🎟️ 😌 🐐 Computer Forensic Bookshelf: Top 11 Bücher zu digitaler Forensik, Incident Response und Malware-Analyse 📸 🌲 👨🏼‍🔧

Möchten Sie die Computer- oder mobile Forensik verstehen? Lernen Sie, auf Vorfälle zu reagieren? Malware umkehren? Bedrohungsjagd? Cyber Intelligence? Auf ein Interview vorbereiten? In diesem Artikel hat Igor Mikhailov, Spezialist am Group-IB Laboratory of Computer Forensics , die elf besten Bücher über Computerforensik, Untersuchung von Vorfällen und Malware-Umkehr zusammengestellt, um die Erfahrungen von Fachleuten zu studieren, ihre Fähigkeiten zu verbessern, eine höhere Position zu erreichen oder einen neuen hochbezahlten Job zu bekommen.

Als ich - und das war im Jahr 2000 - aus der methodischen Literatur zur Computerprüfung kam, hatten die Fachleute nur 71 Seiten: „Allgemeine Bestimmungen für die Benennung und Erstellung von computertechnischem Fachwissen: methodische Empfehlungen“, herausgegeben vom russischen Innenministerium und einer Reihe von Veröffentlichungen in verschiedenen Zeitschriften Ausgaben. Und selbst diese wenigen Materialien standen nur einem begrenzten Kreis zur Verfügung. Ich musste ausländische Bücher über Forensik suchen, fotokopieren, übersetzen - es gab keine anständige Literatur zu diesem Thema auf Russisch.

Jetzt ist die Situation etwas anders. Es gibt nach wie vor viel Literatur, hauptsächlich in englischer Sprache. Und um durch dieses Meer von Informationen zu navigieren und das Buch mit dem Einstiegsmaterial nicht 101 Mal erneut zu lesen, habe ich diese Sammlung vorbereitet, die sowohl für Anfänger als auch für Profis nützlich sein wird, um zu studieren.

1. Forensische Analyse von Dateisystemen

Autor: Brian Carrier

Wie beginnt fast jede Untersuchung eines digitalen Objekts? Mit der Definition der Betriebs- und Dateisysteme des untersuchten Geräts. Der Autor des Buches hat großartige Arbeit geleistet, um Informationen über verschiedene Dateisysteme zusammenzufassen. Der Leser erfährt viele Details darüber, wie Informationen auf Festplatten und RAID-Arrays gespeichert werden. Er wartet auf ein tiefes Eintauchen in die Architektur und Feinheiten von Dateisystemen auf Computern unter Linux / BSD und Betriebssystemen der Windows-Familie.

In seiner Arbeit verwendete der Autor ein so berühmtes forensisches Werkzeug wie das Sleuth Kit (TSK), das er auf der Grundlage des Coroner's Toolkit entwickelt hatte. Jeder kann die Schritte des Autors mit diesem Tool wiederholen oder seine Recherchen durchführen. Das grafische Tool Sleuth Kit, das Autopsieprogramm, wird häufig für die forensische Analyse digitaler Beweise und die Untersuchung von Vorfällen verwendet.

Dieses Buch wurde unter dem Titel „Forensic Analysis of File Systems“ ins Russische übersetzt. Seien Sie jedoch vorsichtig mit den darin enthaltenen Informationen, da die Übersetzung Ungenauigkeiten enthält, die in einigen Fällen die Bedeutung ernsthaft verzerren.

2. Incident Response & Computer Forensics (dritte Ausgabe)

Autoren: Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Das Buch ist ein praktischer Leitfaden zur Untersuchung von Vorfällen. Es beschreibt detailliert alle Phasen der Untersuchung: von der Vorbereitung einer Vorfallreaktion über das forensische Kopieren digitaler Beweise und die Suche nach Vorfallartefakten in verschiedenen Betriebssystemen (Windows, Linux, MacOS) bis zur Erstellung eines Vorfallberichts.

Das Buch erwies sich als so gut, dass es in das Schulungspaket für den SANS-Kurs „FOR508: Fortgeschrittene Reaktion auf Vorfälle, Bedrohungssuche und digitale Forensik“ aufgenommen wurde - ein Schulungskurs zur Untersuchung von Vorfällen auf höchstem Niveau.

