黑客大曝光:惡意軟件和Rootkit安全(原書第2版)
定 價(jià):79 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:[美] 克里斯托弗 C.埃里森(Christopher C. Elisan)邁克爾·
- 出版時(shí)間:2017/10/25
- ISBN:9787111580546
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP309.5
- 頁(yè)碼:273
- 紙張:膠版紙
- 版次:1
- 開本:16K
本書提供了經(jīng)過證明的預(yù)防技術(shù)����,用現(xiàn)實(shí)世界的案例研究和實(shí)例揭示了黑客們是如何使用很容易得到的工具滲透和劫持系統(tǒng)的。本書詳細(xì)介紹了新的入侵檢測(cè)���、防火墻��、蜜罐��、防病毒����、防Rootkit以及防間諜軟件技術(shù)。
目 錄
對(duì)本書第1版的贊譽(yù)
推薦序
譯者序
作者簡(jiǎn)介
前言
致謝
第一部分 惡意軟件
第1章 惡意軟件傳播 5
1.1 惡意軟件仍是王者 5
1.2 惡意軟件的傳播現(xiàn)狀 5
1.3 為什么他們想要你的工作站 6
1.4 難以發(fā)現(xiàn)的意圖 6
1.5 這是樁生意 7
1.6 惡意軟件傳播的主要技術(shù) 7
1.6.1 社會(huì)工程 8
1.6.2 文件執(zhí)行 9
1.7 現(xiàn)代惡意軟件的傳播技術(shù) 12
1.7.1 StormWorm 13
1.7.2 變形 14
1.7.3 混淆 16
1.7.4 動(dòng)態(tài)域名服務(wù) 18
1.7.5 Fast Flux 19
1.8 惡意軟件傳播注入方向 20
1.8.1 電子郵件 20
1.8.2 惡意網(wǎng)站 23
1.8.3 網(wǎng)絡(luò)仿冒 25
1.8.4 對(duì)等網(wǎng)絡(luò)(P2P) 28
1.8.5 蠕蟲 31
1.9 小結(jié) 32
第2章 惡意軟件功能 33
2.1 惡意軟件安裝后會(huì)做什么 33
2.1.1 彈出窗口 33
2.1.2 搜索引擎重定向 36
2.1.3 數(shù)據(jù)盜竊 43
2.1.4 點(diǎn)擊欺詐 45
2.1.5 身份盜竊 46
2.1.6 擊鍵記錄 49
2.1.7 惡意軟件的表現(xiàn) 53
2.2 識(shí)別安裝的惡意軟件 55
2.2.1 典型安裝位置 55
2.2.2 在本地磁盤上安裝 56
2.2.3 修改時(shí)間戳 56
2.2.4 感染進(jìn)程 57
2.2.5 禁用服務(wù) 57
2.2.6 修改Windows注冊(cè)表 58
2.3 小結(jié) 58
第二部分 Rootkit
第3章 用戶模式Rootkit 62
3.1 Rootkit 63
3.1.1 時(shí)間軸 64
3.1.2 Rootkit的主要特征 64
3.1.3 Rootkit的類型 66
3.2 用戶模式Rootkit 67
3.2.1 什么是用戶模式Rootkit 67
3.2.2 后臺(tái)技術(shù) 68
3.2.3 注入技術(shù) 71
3.2.4 鉤子技術(shù) 79
3.3 用戶模式Rootkit實(shí)例 81
3.4 小結(jié) 87
第4章 內(nèi)核模式Rootkit 88
4.1 底層:x86體系結(jié)構(gòu)基礎(chǔ) 89
4.1.1 指令集體系結(jié)構(gòu)和操作系統(tǒng) 89
4.1.2 保護(hù)層次 89
4.1.3 跨越層次 90
4.1.4 內(nèi)核模式:數(shù)字化的西部蠻荒 91
4.2 目標(biāo):Windows內(nèi)核組件 92
4.2.1 Win32子系統(tǒng) 92
4.2.2 這些API究竟是什么 93
4.2.3 守門人:NTDLL.DLL 93
4.2.4 委員會(huì)功能:Windows Executive(NTOSKRNL.EXE) 94
4.2.5 Windows內(nèi)核(NTOSKRNL.EXE) 94
4.2.6 設(shè)備驅(qū)動(dòng)程序 94
4.2.7 Windows硬件抽象層(HAL) 95
4.3 內(nèi)核驅(qū)動(dòng)程序概念 95
4.3.1 內(nèi)核模式驅(qū)動(dòng)程序體系結(jié)構(gòu) 96
