決戰(zhàn)惡意代碼

第1章 介紹 1
1.1 定義問題 2
1.2 為什么惡意代碼如此普遍 3
1.2.1 混合的數(shù)據(jù)和可執(zhí)行指令：令人驚恐的組合 4
1.2.2 惡意的用戶 7
1.2.3 日益增加的同構(gòu)計(jì)算環(huán)境 8
1.2.4 空前的連通性 8
1.2.5 不斷擴(kuò)大的缺乏專業(yè)技能的用戶群 9
1.2.6 這個(gè)世界并不是個(gè)友善和平的地方 9
1.3 惡意代碼的類型 10
1.4 惡意代碼的歷史 12
1.5 為什么寫這本書 15
1.6 有哪些期望 16
1.7 參考文獻(xiàn) 18
第2章 病毒 19
2.1 計(jì)算機(jī)病毒的早期歷史 21
2.2 感染機(jī)制和目標(biāo) 24
2.2.1 感染可執(zhí)行文件 24
2.2.2 感染引導(dǎo)區(qū) 28
2.2.3 感染文檔文件 31
2.2.4 病毒感染的其他目標(biāo) 35
2.3 病毒的傳播機(jī)制 37
2.3.1 移動(dòng)存儲(chǔ) 38
2.3.2 電子郵件及其下載 39
2.3.3 共享目錄 39
2.4 防御病毒 39
2.4.1 反病毒軟件 40
2.4.2 配置強(qiáng)化 45
2.4.3 用戶培訓(xùn) 48
2.5 Malware的自我保護(hù)技術(shù) 49
2.5.1 隱匿 49
2.5.2 多態(tài)和變異 50
2.5.3 惰化反病毒軟件 50
2.5.4 挫敗Malware的自我保護(hù)技術(shù) 51
2.6 結(jié)論 52
2.7 總結(jié) 52
2.8 參考文獻(xiàn) 53
第3章 蠕蟲 55
3.1 為什么使用蠕蟲 57
3.1.1 接管大量的系統(tǒng) 57
3.1.2 使追蹤變得更困難 57
3.1.3 擴(kuò)大危害范圍 58
3.2 蠕蟲簡(jiǎn)史 59
3.3 蠕蟲的組成 61
3.3.1 蠕蟲的“彈頭” 62
3.3.2 傳播引擎 63
3.3.3 目標(biāo)選擇算法 64
3.3.4 掃描引擎 66
3.3.5 有效載荷 66
3.3.6 組合各部分：Nimda案例研究 67
3.4 蠕蟲傳播的障礙 69
3.4.1 目標(biāo)環(huán)境的多樣性 69
3.4.2 受害系統(tǒng)崩潰將限制蠕蟲傳播 71
3.4.3 過(guò)量的傳播可能阻塞網(wǎng)絡(luò) 71
3.4.4 不要自己踩到自己 71
3.4.5 不要被別人踩到 72
3.5 即將到來(lái)的超級(jí)蠕蟲 72
3.5.1 多平臺(tái)蠕蟲 73
3.5.2 多探測(cè)蠕蟲 73
3.5.3 Zero-Day探測(cè)蠕蟲 74
3.5.4 快速傳播蠕蟲 74
3.5.5 多態(tài)蠕蟲 76
3.5.6 變形蠕蟲 76
3.5.7 真正惡毒的蠕蟲 77
3.6 大的并非總是好的：非超級(jí)蠕蟲 78
3.7 防御蠕蟲 79
3.7.1 Ethical蠕蟲 80
3.7.2 反病毒軟件：一個(gè)很好的辦法，但需要和其他防御手段配合使用 82
3.7.3 配置銷售商補(bǔ)丁并加固公共訪問系統(tǒng) 82
3.7.4 阻斷任意的輸出連接 83
3.7.5 建立事故響應(yīng)機(jī)制 83
3.7.6 不要擺弄蠕蟲，甚至Ethical；除非…… 84
3.8 結(jié)論 85
3.9 總結(jié) 86
3.10 參考文獻(xiàn) 87
第4章 惡意移動(dòng)代碼 89
4.1 瀏覽器腳本 91
4.1.1 資源枯竭 92
4.1.2 瀏覽器劫持 93
4.1.3 利用瀏覽器的漏洞竊取Cookie值 96
4.1.4 跨網(wǎng)站腳本攻擊 100
4.2 ActiveX控件 109
4.2.1 使用ActiveX控件 110
4.2.2 惡意ActiveX控件 112
