много подробностей о том, как хранится информация на жестких дисках и RAID-массивах. Его ждет глубокое погружение в архитектуру и тонкости файловых систем на компьютерах под управлением Linux/BSD и под управлением операционных систем семейства Windows.

В своей работе автор использовал такой известнейший криминалистический инструмент, как Sleuth Kit (TSK), разработанный им на основе The Coroner’s Toolkit. Любой желающий может повторить шаги, проделанные автором с помощью этого инструмента, или провести свои исследования. Графическая оболочка Sleuth Kit — программа Autopsy — широко применяется для криминалистического анализа цифровых доказательств и расследования инцидентов.

Эта книга переведена на русский язык под названием «Криминалистический анализ файловых систем». Но будьте аккуратны с изложенной в ней информацией, так как в переводе есть неточности, которые в некоторых случаях серьезно искажают смысл.

2. Incident Response & Computer Forensics (третье издание)

авторы: Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Книга является практическим руководством по расследованию инцидентов. В ней подробно расписаны все этапы расследования: от подготовки к реагированию на инцидент, криминалистического копирования цифровых доказательств и поиска артефактов инцидента в различных операционных системах (Windows, Linux, MacOS) до составления отчета о произошедшем инциденте.

Книга получилась настолько хорошей, что ее включили в комплект учебных материалов по курсу SANS «FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics» — топовому учебному курсу по расследованию инцидентов.

Существует переводное издание этой книги: «Защита от вторжений. Расследование компьютерных преступлений». Перевод издан в России двумя тиражами. Но поскольку переводилась первая версия книги, информация в ней устарела.

3. Investigating Windows Systems

автор: Harlan Carvey

Особенная книга от автора множества бестселлеров по компьютерной криминалистике. В ней автор рассказывает не только о технических деталях исследования артефактов Windows и расследования инцидентов, но и о своих методологических подходах. Философия от Харлэна Карви, специалиста с огромным опытом реагирования на инциденты, — бесценна.

4. Digital Forensics and Incident Response (второе издание)

автор: Gerard Johansen

Расследование инцидентов, анализ оперативной памяти, сетевая криминалистика и чуть-чуть классической форенсики — все это собрано в одной книге и описано легким, доступным языком.

Дополнительно читатель получит базовое представление об исследовании системных журналов, узнает принципы реверса вредоносных программ, основы проактивного поиска угроз (Threat Hunting’а) и киберразведки (Threat Intelligence), а также ознакомится с правилами написания отчетов.

5. Windows Forensics Cookbook

авторы: Oleg Skulkin, Scar de Courcier

Эта книга, которую написал в соавторстве мой коллега по Group-IB Олег Скулкин, представляет собой сборник советов («рецептов») о том, как действовать в той или иной ситуации при исследовании артефактов операционной системы Windows 10. Материал построен по принципу: имеется проблема — авторы приводят пошаговое руководство по ее решению (от того, каким инструментом можно решить проблему и где его взять, до того, как настроить и правильно применить этот инструмент). Приоритет в книге отдан бесплатным утилитам. Поэтому у читателя не будет необходимости приобретать дорогие специализированные криминалистические программы. В книге 61 совет — это охватывает все типовые задачи, с решением которых обычно сталкивается исследователь при анализе Windows. Кроме классических криминалистических артефактов, в книге рассмотрены примеры анализа артефактов, характерных только для Windows 10.

6. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory

автор: Michael Hale Ligh

Огромный (более 900 страниц), прямо-таки академический труд, посвященный исследованию оперативной памяти компьютеров. Книга разделена на четыре основных части. Первая часть знакомит читателя с тем, как устроена оперативная память компьютера и как криминалистически правильно захватить данные, которые в ней находятся. В трех последующих частях подробно рассказывается о подходах к извлечению артефактов из дампов оперативной памяти компьютеров под управлением операционных систем Windows, MacOS и Linux.
Рекомендуется к прочтению тем, кто решил максимально подробно разобраться в том, какие криминалистические артефакты можно найти в оперативной памяти.

7. Network Forensics

автор: Ric Messier

Эта книга для тех, кто хочет погрузиться в изучение сетевой криминалистики. Читателю рассказывается об архитектуре сетевых протоколов. Затем описываются методы захвата и анализа сетевого трафика. Рассказывается, как детектировать атаки на основе данных из сетевого трафика и системных журналов операционных систем, роутеров и свитчей.

