🌪️ 👈🏼 👩‍👩‍👦 Bibliothèque informatique légale: 11 meilleurs livres sur la criminalistique numérique, la réponse aux incidents et l'analyse des logiciels malveillants ⛪️ 👨🏿‍🎨 👩🏻‍🚀

Vous voulez comprendre la criminalistique informatique ou mobile? Apprenez à répondre aux incidents? Malware reverse? Chasse aux menaces? Cyber Intelligence? Préparez-vous à un entretien? Dans cet article, Igor Mikhailov, spécialiste du Laboratoire de criminalistique informatique du Groupe IB , a compilé les 11 meilleurs livres sur la criminalistique informatique, les enquêtes sur les incidents et l'inversion des logiciels malveillants, qui aideront à étudier l'expérience des professionnels, à pomper leurs compétences, à obtenir un poste plus élevé ou un nouvel emploi bien rémunéré.

Quand je suis arrivée à l'examen informatique - et c'était en 2000 - de la littérature méthodologique, les spécialistes ne disposaient que de 71 pages: «Dispositions générales pour la désignation et la production d'expertise informatique technique: recommandations méthodologiques», publiées par le ministère russe de l'Intérieur et un certain nombre de publications dans divers périodiques. éditions. Et même ces quelques matériaux n'étaient disponibles que pour un cercle limité. J'ai dû chercher, photocopier, traduire des livres étrangers sur la médecine légale - il n'y avait pas de littérature décente sur ce sujet en russe.

Maintenant, la situation est un peu différente. Il y a beaucoup de littérature, comme avant, elle est principalement en anglais. Et afin de naviguer dans cet océan d'informations, afin de ne pas relire le livre contenant le matériel d'entrée de gamme 101 fois, j'ai préparé cette collection, qui sera utile aux débutants et aux professionnels pour étudier.

1. Analyse judiciaire des systèmes de fichiers

auteur: Brian Carrier

Comment commence presque toute étude d'un objet numérique? Avec la définition des systèmes d'exploitation et de fichiers de l'appareil sous enquête. L'auteur du livre a fait un excellent travail de synthèse des informations sur les différents systèmes de fichiers. Le lecteur apprendra de nombreux détails sur la façon dont les informations sont stockées sur les disques durs et les matrices RAID. Il attend une immersion profonde dans l'architecture et les subtilités des systèmes de fichiers sur les ordinateurs sous Linux / BSD et sous les systèmes d'exploitation de la famille Windows.

Dans son travail, l'auteur a utilisé un outil médico-légal aussi célèbre que le Kit Sleuth (TSK), développé par lui sur la base de The Coroner's Toolkit. N'importe qui peut répéter les étapes suivies par l'auteur avec cet outil, ou mener ses recherches. L'outil graphique Sleuth Kit, le programme d'autopsie, est largement utilisé pour l'analyse médico-légale des preuves numériques et les enquêtes sur les incidents.

Ce livre a été traduit en russe sous le titre «Analyse judiciaire des systèmes de fichiers». Mais soyez prudent avec les informations qu'il contient, car il y a des inexactitudes dans la traduction, qui dans certains cas déforment gravement le sens.

2. Réponse aux incidents et criminalistique informatique (troisième édition)

auteurs: Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Le livre est un guide pratique pour enquêter sur les incidents. Il décrit en détail toutes les étapes de l'enquête: de la préparation d'une réponse à un incident, la copie médico-légale des preuves numériques et la recherche d'artefacts d'incident dans divers systèmes d'exploitation (Windows, Linux, MacOS) jusqu'à la compilation d'un rapport d'incident.

Le livre s'est avéré si bon qu'il a été inclus dans le module de formation pour le cours SANS "FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics" - un cours de formation de haut niveau sur les enquêtes sur les incidents.

Il existe une traduction de ce livre: «Protection contre les intrusions. Enquête sur les délits informatiques. ” La traduction a été publiée en Russie en deux éditions. Mais puisque la première version du livre était en cours de traduction, les informations qu'il contenait étaient périmées.

3. Enquête sur les systèmes Windows

auteur: Harlan Carvey

Un livre spécial de l'auteur de nombreux livres à succès sur la criminalistique informatique. L'auteur y parle non seulement des détails techniques de la recherche d'artefacts Windows et des enquêtes sur les incidents, mais également de ses approches méthodologiques. La philosophie de Harlan Carvey, spécialiste possédant une vaste expérience dans la réponse aux incidents, est inestimable.

4. Digital Forensics and Incident Response (deuxième édition)

auteur: Gerard Johansen

Enquête sur les incidents, analyse de la RAM, criminalistique du réseau et un peu de criminalistique classique - tout cela est rassemblé dans un livre et décrit dans un langage facile et accessible.

En outre, le lecteur recevra une compréhension de base de l'étude des journaux système, apprendra les principes du malware inverse, les bases de la recherche proactive des menaces (Threat Hunting) et de la cyber intelligence (Threat Intelligence), et se familiarisera également avec les règles de rédaction des rapports.

