-
Computer And Intrusion Forensics.7z下载
资源介绍
Contents
Foreword by Eugene Spafford . . . . . . . . . . . . . . . . . . . . . . xi
Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix
Disclaimer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi
1 Computer Crime, Computer Forensics, and
Computer Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Human behavior in the electronic age. . . . . . . . . . . . . . . . . . 4
1.3 The nature of computer crime . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 Establishing a case in computer forensics. . . . . . . . . . . . . . . . 12
1.4.1 Computer forensic analysis within the forensic tradition. . . . 14
1.4.2 The nature of digital evidence . . . . . . . . . . . . . . . . . . . . . 21
1.4.3 Retrieval and analysis of digital evidence . . . . . . . . . . . . . 23
1.4.4 Sources of digital evidence . . . . . . . . . . . . . . . . . . . . . . . 27
1.5 Legal considerations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.6 Computer security and its relationship
to computer forensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1.6.1 Basic communications on the Internet. . . . . . . . . . . . . . . . 32
1.6.2 Computer security and computer forensics . . . . . . . . . . . . . 35
v
1.7 Overview of the following chapters. . . . . . . . . . . . . . . . . . . . 37
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2 Current Practice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.2 Electronic evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.2.1 Secure boot, write blockers and forensic platforms. . . . . . . . 44
2.2.2 Disk file organization . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.2.3 Disk and file imaging and analysis . . . . . . . . . . . . . . . . . 49
2.2.4 File deletion, media sanitization . . . . . . . . . . . . . . . . . . . 57
2.2.5 Mobile telephones, PDAs . . . . . . . . . . . . . . . . . . . . . . . . 59
2.2.6 Discovery of electronic evidence . . . . . . . . . . . . . . . . . . . . 61
2.3 Forensic tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
2.3.1 EnCase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
2.3.2 ILook Investigator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2.3.3 CFIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2.4 Emerging procedures and standards . . . . . . . . . . . . . . . . . . . 76
2.4.1 Seizure and analysis of electronic evidence. . . . . . . . . . . . . 77
2.4.2 National and international standards. . . . . . . . . . . . . . . . 86
2.5 Computer crime legislation and computer forensics . . . . . . . . 90
2.5.1 Council of Europe convention on cybercrime and
other international activities . . . . . . . . . . . . . . . . . . . . . . 90
2.5.2 Carnivore and RIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
2.5.3 Antiterrorism legislation . . . . . . . . . . . . . . . . . . . . . . . . 98
2.6 Networks and intrusion forensics . . . . . . . . . . . . . . . . . . . . . 103
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
3 Computer Forensics in Law Enforcement and
National Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
3.1 The origins and history of computer forensics . . . . . . . . . . . . 113
3.2 The role of computer forensics in law enforcement . . . . . . . . 117
vi Contents
3.3 Principles of evidence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
3.3.1 Jurisdictional issues . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.3.2 Forensic principles and methodologies. . . . . . . . . . . . . . . . 123
3.4 Computer forensics model for law enforcement. . . . . . . . . . . 128
3.4.1 Computer forensic—secure, analyze,
present (CFSAP) model . . . . . . . . . . . . . . . . . . . . . . . . . 128
3.5 Forensic examination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
3.5.1 Procedures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
3.5.2 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
3.5.3 Presentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
3.6 Forensic resources and tools . . . . . . . . . . . . . . . . . . . . . . . . . 147
3.6.1 Operating systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
3.6.2 Duplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
3.6.3 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
3.6.4 Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
3.6.5 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
3.6.6 File viewers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
3.7 Competencies and certification . . . . . . . . . . . . . . . . . . . . . . . 160
3.7.1 Training courses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
3.7.2 Certification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
3.8 Computer forensics and national security . . . . . . . . . . . . . . . 164
3.8.1 National security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
3.8.2 Critical infrastructure protection . . . . . . . . . . . . . . . . . . . 167
3.8.3 National security computer forensic organizations . . . . . . . . 168
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
4 Computer Forensics in Forensic Accounting . . . . . . . . . . 175
4.1 Auditing and fraud detection . . . . . . . . . . . . . . . . . . . . . . . . 175
4.1.1 Detecting fraud—the auditor and technology . . . . . . . . . . . 176
4.2 Defining fraudulent activity . . . . . . . . . . . . . . . . . . . . . . . . . 177
4.2.1 What is fraud?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Contents vii
4.2.2 Internal fraud versus external fraud. . . . . . . . . . . . . . . . . 180
4.2.3 Understanding fraudulent behavior . . . . . . . . . . . . . . . . . 183
4.3 Technology and fraud detection . . . . . . . . . . . . . . . . . . . . . . 184
4.3.1 Data mining and fraud detection. . . . . . . . . . . . . . . . . . . 187
