🧛🏽 👩🏾‍🤝‍👩🏻 👩‍🔧 计算机取证书架：有关数字取证，事件响应和恶意软件分析的11本书 🤟🏽 🧘🏼 🚣

想了解计算机或移动取证？学习应对事件？恶意软件反向？威胁搜寻？网络智能？准备面试吗？在本文中，Group-IB计算机取证实验室的专家Igor Mikhailov已编写了有关计算机取证，事件调查和恶意软件逆转的前11本书籍，这将有助于学习专业人员的经验，提升他们的技能，获得更高的职位或获得新的高薪工作。

当我从2000年的方法文献中进行计算机检查时，专家们只有71页：“俄罗斯内务部发行的“指定和生产计算机技术专家的一般规定：方法建议””和许多期刊上的出版物。版本。而且，即使是少数几种材料，也只能在有限的范围内使用。我不得不搜索，影印，翻译有关法医的外国书籍-俄文中没有关于该主题的体面文献。

现在情况有所不同。和以前一样，有很多文献，主要是英语。为了浏览这片信息海，以免101次重读包含入门级材料的书，我准备了此藏书，这对于初学者和专业人士都将是有用的。

1.文件系统取证分析

作者：布莱恩·卡里尔（Brian Carrier）

几乎所有关于数字对象的研究都是如何开始的？具有正在调查的设备的操作系统和文件系统的定义。该书的作者在总结有关各种文件系统的信息方面做得很好。读者将学到许多有关如何将信息存储在硬盘驱动器和RAID阵列上的详细信息。他正在等待深入了解运行Linux / BSD和Windows家族操作系统的计算机上文件系统的体系结构和精妙之处。

在他的作品中，作者使用了著名的法医工具，例如侦探工具包（TSK），该工具是他在验尸官工具包的基础上开发的。任何人都可以重复作者使用此工具采取的步骤，或进行研究。Sleuth Kit图形工具，即尸检程序，被广泛用于数字证据的法医分析和事件调查。

这本书已翻译成俄文，标题为“文件系统的司法鉴定”。但请谨慎使用其中包含的信息，因为翻译中存在错误，在某些情况下会严重扭曲其含义。

2.事件响应与计算机取证（第三版）

作者：Jason T. Luttgens，Matthew Pepe和Kevin Mandia

这本书是调查事件的实用指南。它详细描述了调查的所有阶段：从准备事件响应，对数字证据进行法医复制以及在各种操作系统（Windows，Linux，MacOS）中搜索事件工件到编写事件报告。

该书非常好，以至于它被包含在SANS课程“ FOR508：高级事件响应，威胁搜寻和数字取证”的培训包中，这是一个高级事件调查培训课程。

本书的翻译版本是：“防止入侵。计算机犯罪调查。” 该翻译在俄罗斯出版了两个版本。但是由于该书的第一版正在翻译中，因此其中的信息已经过时。

3.研究Windows系统

作者：Harlan Carvey这是

一本特别的书，来自许多关于计算机取证的畅销书的作者。在其中，作者不仅讨论了研究Windows工件和调查事件的技术细节，还谈到了他的方法论方法。哈兰·卡维（Harlan Carvey）的哲学是无价之宝，他在应对事件方面具有丰富的经验。

4.数字取证与事件响应（第二版）

作者：Gerard Johansen

对事件进行调查，对RAM进行分析，对网络取证和一些经典的取证进行分析-所有这些都收集在一本书中，并以一种易于访问的语言进行描述。

此外，读者还将对系统日志的研究有基本的了解，了解反向恶意软件的原理，主动威胁搜索（Threat Hunting）和网络情报（Threat Intelligence）的基础，并熟悉编写报告的规则。

