黑客大曝光:惡意軟件和Rootkit安全(原書第2版)
定 價:79 元
叢書名:網(wǎng)絡空間安全技術叢書
- 作者:[美] 克里斯托弗 C.埃里森(Christopher C. Elisan)邁克爾·
- 出版時間:2017/10/25
- ISBN:9787111580546
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP309.5
- 頁碼:273
- 紙張:膠版紙
- 版次:1
- 開本:16K
本書提供了經過證明的預防技術,用現(xiàn)實世界的案例研究和實例揭示了黑客們是如何使用很容易得到的工具滲透和劫持系統(tǒng)的。本書詳細介紹了新的入侵檢測、防火墻、蜜罐、防病毒、防Rootkit以及防間諜軟件技術。
目 錄
對本書第1版的贊譽
推薦序
譯者序
作者簡介
前言
致謝
第一部分 惡意軟件
第1章 惡意軟件傳播 5
1.1 惡意軟件仍是王者 5
1.2 惡意軟件的傳播現(xiàn)狀 5
1.3 為什么他們想要你的工作站 6
1.4 難以發(fā)現(xiàn)的意圖 6
1.5 這是樁生意 7
1.6 惡意軟件傳播的主要技術 7
1.6.1 社會工程 8
1.6.2 文件執(zhí)行 9
1.7 現(xiàn)代惡意軟件的傳播技術 12
1.7.1 StormWorm 13
1.7.2 變形 14
1.7.3 混淆 16
1.7.4 動態(tài)域名服務 18
1.7.5 Fast Flux 19
1.8 惡意軟件傳播注入方向 20
1.8.1 電子郵件 20
1.8.2 惡意網(wǎng)站 23
1.8.3 網(wǎng)絡仿冒 25
1.8.4 對等網(wǎng)絡(P2P) 28
1.8.5 蠕蟲 31
1.9 小結 32
第2章 惡意軟件功能 33
2.1 惡意軟件安裝后會做什么 33
2.1.1 彈出窗口 33
2.1.2 搜索引擎重定向 36
2.1.3 數(shù)據(jù)盜竊 43
2.1.4 點擊欺詐 45
2.1.5 身份盜竊 46
2.1.6 擊鍵記錄 49
2.1.7 惡意軟件的表現(xiàn) 53
2.2 識別安裝的惡意軟件 55
2.2.1 典型安裝位置 55
2.2.2 在本地磁盤上安裝 56
2.2.3 修改時間戳 56
2.2.4 感染進程 57
2.2.5 禁用服務 57
2.2.6 修改Windows注冊表 58
2.3 小結 58
第二部分 Rootkit
第3章 用戶模式Rootkit 62
3.1 Rootkit 63
3.1.1 時間軸 64
3.1.2 Rootkit的主要特征 64
3.1.3 Rootkit的類型 66
3.2 用戶模式Rootkit 67
3.2.1 什么是用戶模式Rootkit 67
3.2.2 后臺技術 68
3.2.3 注入技術 71
3.2.4 鉤子技術 79
3.3 用戶模式Rootkit實例 81
3.4 小結 87
第4章 內核模式Rootkit 88
4.1 底層:x86體系結構基礎 89
4.1.1 指令集體系結構和操作系統(tǒng) 89
4.1.2 保護層次 89
4.1.3 跨越層次 90
4.1.4 內核模式:數(shù)字化的西部蠻荒 91
4.2 目標:Windows內核組件 92
4.2.1 Win32子系統(tǒng) 92
4.2.2 這些API究竟是什么 93
4.2.3 守門人:NTDLL.DLL 93
4.2.4 委員會功能:Windows Executive(NTOSKRNL.EXE) 94
4.2.5 Windows內核(NTOSKRNL.EXE) 94
4.2.6 設備驅動程序 94
4.2.7 Windows硬件抽象層(HAL) 95
4.3 內核驅動程序概念 95
4.3.1 內核模式驅動程序體系結構 96
4.3.2 整體解剖:框架驅動程序 97
4.3.3 WDF、KMDF和UMDF 98
4.4 內核模式Rootkit 99
4.4.1 內核模式Rootkit簡介 99
4.4.2 內核模式Rootkit所面對的挑戰(zhàn) 99
4.4.3 方法和技術 101
4.5 內核模式Rootkit實例 119
4.5.1 Clandestiny創(chuàng)建的Klog 119
4.5.2 Aphex創(chuàng)建的AFX 122
4.5.3 Jamie Butler、Peter Silberman和 C.H.A.O.S創(chuàng)建的FU和FUTo 124
4.5.4 Sherri Sparks 和 Jamie Butler創(chuàng)建的Shadow Walker 125
4.5.5 He4 Team創(chuàng)建的He4Hook 127
4.5.6 Honeynet項目創(chuàng)建的Sebek 130
4.6 小結 131
第5章 虛擬Rootkit 133
5.1 虛擬機技術概述 133
5.1.1 虛擬機類型 134
5.1.2 系統(tǒng)管理程序 135
5.1.3 虛擬化策略 136
5.1.4 虛擬內存管理 137
5.1.5 虛擬機隔離 137
5.2 虛擬機Rootkit技術 137
5.2.1 矩陣里的Rootkit:我們是怎么到這里的 138
5.2.2 什么是虛擬Rootkit 138
5.2.3 虛擬Rootkit的類型 139
5.2.4 檢測虛擬環(huán)境 140
5.2.5 脫離虛擬環(huán)境 146
5.2.6 劫持系統(tǒng)管理程序 147
5.3 虛擬Rootkit實例 148
5.4 小結 153
第6章 Rootkit的未來 155
6.1 復雜性和隱蔽性的改進 156
6.2 定制的Rootkit 161
6.3 數(shù)字簽名的Rootkit 162
6.4 小結 162
第三部分 預防技術
第7章 防病毒 167
7.1 現(xiàn)在和以后:防病毒技術的革新 167
7.2 病毒全景 168
7.2.1 病毒的定義 168
7.2.2 分類 169
7.2.3 簡單病毒 170
7.2.4 復雜病毒 172
7.3 防病毒——核心特性和技術 173
7.3.1 手工或者“按需”掃描 174
7.3.2 實時或者“訪問時”掃描 174
7.3.3 基于特征碼的檢測 175
7.3.4 基于異常/啟發(fā)式檢測 176
7.4 對防病毒技術的作用的評論 177
7.4.1 防病毒技術擅長的方面 177
7.4.2 防病毒業(yè)界的領先者 177
7.4.3 防病毒的難題 177
7.5 防病毒業(yè)界的未來 179
7.6 小結和對策 180
第8章 主機保護系統(tǒng) 182
8.1 個人防火墻功能 182
8.2 彈出窗口攔截程序 184
8.2.1 Chrome 185
8.2.2 Firefox 186
8.2.3 Microsoft Edge 187
8.2.4 Safari 187
8.2.5 一般的彈出式窗口攔截程序代碼實例 187
8.3 小結 190
第9章 基于主機的入侵預防 191
9.1 HIPS體系結構 191
9.2 超過入侵檢測的增長 193
9.3 行為與特征碼 194
9.3.1 基于行為的系統(tǒng) 195
9.3.2 基于特征碼的系統(tǒng) 196
9.4 反檢測躲避技術 196
9.5 如何檢測意圖 200
9.6 HIPS和安全的未來 201
9.7 小結 202
第10章 Rootkit檢測 203
10.1 Rootkit作者的悖論 203
10.2 Rootkit檢測簡史 204
10.3 檢測方法詳解 207
10.3.1 系統(tǒng)服務描述符表鉤子 207
10.3.2 IRP鉤子