Es gibt eine übersetzte Ausgabe dieses Buches: „Schutz vor Eindringlingen. Untersuchung von Computerkriminalität. “ Die Übersetzung wurde in Russland in zwei Ausgaben veröffentlicht. Da jedoch die erste Version des Buches übersetzt wurde, waren die darin enthaltenen Informationen veraltet.

3. Untersuchung von Windows-Systemen

Autor: Harlan Carvey

Ein spezielles Buch des Autors vieler Bestseller über Computerforensik. Darin spricht der Autor nicht nur über die technischen Details der Untersuchung von Windows-Artefakten und die Untersuchung von Vorfällen, sondern auch über seine methodischen Ansätze. Die Philosophie von Harlan Carvey, einem Spezialisten mit umfassender Erfahrung in der Reaktion auf Vorfälle, ist von unschätzbarem Wert.

4. Digitale Forensik und Reaktion auf Vorfälle (zweite Ausgabe)

Autor: Gerard Johansen

Untersuchung von Vorfällen, Analyse von RAM, Netzwerkforensik und ein wenig klassische Forensik - all dies wird in einem Buch zusammengefasst und in einer leicht zugänglichen Sprache beschrieben.

Darüber hinaus erhält der Leser ein grundlegendes Verständnis für das Studium von Systemprotokollen, lernt die Prinzipien von Reverse Malware, die Grundlagen der proaktiven Bedrohungssuche (Threat Hunting) und Cyber Intelligence (Threat Intelligence) kennen und lernt die Regeln für das Schreiben von Berichten kennen.

5. Windows Forensics-Kochbuch

Autoren: Oleg Skulkin, Scar de Courcier

Dieses Buch wurde von meinem Kollegen in der Gruppe IB Oleg Skulkin mitgeschrieben, ist eine Sammlung von Tipps ("Rezepten"), wie Sie in einer bestimmten Situation bei der Untersuchung von Artefakten des Windows 10-Betriebssystems vorgehen können. Das Material basiert auf dem Prinzip: Es gibt ein Problem - die Autoren geben eine schrittweise Anleitung zur Lösung (mit welchem Tool Sie können) Lösen Sie das Problem und wo Sie es bekommen, bevor Sie dieses Tool richtig einrichten und anwenden. Die Priorität in diesem Buch wird den kostenlosen Dienstprogrammen eingeräumt. Daher muss der Leser keine teuren spezialisierten forensischen Programme kaufen. In Buch 61, Ratschläge - Hier werden alle typischen Aufgaben behandelt, denen ein Forscher normalerweise bei der Analyse von Windows begegnet. Zusätzlich zu den klassischen forensischen Artefakten werden in diesem Buch Beispiele für die Analyse von Artefakten erläutert, die nur für Windows 10 spezifisch sind.

6. Die Kunst der Speicherforensik: Erkennen von Malware und Bedrohungen im Windows-, Linux- und Mac-Speicher

Autor: Michael Hale Ligh

Huge (über 900 Seiten), eine direkte akademische Arbeit, die sich dem Studium des Computer-RAM widmet. Das Buch ist in vier Hauptteile gegliedert. Der erste Teil führt den Leser in die Anordnung des Arbeitsspeichers des Computers und in die korrekte Erfassung der darin enthaltenen Daten ein. In den nächsten drei Abschnitten werden die Ansätze zum Extrahieren von Artefakten aus den Hauptspeicherauszügen von Computern unter Windows, MacOS und Linux beschrieben.
Es wird empfohlen, denjenigen vorzulesen, die sich entschlossen haben, so detailliert wie möglich zu verstehen, welche kriminalistischen Artefakte im RAM zu finden sind.

7. Netzwerkforensik

Autor: Ric Messier

Dieses Buch ist für diejenigen gedacht, die in das Studium der Online-Forensik eintauchen möchten. Der Leser wird über die Architektur von Netzwerkprotokollen informiert. Anschließend werden Methoden zum Erfassen und Analysieren des Netzwerkverkehrs beschrieben. Es wird beschrieben, wie Angriffe basierend auf Daten aus dem Netzwerkverkehr und Systemprotokollen von Betriebssystemen, Routern und Switches erkannt werden.