4.3.2 整體解剖:框架驅(qū)動(dòng)程序 97
4.3.3 WDF�����、KMDF和UMDF 98
4.4 內(nèi)核模式Rootkit 99
4.4.1 內(nèi)核模式Rootkit簡(jiǎn)介 99
4.4.2 內(nèi)核模式Rootkit所面對(duì)的挑戰(zhàn) 99
4.4.3 方法和技術(shù) 101
4.5 內(nèi)核模式Rootkit實(shí)例 119
4.5.1 Clandestiny創(chuàng)建的Klog 119
4.5.2 Aphex創(chuàng)建的AFX 122
4.5.3 Jamie Butler�、Peter Silberman和 C.H.A.O.S創(chuàng)建的FU和FUTo 124
4.5.4 Sherri Sparks 和 Jamie Butler創(chuàng)建的Shadow Walker 125
4.5.5 He4 Team創(chuàng)建的He4Hook 127
4.5.6 Honeynet項(xiàng)目創(chuàng)建的Sebek 130
4.6 小結(jié) 131
第5章 虛擬Rootkit 133
5.1 虛擬機(jī)技術(shù)概述 133
5.1.1 虛擬機(jī)類型 134
5.1.2 系統(tǒng)管理程序 135
5.1.3 虛擬化策略 136
5.1.4 虛擬內(nèi)存管理 137
5.1.5 虛擬機(jī)隔離 137
5.2 虛擬機(jī)Rootkit技術(shù) 137
5.2.1 矩陣?yán)锏腞ootkit:我們是怎么到這里的 138
5.2.2 什么是虛擬Rootkit 138
5.2.3 虛擬Rootkit的類型 139
5.2.4 檢測(cè)虛擬環(huán)境 140
5.2.5 脫離虛擬環(huán)境 146
5.2.6 劫持系統(tǒng)管理程序 147
5.3 虛擬Rootkit實(shí)例 148
5.4 小結(jié) 153
第6章 Rootkit的未來 155
6.1 復(fù)雜性和隱蔽性的改進(jìn) 156
6.2 定制的Rootkit 161
6.3 數(shù)字簽名的Rootkit 162
6.4 小結(jié) 162
第三部分 預(yù)防技術(shù)
第7章 防病毒 167
7.1 現(xiàn)在和以后:防病毒技術(shù)的革新 167
7.2 病毒全景 168
7.2.1 病毒的定義 168
7.2.2 分類 169
7.2.3 簡(jiǎn)單病毒 170
7.2.4 復(fù)雜病毒 172
7.3 防病毒——核心特性和技術(shù) 173
7.3.1 手工或者“按需”掃描 174
7.3.2 實(shí)時(shí)或者“訪問時(shí)”掃描 174
7.3.3 基于特征碼的檢測(cè) 175
7.3.4 基于異常/啟發(fā)式檢測(cè) 176
7.4 對(duì)防病毒技術(shù)的作用的評(píng)論 177
7.4.1 防病毒技術(shù)擅長(zhǎng)的方面 177
7.4.2 防病毒業(yè)界的領(lǐng)先者 177
7.4.3 防病毒的難題 177
7.5 防病毒業(yè)界的未來 179
7.6 小結(jié)和對(duì)策 180
第8章 主機(jī)保護(hù)系統(tǒng) 182
8.1 個(gè)人防火墻功能 182
8.2 彈出窗口攔截程序 184
8.2.1 Chrome 185
8.2.2 Firefox 186
8.2.3 Microsoft Edge 187
8.2.4 Safari 187
8.2.5 一般的彈出式窗口攔截程序代碼實(shí)例 187
8.3 小結(jié) 190
第9章 基于主機(jī)的入侵預(yù)防 191
9.1 HIPS體系結(jié)構(gòu) 191
9.2 超過入侵檢測(cè)的增長(zhǎng) 193
9.3 行為與特征碼 194
9.3.1 基于行為的系統(tǒng) 195
9.3.2 基于特征碼的系統(tǒng) 196
9.4 反檢測(cè)躲避技術(shù) 196
9.5 如何檢測(cè)意圖 200
9.6 HIPS和安全的未來 201
9.7 小結(jié) 202
第10章 Rootkit檢測(cè) 203
10.1 Rootkit作者的悖論 203
10.2 Rootkit檢測(cè)簡(jiǎn)史 204
10.3 檢測(cè)方法詳解 207
10.3.1 系統(tǒng)服務(wù)描述符表鉤子 207
10.3.2 IRP鉤子
書單推薦
