目录（2）

2.2.6 从映像的文件系统上收集证据  66
2.2.7 用ddrescue 恢复数据  69
2.2.8 查看详细信息  70
2.2.9 收集隐藏目录和文件  71
2.2.10 检查可执行文件  72
2.3 常用搜索工具  72
2.3.1 特殊文件处理  72
2.3.2 The Coroner’s Toolkit（TCT 工具箱）  73
2.3.3 Forensix 工具集  74
2.4 集成取证工具箱介绍  74
2.4.1 用光盘系统取证  74
2.4.2 屏幕录制取证方法  75
2.5 案例一：闪现Segmentation Fault 为哪般  76
这是一起电商网站首页篡改案，管理员小王对各方调查取证，几经周折，对系统
进程、TCP 连接和Apache 的访问日志进行分析，最终找到了原因。当您看完事件描
述后，您知道小王在Apache 日志中到底发现了哪些蛛丝马迹？您知道Apache 出现的
段错误表示什么含义？小王今后该如何防止这种事件再次发生呢？
事件背景  76
互动问答  80
疑难解析  80
预防措施  82
2.6 案例二：谁动了我的胶片  83
本案描述了IT 经理张坤在一起广告公司文件泄露的案件中，通过对交换机、服务
器日志和邮件信头进行分析，利用多方面日志内容验证了他的推测，最后他将这些信息
汇总起来，勾勒出了这次攻击事件的全过程。读者在看完事件的描述后，是否知道在
FTP 和SSH 日志中找到了什么线索？是否知道如何通过攻击者发出的邮件信头找到他
的IP 地址呢？
事件背景  83
了解业务流程  83
公司内鬼所为？  84
取证分析  85
遗忘的Squid 服务器  86
互动问答  88
疑点分析  88
诱捕入侵者  89
疑难解析  90
预防措施  92
第3 章 建立日志分析系统  93
3.1 日志采集基础  93
3.1.1 Syslog 协议  93
3.1.2 Syslog 日志记录的事件  96
3.1.3 Syslog.conf 配置文件详解  96
3.1.4 Syslog 操作  97
3.1.5 Syslog 的安全漏洞  98
3.1.6 Rsyslog  98
3.1.7 Syslog-ng  100
3.2 时间同步  100
3.2.1 基本概念  100
3.2.2 识别日志中伪造的时间信息  101
3.2.3 时间同步方法  101
3.3 网络设备日志分析与举例  101
3.3.1 路由器日志分析  102
3.3.2 交换机日志分析  102
3.3.3 防火墙日志分析  103
3.3.4 实战：通过日志发现ARP 病毒  105
3.3.5 实战：交换机环路故障解决案例  108
3.4 选择日志管理系统的十大问题  109
3.5 利用日志管理工具更轻松  114
3.5.1 日志主机系统的部署  115
3.5.2 日志分析与监控  116
3.5.3 利用Eventlog Analyzer 分析网络日志  117
3.5.4 分析防火墙日志  120
3.6 用Sawmill 搭建日志平台  120
3.6.1 系统简介  120
3.6.2 部署注意事项  121
3.6.3 安装举例  121
3.6.4 监测网络入侵  124
3.7 使用Splunk 分析日志  124
3.7.1 Splunk 简介  124
3.7.2 Splunk 安装  124
3.7.3 设置自动运行  125
3.7.4 系统配置  126
3.7.5 设置日志分析目录  127

喜欢的朋友可以添加我们的微信账号：

51CTO读书频道二维码

51CTO读书频道活动讨论群：342347198