👲🏻 🚮 🍥 Computer Forensic Bookshelf: Os 11 melhores livros sobre análise forense digital, resposta a incidentes e análise de malware 👨🏾‍⚕️ 🖐🏼 👩🏼‍🎓

Deseja entender computação forense em computadores ou dispositivos móveis? Aprenda a responder a incidentes? Malware reverso? Caça à Ameaça? Inteligência cibernética? Prepare-se para uma entrevista? Neste artigo, Igor Mikhailov, especialista do Laboratório de Informática Forense do Grupo-IB , compilou os 11 melhores livros sobre computação forense, investigação de incidentes e reversão de malware, que ajudarão a estudar a experiência dos profissionais, aprimorar suas habilidades, obter uma posição mais alta ou um novo emprego bem remunerado.

Quando cheguei ao exame de computador - e isso foi em 2000 - a partir da literatura metodológica, os especialistas tinham apenas 71 páginas: “Disposições gerais para designação e produção de conhecimentos técnicos em informática: recomendações metodológicas”, emitidas pelo Ministério da Administração Interna da Rússia e várias publicações em vários periódicos. edições. E mesmo esses poucos materiais estavam disponíveis apenas para um círculo limitado. Eu tive que pesquisar, fotocopiar, traduzir livros estrangeiros sobre forense - não havia literatura decente sobre esse tópico em russo.

Agora a situação é um pouco diferente. Há muita literatura, como antes, principalmente em inglês. E para navegar neste mar de informações, para não reler o livro que contém o material básico 101 vezes, preparei esta coleção, que será útil para iniciantes e profissionais estudarem.

1. Análise Forense de Sistemas de Arquivos

author: Brian Carrier

Como começa quase todo estudo de um objeto digital? Com a definição dos sistemas operacionais e de arquivos do dispositivo sob investigação. O autor do livro fez um ótimo trabalho ao resumir informações sobre vários sistemas de arquivos. O leitor aprenderá muitos detalhes sobre como as informações são armazenadas em discos rígidos e matrizes RAID. Ele está aguardando uma imersão profunda na arquitetura e sutilezas dos sistemas de arquivos em computadores executando Linux / BSD e sistemas operacionais da família Windows.

Em seu trabalho, o autor usou uma ferramenta forense famosa como o Sleuth Kit (TSK), desenvolvido por ele com base no The Coroner's Toolkit. Qualquer pessoa pode repetir as etapas executadas pelo autor com esta ferramenta ou conduzir suas pesquisas. A ferramenta gráfica Sleuth Kit, o programa Autopsy, é amplamente usada para análise forense de evidências digitais e investigação de incidentes.

Este livro foi traduzido para o russo sob o título "Análise Forense de Sistemas de Arquivos". Mas tenha cuidado com as informações nele contidas, pois existem imprecisões na tradução, que em alguns casos distorcem seriamente o significado.

2. Resposta a Incidentes e Computação Forense (Terceira Edição)

autores: Jason T. Luttgens, Matthew Pepe, Kevin Mandia

O livro é um guia prático para investigar incidentes. Ele descreve detalhadamente todas as etapas da investigação: da preparação para uma resposta a incidentes, cópia forense de evidências digitais e pesquisa de artefatos de incidentes em vários sistemas operacionais (Windows, Linux, MacOS) até a compilação de um relatório de incidentes.

O livro acabou sendo tão bom que foi incluído no pacote de treinamento do curso SANS "FOR508: Resposta Avançada a Incidentes, Caça a Ameaças e Forense Digital" - um curso de treinamento de investigação de incidentes de nível superior.

Há uma edição traduzida deste livro: “Proteção contra intrusões. Investigação de crimes informáticos. ” A tradução foi publicada na Rússia em duas edições. Mas desde que a primeira versão do livro estava sendo traduzida, as informações nele estavam desatualizadas.

3. Investigando sistemas Windows

autor: Harlan Carvey

Um livro especial do autor de muitos livros mais vendidos sobre computação forense. Nele, o autor fala não apenas dos detalhes técnicos da pesquisa de artefatos do Windows e da investigação de incidentes, mas também de suas abordagens metodológicas. A filosofia de Harlan Carvey, especialista com vasta experiência em responder a incidentes, não tem preço.

4. Análise Forense Digital e Resposta a Incidentes (Segunda Edição)

autor: Gerard Johansen

Investigação de incidentes, análise de RAM, análise forense de redes e um pouco de análise forense clássica - tudo isso é coletado em um livro e descrito em um idioma fácil e acessível.

Além disso, o leitor receberá um entendimento básico do estudo dos logs do sistema, aprenderá os princípios do malware reverso, os princípios básicos da pesquisa proativa de ameaças (Threat Hunting) e da inteligência cibernética (Threat Intelligence), além de se familiarizar com as regras para escrever relatórios.