8. Practical Mobile Forensics: Forensically investigate and analyze iOS, Android, and Windows 10 devices (четвертое издание)

авторы: Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty

За последние десять лет мир сильно изменился. Все личные данные (фотографии, видео, переписка в мессенджерах и т.п.) перекочевали с персональных компьютеров и ноутбуков в смартфоны. Книга «Practical Mobile Forensics» — бестселлер издательства Packt Publishing, она издавалась уже четыре раза. В книге подробно рассказывается об извлечении данных из смартфонов под управлением операционных систем iOS, Android, Windows 10, о том, как проводить восстановление и анализ извлеченных данных, как анализировать данные приложений, установленных в смартфонах. Также эта книга знакомит читателя с принципами функционирования операционных систем на мобильных устройствах.

9. Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques (второе издание)

авторы: Oleg Skulkin, Donnie Tindall, Rohit Tamma

Исследование устройств под управлением операционной системы Android становится сложнее с каждым днем. Об этом мы писали в статье «Криминалистический анализ резервных копий HiSuite». Эта книга призвана помочь читателю глубоко погрузиться в анализ подобных мобильных устройств. Кроме традиционных практических советов по извлечению и анализу данных из Android-смартфонов, читатель узнает, как сделать копию оперативной памяти смартфона, произвести анализ данных приложений, сделать реверс вредоносной программы под Android и написать YARA-правило для детектирования подобных программ в памяти мобильных устройств.

10. Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Windows malware

автор: Monnappa K. A.

Выпуск этой книги экспертное сообщество ожидало более года. И автор не подвел своих читателей. У него получилось очень хорошее пособие для тех, кто хочет начать свой путь в реверсе вредоносных программ. Информация изложена четко и доходчиво.

Читатель узнает, как настроить свою лабораторию для анализа вредоносных программ, ознакомится с методами статического и динамического анализа подобных программ, получит уроки работы с интерактивным дизассемблером IDA Pro, узнает, как обходить обфускацию — технологию, усложняющую изучение исходного кода программ.

Эта книга доступна в переводе на русском языке: «Анализ вредоносных программ».

11. Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats

авторы: Alex Matrosov, Eugene Rodionov, Sergey Bratus

В данном издании рассматривается сложная тема: исследование руткитов и буткитов. Книга написана тремя профессионалами. В данной книге описываются как базовые принципы реверса вредоносных программ, так и сложные приемы, рассчитанные на профессиональных исследователей таких программ — вирусных аналитиков.

Читатель ознакомится с такими темами, как процесс загрузки 32- и 64-разрядных операционных систем Windows, на примерах вместе с авторами разберет методы анализа конкретных руткитов и буткитов, узнает о векторах атак на BIOS и UEFI и разработке методов детектирования подобных атак, узнает о применении виртуализации для анализа поведения буткитов.

Приятного чтения!

Maximize the power of Windows Forensics to perform highly effective forensic investigations

About This BookPrepare and perform investigations using powerful tools for Windows,Collect and validate evidence from suspects and computers and uncover clues that are otherwise difficultPacked with powerful recipes to perform highly effective field investigationsWho This Book Is For

If you are a forensic analyst or incident response professional who wants to perform computer forensics investigations for the Windows platform and expand your took kit, then this book is for you.

What You Will LearnUnderstand the challenges of acquiring evidence from Windows systems and overcome themAcquire and analyze Windows memory and drive data with modern forensic tools.Extract and analyze data from Windows file systems, shadow copies and the registryUnderstand the main Windows system artifacts and learn how to parse data from them using forensic toolsSee a forensic analysis of common web browsers, mailboxes, and instant messenger servicesDiscover how Windows 10 differs from previous versions and how to overcome the specific challenges it presentsCreate a graphical timeline and visualize data, which can then be incorporated into the final reportTroubleshoot issues that arise while performing Windows forensicsIn Detail

Windows Forensics Cookbook provides recipes to overcome forensic challenges and helps you carry out effective investigations easily on a Windows platform. You will begin with a refresher on digital forensics and evidence acquisition, which will help you to understand the challenges faced while acquiring evidence from Windows systems. Next you will learn to acquire Windows memory data and analyze Windows systems with modern forensic tools. We also cover some more in-depth elements of forensic analysis, such as how to analyze data from Windows system artifacts, parse data from the most commonly-used web browsers and email services, and effectively report on digital forensic investigations.