8. Praktische mobile Forensik: Forensische Untersuchung und Analyse von iOS-, Android- und Windows 10-Geräten (vierte Ausgabe)

Autoren: Rohit Tamma, Oleg Skulkin, Heather Mahalik und Satish Bommisetty

Die Welt hat sich in den letzten zehn Jahren stark verändert. Alle persönlichen Daten (Fotos, Videos, Korrespondenz in Messenger usw.) wurden von PCs und Laptops auf Smartphones migriert. Practical Mobile Forensics ist ein Bestseller bei Packt Publishing und wurde viermal veröffentlicht. Das Buch beschreibt die Extraktion von Daten von Smartphones mit iOS-, Android- und Windows 10-Betriebssystemen, die Wiederherstellung und Analyse der extrahierten Daten sowie die Analyse der Daten von Anwendungen, die auf Smartphones installiert sind. Dieses Buch führt den Leser auch in die Funktionsprinzipien von Betriebssystemen auf Mobilgeräten ein.

9. Lernen der Android-Forensik: Analysieren Sie Android-Geräte mit den neuesten forensischen Tools und Techniken (zweite Ausgabe).

Autoren: Oleg Skulkin, Donnie Tindall und Rohit Tamma Die Suche nach

Geräten, auf denen das Android-Betriebssystem ausgeführt wird, wird von Tag zu Tag schwieriger. Wir haben darüber im Artikel „Forensische Analyse von HiSuite-Backups“ geschrieben. Dieses Buch soll dem Leser helfen, tief in die Analyse solcher Mobilgeräte einzutauchen. Zusätzlich zu den herkömmlichen praktischen Tipps zum Extrahieren und Analysieren von Daten von Android-Smartphones lernt der Leser, wie er eine Kopie des RAM des Smartphones erstellt, Anwendungsdaten analysiert, die Malware für Android umkehrt und eine YARA-Regel zum Erkennen solcher Programme im Speicher von Mobilgeräten schreibt.

10. Lernen der Malware-Analyse: Lernen Sie die Konzepte, Tools und Techniken zur Analyse und Untersuchung von Windows-Malware kennen

Autor: Monnappa KA

Die Expertengemeinschaft erwartet dieses Buch seit mehr als einem Jahr. Und der Autor hat seine Leser nicht enttäuscht. Er hat ein sehr gutes Handbuch für diejenigen, die ihre Reise mit Reverse Malware beginnen möchten. Die Informationen werden klar und verständlich dargestellt.

Der Leser lernt, wie er sein Labor für die Analyse von Malware einrichtet, sich mit den Methoden der statischen und dynamischen Analyse solcher Programme vertraut macht, Lektionen zur Arbeit mit dem interaktiven Disassembler IDA Pro erhält und lernt, wie man die Verschleierung umgeht, eine Technologie, die das Studium des Quellcodes von Programmen erschwert.

Dieses Buch ist in russischer Übersetzung verfügbar: „Analyse von Malware“.

11. Rootkits und Bootkits: Umkehrung moderner Malware und Bedrohungen der nächsten Generation

Autoren: Alex Matrosov, Eugene Rodionov, Sergey Bratus

Diese Veröffentlichung behandelt ein komplexes Thema: das Studium von Rootkits und Bootkits. Das Buch wurde von drei Fachleuten geschrieben. Dieses Buch beschreibt sowohl die Grundprinzipien von Reverse Malware als auch ausgefeilte Techniken, die für professionelle Forscher solcher Programme entwickelt wurden - Virenanalysten.

Der Leser wird mit Themen wie dem Laden von 32-Bit- und 64-Bit-Windows-Betriebssystemen vertraut gemacht, zusammen mit Beispielen Methoden zur Analyse bestimmter Rootkits und Bootkits analysieren, Angriffsvektoren im BIOS und UEFI kennenlernen und Methoden zur Erkennung solcher Angriffe entwickeln sowie Informationen zur Anwendung erhalten Virtualisierung zur Analyse des Bootkit-Verhaltens.

Computer Forensic Bookshelf: Top 11 Bücher zu digitaler Forensik, Incident Response und Malware-Analyse