4.3.2 Digit analysis and fraud detection . . . . . . . . . . . . . . . . . . 188
4.3.3 Fraud detection tools . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
4.4 Fraud detection techniques. . . . . . . . . . . . . . . . . . . . . . . . . . 190
4.4.1 Fraud detection through statistical analysis . . . . . . . . . . . . 191
4.4.2 Fraud detection through pattern
and relationship analysis . . . . . . . . . . . . . . . . . . . . . . . . 200
4.4.3 Dealing with vagueness in fraud detection. . . . . . . . . . . . . 204
4.4.4 Signatures in fraud detection . . . . . . . . . . . . . . . . . . . . . 205
4.5 Visual analysis techniques . . . . . . . . . . . . . . . . . . . . . . . . . . 206
4.5.1 Link or relationship analysis . . . . . . . . . . . . . . . . . . . . . 207
4.5.2 Time-line analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
4.5.3 Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
4.6 Building a fraud analysis model . . . . . . . . . . . . . . . . . . . . . . 211
4.6.1 Stage 1: Define objectives . . . . . . . . . . . . . . . . . . . . . . . . 212
4.6.2 Stage 2: Environmental scan. . . . . . . . . . . . . . . . . . . . . . 214
4.6.3 Stage 3: Data acquisition . . . . . . . . . . . . . . . . . . . . . . . . 215
4.6.4 Stage 4: Define fraud rules . . . . . . . . . . . . . . . . . . . . . . . 216
4.6.5 Stage 5: Develop analysis methodology . . . . . . . . . . . . . . . 217
4.6.6 Stage 6: Data analysis. . . . . . . . . . . . . . . . . . . . . . . . . . 217
4.6.7 Stage 7: Review results . . . . . . . . . . . . . . . . . . . . . . . . . 218
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Appendix 4A. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
5 Case Studies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
5.2 The case of ‘‘Little Nicky’’ Scarfo. . . . . . . . . . . . . . . . . . . . . . 223
5.2.1 The legal challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
5.2.2 Keystroke logging system . . . . . . . . . . . . . . . . . . . . . . . . 226
viii Contents
5.3 The case of ‘‘El Griton’’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
5.3.1 Surveillance on Harvard’s computer network. . . . . . . . . . . 230
5.3.2 Identification of the intruder: Julio Cesar Ardita. . . . . . . . . 231
5.3.3 Targets of Ardita’s activities . . . . . . . . . . . . . . . . . . . . . . 232
5.4 Melissa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
5.4.1 A word on macro viruses . . . . . . . . . . . . . . . . . . . . . . . . 236
5.4.2 The virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
5.4.3 Tracking the author . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
5.5 The World Trade Center bombing (1993) and
Operation Oplan Bojinka . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
5.6 Other cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
5.6.1 Testing computer forensics in court. . . . . . . . . . . . . . . . . . 244
5.6.2 The case of the tender document . . . . . . . . . . . . . . . . . . . 248
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
6 Intrusion Detection and Intrusion Forensics . . . . . . . . . . . 257
6.1 Intrusion detection, computer forensics, and
information warfare. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
6.2 Intrusion detection systems . . . . . . . . . . . . . . . . . . . . . . . . . 264
6.2.1 The evolution of IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
6.2.2 IDS in practice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
6.2.3 IDS interoperability and correlation . . . . . . . . . . . . . . . . . 274
6.3 Analyzing computer intrusions . . . . . . . . . . . . . . . . . . . . . . . 276
6.3.1 Event log analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
6.3.2 Time-lining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
6.4 Network security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
6.4.1 Defense in depth. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
6.4.2 Monitoring of computer networks and systems . . . . . . . . . . 288
6.4.3 Attack types, attacks, and system vulnerabilities . . . . . . . . . 295
6.5 Intrusion forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
6.5.1 Incident response and investigation . . . . . . . . . . . . . . . . . 303
Contents ix
6.5.2 Analysis of an attack. . . . . . . . . . . . . . . . . . . . . . . . . . . 306
6.5.3 A case study—security in cyberspace. . . . . . . . . . . . . . . . . 308
6.6 Future directions for IDS and intrusion forensics . . . . . . . . . . 310
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
7 Research Directions and Future Developments . . . . . . . . 319
7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
7.2 Forensic data mining—finding useful patterns
in evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
7.3 Text categorization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
7.4 Authorship attribution: identifying e-mail authors . . . . . . . . . 331
7.5 Association rule mining—application to
investigative profiling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
7.6 Evidence extraction, link analysis, and link discovery . . . . . . 339
7.6.1 Evidence extraction and link analysis . . . . . . . . . . . . . . . . 340
7.6.2 Link discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
7.7 Stegoforensic analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
7.8 Image mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
7.9 Cryptography and cryptanalysis . . . . . . . . . . . . . . . . . . . . . . 355
7.10 The future—society and technology . . . . . . . . . . . . . . . . . . 360
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Acronyms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
About the Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383