You will see how Windows 10 is different from previous versions and how you can overcome the specific challenges it brings. Finally, you will learn to troubleshoot issues that arise while performing digital forensic investigations.

By the end of the book, you will be able to carry out forensics investigations efficiently.

Style and approach

This practical guide filled with hands-on, actionable recipes to detect, capture, and recover digital artifacts and deliver impeccable forensic outcomes.

Book
description

Maximize the power of Windows Forensics to perform highly effective forensic investigations

About This Book

• Prepare and perform investigations using powerful tools for Windows,
• Collect and validate evidence from suspects and computers and uncover clues that are otherwise difficult
• Packed with powerful recipes to perform highly effective field investigations

Who This Book Is For

If you are a forensic analyst or incident response professional who wants to perform computer forensics investigations for the Windows platform and expand your took kit, then this book is for you.

What You Will Learn

• Understand the challenges of acquiring evidence from Windows systems and overcome them
• Acquire and analyze Windows memory and drive data with modern forensic tools.
• Extract and analyze data from Windows file systems, shadow copies and the registry
• Understand the main Windows system artifacts and learn how to parse data from them using forensic tools
• See a forensic analysis of common web browsers, mailboxes, and instant messenger services
• Discover how Windows 10 differs from previous versions and how to overcome the specific challenges it presents
• Create a graphical timeline and visualize data, which can then be incorporated into the final report
• Troubleshoot issues that arise while performing Windows forensics

In Detail

Windows Forensics Cookbook provides recipes to overcome forensic challenges and helps you carry out effective investigations easily on a Windows platform. You will begin with a refresher on digital forensics and evidence acquisition, which will help you to understand the challenges faced while acquiring evidence from Windows systems. Next you will learn to acquire Windows memory data and analyze Windows systems with modern forensic tools. We also cover some more in-depth elements of forensic analysis, such as how to analyze data from Windows system artifacts, parse data from the most commonly-used web browsers and email services, and effectively report on digital forensic investigations.

You will see how Windows 10 is different from previous versions and how you can overcome the specific challenges it brings. Finally, you will learn to troubleshoot issues that arise while performing digital forensic investigations.

By the end of the book, you will be able to carry out forensics investigations efficiently.

Style and approach

This practical guide filled with hands-on, actionable recipes to detect, capture, and recover digital artifacts and deliver impeccable forensic outcomes.

Maximize the power of Windows Forensics to perform highly effective forensic investigations

Key Features

• Prepare and perform investigations using powerful tools for Windows,
• Collect and validate evidence from suspects and computers and uncover clues that are otherwise difficult
• Packed with powerful recipes to perform highly effective field investigations

Book Description

Windows Forensics Cookbook provides recipes to overcome forensic challenges and helps you carry out effective investigations easily on a Windows platform. You will begin with a refresher on digital forensics and evidence acquisition, which will help you to understand the challenges faced while acquiring evidence from Windows systems. Next you will learn to acquire Windows memory data and analyze Windows systems with modern forensic tools. We also cover some more in-depth elements of forensic analysis, such as how to analyze data from Windows system artifacts, parse data from the most commonly-used web browsers and email services, and effectively report on digital forensic investigations.

You will see how Windows 10 is different from previous versions and how you can overcome the specific challenges it brings. Finally, you will learn to troubleshoot issues that arise while performing digital forensic investigations.

By the end of the book, you will be able to carry out forensics investigations efficiently.

What you will learn

• Understand the challenges of acquiring evidence from Windows systems and overcome them
• Acquire and analyze Windows memory and drive data with modern forensic tools.
• Extract and analyze data from Windows file systems, shadow copies and the registry
• Understand the main Windows system artifacts and learn how to parse data from them using forensic tools
• See a forensic analysis of common web browsers, mailboxes, and instant messenger services
• Discover how Windows 10 differs from previous versions and how to overcome the specific challenges it presents
• Create a graphical timeline and visualize data, which can then be incorporated into the final report
• Troubleshoot issues that arise while performing Windows forensics