5. Windows Forensics Cookbook

auteurs: Oleg Skulkin, Scar de Courcier

Ce livre, co-écrit par mon collègue du Groupe IB IB Oleg Skulkin, est une collection de conseils ("recettes") sur la façon d'agir dans une situation particulière lors de la recherche d'artefacts du système d'exploitation Windows 10. Le matériau est basé sur le principe: il y a un problème - les auteurs donnent un guide étape par étape pour le résoudre (à partir de quel outil vous pouvez résoudre le problème et où l'obtenir, avant de configurer et d'appliquer correctement cet outil). La priorité dans le livre est donnée aux utilitaires gratuits. Par conséquent, le lecteur n'aura pas besoin d'acheter des programmes judiciaires spécialisés coûteux. Dans le livre 61, des conseils - cela couvre toutes les tâches typiques qu'un chercheur rencontre généralement lors de l'analyse de Windows. En plus des artefacts médico-légaux classiques, le livre présente des exemples d'analyse d'artefacts spécifiques à Windows 10 uniquement.

6. L'art de la criminalistique de la mémoire: détection des logiciels malveillants et des menaces dans la mémoire Windows, Linux et Mac

auteur: Michael Hale Ligh

Huge (plus de 900 pages), un travail académique direct consacré à l'étude de la RAM informatique. Le livre est divisé en quatre parties principales. La première partie présente au lecteur comment la RAM de l'ordinateur est organisée et comment capturer correctement les données qui s'y trouvent. Les trois sections suivantes détaillent les approches pour extraire les artefacts des principaux vidages de stockage des ordinateurs exécutant Windows, MacOS et Linux.
Il est recommandé de lire à ceux qui ont décidé de comprendre le plus en détail possible les artefacts criminels qui peuvent être trouvés dans la RAM.

7. Forensics réseau

auteur: Ric Messier

Ce livre est destiné à ceux qui veulent se plonger dans l'étude de la criminalistique en ligne. Le lecteur est informé de l'architecture des protocoles réseau. Ensuite, les méthodes de capture et d'analyse du trafic réseau sont décrites. Il décrit comment détecter les attaques basées sur les données du trafic réseau et les journaux système des systèmes d'exploitation, des routeurs et des commutateurs.

8. Forensics mobile pratique: enquêter et analyser légalement les appareils iOS, Android et Windows 10 (quatrième édition)

auteurs: Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty

Le monde a beaucoup changé au cours des dix dernières années. Toutes les données personnelles (photos, vidéos, correspondance dans les messagers, etc.) ont migré des ordinateurs personnels et portables vers les smartphones. Practical Mobile Forensics est un best-seller chez Packt Publishing et a été publié quatre fois. Le livre détaille l'extraction de données à partir de smartphones fonctionnant sous les systèmes d'exploitation iOS, Android, Windows 10, comment récupérer et analyser les données extraites, comment analyser les données des applications installées sur les smartphones. Ce livre présente également au lecteur les principes de fonctionnement des systèmes d'exploitation sur les appareils mobiles.

9. Learning Android Forensics: Analysez les appareils Android avec les derniers outils et techniques médico-légales (deuxième édition)

auteurs: Oleg Skulkin, Donnie Tindall, Rohit Tamma La

recherche d'appareils exécutant le système d'exploitation Android devient chaque jour plus difficile. Nous avons écrit à ce sujet dans l' article «Analyse médico-légale des sauvegardes HiSuite». Ce livre est conçu pour aider le lecteur à approfondir l'analyse de ces appareils mobiles. En plus des conseils pratiques traditionnels pour extraire et analyser les données des smartphones Android, le lecteur apprendra à faire une copie de la RAM du smartphone, à analyser les données des applications, à inverser le malware pour Android et à écrire une règle YARA pour détecter de tels programmes dans la mémoire des appareils mobiles.

10. Apprentissage de l'analyse des logiciels malveillants: explorez les concepts, les outils et les techniques pour analyser et enquêter sur les logiciels malveillants Windows

auteur: Monnappa KA

La communauté des experts attend ce livre depuis plus d'un an. Et l'auteur n'a pas déçu ses lecteurs. Il a obtenu un très bon manuel pour ceux qui veulent commencer leur voyage dans les logiciels malveillants inversés. Les informations sont présentées de manière claire et intelligible.

Le lecteur apprendra à configurer son laboratoire pour l'analyse de logiciels malveillants, se familiarisera avec les méthodes d'analyse statique et dynamique de ces programmes, recevra des leçons sur l'utilisation du désassembleur interactif IDA Pro, apprendra à contourner l'obscurcissement, une technologie qui complique l'étude du code source des programmes.

Ce livre est disponible en traduction en russe: «Analyse des logiciels malveillants».

11. Rootkits et Bootkits: inverser les logiciels malveillants modernes et les menaces de nouvelle génération

auteurs: Alex Matrosov, Eugene Rodionov, Sergey Bratus

Cette publication traite d'un sujet complexe: l'étude des rootkits et des bootkits. Le livre est écrit par trois professionnels. Ce livre décrit à la fois les principes de base des logiciels malveillants inversés et des techniques complexes conçues pour les chercheurs professionnels de ces programmes - les analystes de virus.

Le lecteur se familiarisera avec des sujets tels que le processus de chargement des systèmes d'exploitation Windows 32 bits et 64 bits, ainsi que des exemples, il analysera des méthodes pour analyser des rootkits et des bootkits spécifiques, se renseignera sur les vecteurs d'attaque sur le BIOS et l'UEFI et développera des méthodes pour détecter de telles attaques et en apprendre davantage sur l'application virtualisation pour analyser le comportement du bootkit.

Bibliothèque informatique légale: 11 meilleurs livres sur la criminalistique numérique, la réponse aux incidents et l'analyse des logiciels malveillants