5. Livro de Receitas do Windows Forensics

autores: Oleg Skulkin, Scar de Courcier

Este livro, co-escrito por meu colega no Grupo-IB Oleg Skulkin, é uma coleção de dicas ("receitas") sobre como agir em uma situação específica ao pesquisar artefatos do sistema operacional Windows 10. O material é construído com base no princípio: há um problema - os autores fornecem um guia passo a passo para resolvê-lo (a partir de qual ferramenta você pode resolver o problema e onde obtê-lo, antes de configurar e aplicar esta ferramenta corretamente). A prioridade no livro é dada aos utilitários gratuitos. Portanto, o leitor não precisará adquirir programas forenses especializados caros. No livro 61, conselhos - isso abrange todas as tarefas típicas que um pesquisador geralmente encontra ao analisar o Windows. Além dos artefatos forenses clássicos, o livro discute exemplos de análise de artefatos específicos apenas para o Windows 10.

6. A arte da análise forense de memória: detecção de malware e ameaças na memória do Windows, Linux e Mac

autor: Michael Hale Ligh

Huge (mais de 900 páginas), um trabalho acadêmico direto dedicado ao estudo da RAM do computador. O livro está dividido em quatro partes principais. A primeira parte apresenta ao leitor como a RAM do computador está organizada e como capturar corretamente os dados que estão nela forenses. As próximas três seções detalham as abordagens para extrair artefatos dos principais depósitos de armazenamento de computadores executando Windows, MacOS e Linux.
É recomendável ler para aqueles que decidiram entender com o máximo de detalhes possível quais artefatos criminalistas podem ser encontrados na RAM.

7. Rede Forense

autor: Ric Messier

Este livro é para aqueles que querem mergulhar no estudo da investigação forense online. O leitor é informado sobre a arquitetura dos protocolos de rede. Em seguida, são descritos métodos para capturar e analisar o tráfego de rede. Ele descreve como detectar ataques com base nos dados do tráfego de rede e nos logs do sistema de sistemas operacionais, roteadores e comutadores.

8. Forense móvel prático: investigue e analise forense os dispositivos iOS, Android e Windows 10 (quarta edição)

autores: Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty

O mundo mudou muito nos últimos dez anos. Todos os dados pessoais (fotos, vídeos, correspondência em mensageiros etc.) foram migrados de computadores pessoais e laptops para smartphones. O prático Mobile Forensics é um best-seller da Packt Publishing e foi publicado quatro vezes. O livro detalha a extração de dados de smartphones com sistemas operacionais iOS, Android, Windows 10, como recuperar e analisar os dados extraídos e como analisar os dados de aplicativos instalados em smartphones. Este livro também apresenta ao leitor os princípios de operação de sistemas operacionais em dispositivos móveis.

9. Aprendendo o Android Forensics: analise dispositivos Android com as mais recentes ferramentas e técnicas forenses (segunda edição)

autores: Oleg Skulkin, Donnie Tindall, Rohit Tamma

Pesquisando dispositivos executando o sistema operacional Android está se tornando mais difícil a cada dia. Escrevemos sobre isso no artigo "Análise forense de backups do HiSuite". Este livro foi desenvolvido para ajudar o leitor a aprofundar a análise desses dispositivos móveis. Além das dicas práticas tradicionais para extrair e analisar dados de smartphones Android, o leitor aprenderá como fazer uma cópia da RAM do smartphone, analisar dados de aplicativos, reverter o malware para Android e escrever uma regra YARA para detectar esses programas na memória de dispositivos móveis.

10. Aprendendo a Análise de Malware: Explore os conceitos, ferramentas e técnicas para analisar e investigar malware do Windows

autor: Monnappa KA

A comunidade de especialistas espera este livro há mais de um ano. E o autor não decepcionou seus leitores. Ele recebeu um manual muito bom para quem deseja iniciar sua jornada com malware reverso. A informação é apresentada de forma clara e inteligível.

O leitor aprenderá a montar seu laboratório para análise de malware, familiarizar-se com os métodos de análise estática e dinâmica de tais programas, aprender lições sobre como trabalhar com o desmontador interativo IDA Pro, aprender a ignorar a ofuscação, uma tecnologia que complica o estudo do código fonte dos programas.

Este livro está disponível na tradução em russo: "Análise de malware".

11. Rootkits e Bootkits: revertendo o malware moderno e as ameaças da próxima geração

autores: Alex Matrosov, Eugene Rodionov, Sergey Bratus

Esta publicação discute um tópico complexo: o estudo de rootkits e bootkits. O livro foi escrito por três profissionais. Este livro descreve os princípios básicos do malware reverso e técnicas sofisticadas projetadas para pesquisadores profissionais desses programas - analistas de vírus.

O leitor se familiarizará com tópicos como o processo de carregamento de sistemas operacionais Windows de 32 e 64 bits, além de exemplos, ele analisará os métodos de análise de rootkits e bootkits específicos, descobrirá sobre vetores de ataque no BIOS e UEFI e desenvolverá métodos para detectar esses ataques, aprender sobre o aplicativo virtualização para analisar o comportamento do kit de inicialização.

Computer Forensic Bookshelf: Os 11 melhores livros sobre análise forense digital, resposta a incidentes e análise de malware