文件名称:Computer And Intrusion Forensics.7z
文件大小:2.56MB
文件格式:7Z
更新时间:2022-09-10 16:09:57
Computer Intrusion Forensics
Contents Foreword by Eugene Spafford . . . . . . . . . . . . . . . . . . . . . . xi Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Disclaimer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi 1 Computer Crime, Computer Forensics, and Computer Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Human behavior in the electronic age. . . . . . . . . . . . . . . . . . 4 1.3 The nature of computer crime . . . . . . . . . . . . . . . . . . . . . . . 6 1.4 Establishing a case in computer forensics. . . . . . . . . . . . . . . . 12 1.4.1 Computer forensic analysis within the forensic tradition. . . . 14 1.4.2 The nature of digital evidence . . . . . . . . . . . . . . . . . . . . . 21 1.4.3 Retrieval and analysis of digital evidence . . . . . . . . . . . . . 23 1.4.4 Sources of digital evidence . . . . . . . . . . . . . . . . . . . . . . . 27 1.5 Legal considerations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 1.6 Computer security and its relationship to computer forensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 1.6.1 Basic communications on the Internet. . . . . . . . . . . . . . . . 32 1.6.2 Computer security and computer forensics . . . . . . . . . . . . . 35 v 1.7 Overview of the following chapters. . . . . . . . . . . . . . . . . . . . 37 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2 Current Practice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 2.2 Electronic evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2.2.1 Secure boot, write blockers and forensic platforms. . . . . . . . 44 2.2.2 Disk file organization . . . . . . . . . . . . . . . . . . . . . . . . . . 46 2.2.3 Disk and file imaging and analysis . . . . . . . . . . . . . . . . . 49 2.2.4 File deletion, media sanitization . . . . . . . . . . . . . . . . . . . 57 2.2.5 Mobile telephones, PDAs . . . . . . . . . . . . . . . . . . . . . . . . 59 2.2.6 Discovery of electronic evidence . . . . . . . . . . . . . . . . . . . . 61 2.3 Forensic tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 2.3.1 EnCase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 2.3.2 ILook Investigator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 2.3.3 CFIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 2.4 Emerging procedures and standards . . . . . . . . . . . . . . . . . . . 76 2.4.1 Seizure and analysis of electronic evidence. . . . . . . . . . . . . 77 2.4.2 National and international standards. . . . . . . . . . . . . . . . 86 2.5 Computer crime legislation and computer forensics . . . . . . . . 90 2.5.1 Council of Europe convention on cybercrime and other international activities . . . . . . . . . . . . . . . . . . . . . . 90 2.5.2 Carnivore and RIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 2.5.3 Antiterrorism legislation . . . . . . . . . . . . . . . . . . . . . . . . 98 2.6 Networks and intrusion forensics . . . . . . . . . . . . . . . . . . . . . 103 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3 Computer Forensics in Law Enforcement and National Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 3.1 The origins and history of computer forensics . . . . . . . . . . . . 113 3.2 The role of computer forensics in law enforcement . . . . . . . . 117 vi Contents 3.3 Principles of evidence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 3.3.1 Jurisdictional issues . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 3.3.2 Forensic principles and methodologies. . . . . . . . . . . . . . . . 123 3.4 Computer forensics model for law enforcement. . . . . . . . . . . 128 3.4.1 Computer forensic—secure, analyze, present (CFSAP) model . . . . . . . . . . . . . . . . . . . . . . . . . 128 3.5 Forensic examination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 3.5.1 Procedures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 3.5.2 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 3.5.3 Presentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 3.6 Forensic resources and tools . . . . . . . . . . . . . . . . . . . . . . . . . 147 3.6.1 Operating systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 3.6.2 Duplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 3.6.3 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 3.6.4 Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 3.6.5 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 3.6.6 File viewers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 3.7 Competencies and certification . . . . . . . . . . . . . . . . . . . . . . . 160 3.7.1 Training courses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 3.7.2 Certification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 3.8 Computer forensics and national security . . . . . . . . . . . . . . . 164 3.8.1 National security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 3.8.2 Critical infrastructure protection . . . . . . . . . . . . . . . . . . . 167 3.8.3 National security computer forensic organizations . . . . . . . . 168 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 4 Computer Forensics in Forensic Accounting . . . . . . . . . . 175 4.1 Auditing and fraud detection . . . . . . . . . . . . . . . . . . . . . . . . 175 4.1.1 Detecting fraud—the auditor and technology . . . . . . . . . . . 176 4.2 Defining fraudulent activity . . . . . . . . . . . . . . . . . . . . . . . . . 177 4.2.1 What is fraud?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Contents vii 4.2.2 Internal fraud versus external fraud. . . . . . . . . . . . . . . . . 180 4.2.3 Understanding fraudulent behavior . . . . . . . . . . . . . . . . . 183 4.3 Technology and fraud detection . . . . . . . . . . . . . . . . . . . . . . 184 4.3.1 Data mining and fraud detection. . . . . . . . . . . . . . . . . . . 