5. Windows取证食谱

作者：Oleg Skulkin，Scar de Courcier

这本书是由我的同事在IB组中合写的Oleg Skulkin，是有关在研究Windows 10操作系统工件时如何在特定情况下执行操作的提示（“食谱”）的集合。该材料基于以下原则构建：存在问题-作者提供了逐步解决问题的指南（您可以使用哪种工具在正确设置和应用此工具之前，先解决问题以及从何处获得解决方案）。本书优先考虑免费工具。因此，读者将不需要购买昂贵的专门法医程序。在第61本书中，建议-涵盖了研究人员在分析Windows时通常会遇到的所有典型任务。除了经典的取证工具外，本书还讨论了仅针对Windows 10的工具分析示例。

6.内存取证的技巧：检测Windows，Linux和Mac内存中的恶意软件和威胁

作者：Michael Hale Ligh

Huge（超过900页），专门研究计算机RAM的直接学术著作。该书分为四个主要部分。第一部分向读者介绍计算机RAM的排列方式以及如何正确地取证其中包含的数据。接下来的三节详细介绍了从运行Windows，MacOS和Linux的计算机的主存储转储中提取工件的方法。
建议阅读那些决定尽可能详细地了解RAM中可以发现哪些犯罪产物的人员。

7.网络取证

作者：Ric Messier

本书适合那些想深入研究在线取证研究的人。向读者介绍了网络协议的体系结构。然后，描述了用于捕获和分析网络流量的方法。它描述了如何根据网络流量以及操作系统，路由器和交换机的系统日志中的数据检测攻击。

8.实用的移动取证：取证研究和分析iOS，Android和Windows 10设备（第四版）

作者：Rohit Tamma，Oleg Skulkin，Heather Mahalik，Satish Bommisetty

在过去十年中，世界发生了很大变化。所有个人数据（照片，视频，信使中的信件等）都从个人计算机和笔记本电脑迁移到智能手机。《实用移动取证》是Packt Publishing的畅销书，已被发行四次。该书详细介绍了从运行iOS，Android，Windows 10操作系统的智能手机中提取数据，如何恢复和分析提取的数据，如何分析安装在智能手机上的应用程序的数据。本书还向读者介绍了移动设备上操作系统的操作原理。

9.学习Android取证：使用最新的取证工具和技术分析Android设备（第二版）

作者：Oleg Skulkin，Donnie Tindall，Rohit Tamma

研究运行Android操作系统的设备每天都变得越来越困难。我们在“ HiSuite备份的取证分析” 一文中对此进行了介绍。本书旨在帮助读者深入分析此类移动设备。除了用于从Android智能手机提取和分析数据的传统实用技巧之外，读者还将学习如何制作智能手机RAM的副本，分析应用程序数据，逆转Android恶意软件以及编写YARA规则以检测移动设备内存中的此类程序。

10.学习恶意软件分析：探索用于分析和调查Windows恶意软件的概念，工具和技术

作者：Monnappa KA

专家社区对本书的期待已超过一年。作者并没有令他的读者失望。对于那些想开始从事反向恶意软件之旅的人来说，他获得了非常不错的手册。信息清晰易懂。

读者将学习如何建立自己的实验室进行恶意软件分析，熟悉此类程序的静态和动态分析方法，接受有关使用IDA Pro交互式反汇编程序的课程，学习如何绕过混淆技术的知识，该技术使程序源代码的研究变得复杂。

本书提供俄文翻译版本：“恶意软件分析”。

11. Rootkit和Bootkit：逆转现代恶意软件和下一代威胁

作者：Alex Matrosov，Eugene Rodionov，Sergey Bratus

该出版物讨论了一个复杂的话题：rootkit和bootkit的研究。这本书是由三位专业人士撰写的。本书描述了反向恶意软件的基本原理，以及为此类程序的专业研究人员（病毒分析人员）设计的复杂技术。

读者将熟悉诸如加载32位和64位Windows操作系统的过程以及示例的主题，他将分析用于分析特定Rootkit和Bootkit的方法，了解BIOS和UEFI上的攻击媒介，并开发用于检测此类攻击的方法，并了解该应用程序。用于分析bootkit行为的虚拟化。

计算机取证书架：有关数字取证，事件响应和恶意软件分析的11本书