187 4.3.2 Digit analysis and fraud detection . . . . . . . . . . . . . . . . . . 188 4.3.3 Fraud detection tools . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 4.4 Fraud detection techniques. . . . . . . . . . . . . . . . . . . . . . . . . . 190 4.4.1 Fraud detection through statistical analysis . . . . . . . . . . . . 191 4.4.2 Fraud detection through pattern and relationship analysis . . . . . . . . . . . . . . . . . . . . . . . . 200 4.4.3 Dealing with vagueness in fraud detection. . . . . . . . . . . . . 204 4.4.4 Signatures in fraud detection . . . . . . . . . . . . . . . . . . . . . 205 4.5 Visual analysis techniques . . . . . . . . . . . . . . . . . . . . . . . . . . 206 4.5.1 Link or relationship analysis . . . . . . . . . . . . . . . . . . . . . 207 4.5.2 Time-line analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 4.5.3 Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 4.6 Building a fraud analysis model . . . . . . . . . . . . . . . . . . . . . . 211 4.6.1 Stage 1: Define objectives . . . . . . . . . . . . . . . . . . . . . . . . 212 4.6.2 Stage 2: Environmental scan. . . . . . . . . . . . . . . . . . . . . . 214 4.6.3 Stage 3: Data acquisition . . . . . . . . . . . . . . . . . . . . . . . . 215 4.6.4 Stage 4: Define fraud rules . . . . . . . . . . . . . . . . . . . . . . . 216 4.6.5 Stage 5: Develop analysis methodology . . . . . . . . . . . . . . . 217 4.6.6 Stage 6: Data analysis. . . . . . . . . . . . . . . . . . . . . . . . . . 217 4.6.7 Stage 7: Review results . . . . . . . . . . . . . . . . . . . . . . . . . 218 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Appendix 4A. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 5 Case Studies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 5.2 The case of ‘‘Little Nicky’’ Scarfo. . . . . . . . . . . . . . . . . . . . . . 223 5.2.1 The legal challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 5.2.2 Keystroke logging system . . . . . . . . . . . . . . . . . . . . . . . . 226 viii Contents 5.3 The case of ‘‘El Griton’’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 5.3.1 Surveillance on Harvard’s computer network. . . . . . . . . . . 230 5.3.2 Identification of the intruder: Julio Cesar Ardita. . . . . . . . . 231 5.3.3 Targets of Ardita’s activities . . . . . . . . . . . . . . . . . . . . . . 232 5.4 Melissa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 5.4.1 A word on macro viruses . . . . . . . . . . . . . . . . . . . . . . . . 236 5.4.2 The virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 5.4.3 Tracking the author . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 5.5 The World Trade Center bombing (1993) and Operation Oplan Bojinka . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 5.6 Other cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 5.6.1 Testing computer forensics in court. . . . . . . . . . . . . . . . . . 244 5.6.2 The case of the tender document . . . . . . . . . . . . . . . . . . . 248 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 6 Intrusion Detection and Intrusion Forensics . . . . . . . . . . . 257 6.1 Intrusion detection, computer forensics, and information warfare. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 6.2 Intrusion detection systems . . . . . . . . . . . . . . . . . . . . . . . . . 264 6.2.1 The evolution of IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 6.2.2 IDS in practice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 6.2.3 IDS interoperability and correlation . . . . . . . . . . . . . . . . . 274 6.3 Analyzing computer intrusions . . . . . . . . . . . . . . . . . . . . . . . 276 6.3.1 Event log analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 6.3.2 Time-lining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 6.4 Network security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 6.4.1 Defense in depth. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 6.4.2 Monitoring of computer networks and systems . . . . . . . . . . 288 6.4.3 Attack types, attacks, and system vulnerabilities . . . . . . . . . 295 6.5 Intrusion forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 6.5.1 Incident response and investigation . . . . . . . . . . . . . . . . . 303 Contents ix 6.5.2 Analysis of an attack. . . . . . . . . . . . . . . . . . . . . . . . . . . 306 6.5.3 A case study—security in cyberspace. . . . . . . . . . . . . . . . . 308 6.6 Future directions for IDS and intrusion forensics . . . . . . . . . . 310 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 7 Research Directions and Future Developments . . . . . . . . 319 7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 7.2 Forensic data mining—finding useful patterns in evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 7.3 Text categorization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 7.4 Authorship attribution: identifying e-mail authors . . . . . . . . . 331 7.5 Association rule mining—application to investigative profiling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 7.6 Evidence extraction, link analysis, and link discovery . . . . . . 339 7.6.1 Evidence extraction and link analysis . . . . . . . . . . . . . . . . 340 7.6.2 Link discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 7.7 Stegoforensic analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 7.8 Image mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 7.9 Cryptography and cryptanalysis . . . . . . . . . . . . . . . . . . . . . . 355 7.10 The future—society and technology . . . . . . . . . . . . . . . . . . 360 References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 Acronyms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 About the Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
【文件预览】:
Computer And Intrusion Forensics - G. Mohay, et al., (Artech House, 2003) WW.pdf