4.2.3 利用非惡意ActiveX控件 115
4.2.4 防御ActiveX的威脅：Internet Explorer設(shè)置 118
4.3 Java Applets 120
4.3.1 使用Java Applets 121
4.3.2 Java Applet安全模型 123
4.3.3 惡意Java Applets 125
4.4 E-mail客戶程序中的移動(dòng)代碼 127
4.4.1 通過(guò)電子郵件提升訪問權(quán)限 128
4.4.2 防止提高E-mail訪問權(quán)限 129
4.4.3 Web Bugs與個(gè)人隱私 130
4.4.4 防御Web Bugs 131
4.5 分布式應(yīng)用軟件和移動(dòng)代碼 132
4.6 防御惡意移動(dòng)代碼的其他方法 134
4.6.1 反病毒軟件 135
4.6.2 行為監(jiān)視軟件 136
4.6.3 反間諜軟件工具 137
4.7 結(jié)論 140
4.8 總結(jié) 140
4.9 參考文獻(xiàn) 142
第5章 后門 144
5.1 不同類型的后門通路 145
5.2 安裝后門 146
5.3 自動(dòng)啟動(dòng)后門 147
5.3.1 設(shè)置Windows后門啟動(dòng) 147
5.3.2 防御：檢測(cè)Windows后門啟動(dòng)技術(shù) 152
5.3.3 啟動(dòng)UNIX后門 154
5.3.4 防御：檢測(cè)UNIX后門啟動(dòng)技術(shù) 158
5.4 通用的網(wǎng)絡(luò)連接工具：NetCat 158
5.4.1 NetCat處理標(biāo)準(zhǔn)輸入和標(biāo)準(zhǔn)輸出 159
5.4.2 NetCat后門命令行解釋器監(jiān)聽程序 161
5.4.3 簡(jiǎn)單NetCat后門命令行解釋器監(jiān)聽程序的局限性 163
5.4.4 利用NetCat后門客戶機(jī)程序“強(qiáng)制”命令行解釋器 164
5.4.5 Netcat + Crypto = Cryptcat 165
5.4.6 其他后門命令行解釋器監(jiān)聽程序 165
5.4.7 防御后門命令行解釋器監(jiān)聽程序 166
5.5 GUI越過(guò)網(wǎng)絡(luò)大量使用虛擬網(wǎng)絡(luò)計(jì)算 172
5.5.1 關(guān)注VNC 174
5.5.2 VNC網(wǎng)絡(luò)特征和服務(wù)器模式 175
5.5.3 用VNC“強(qiáng)制”GUI 176
5.5.4 遠(yuǎn)程安裝Windows VNC 177
5.5.5 遠(yuǎn)程GUI防御 179
5.6 無(wú)端口后門 179
5.6.1 ICMP后門 179
5.6.2 非混合型探測(cè)后門 180
5.6.3 混合型探測(cè)后門 183
5.6.4 防御無(wú)端口的后門 186
5.7 結(jié)論 189
5.8 總結(jié) 190
5.9 參考文獻(xiàn) 191
第6章 特洛伊木馬 192
6.1 名字中有什么 193
6.1.1 與Windows擴(kuò)展名放在一起 193
6.1.2 模仿其他文件名 196
6.1.3 路徑中的“.”威脅 200
6.1.4 特洛伊命名游戲的防御 202
6.2 包裝明星 204
6.2.1 包裝工具的特點(diǎn) 205
6.2.2 防御包裝工具 206
6.3 特洛伊軟件發(fā)行站點(diǎn) 206
6.3.1 特洛伊軟件發(fā)行的老式路線 207
6.3.2 流行新趨勢(shì)：追隨Web站點(diǎn) 207
6.3.3 Tcpdump和Libpcap特洛伊木馬后門 208
6.3.4 針對(duì)特洛伊軟件發(fā)行的防御 211
6.4 給代碼“下毒” 212
6.4.1 代碼的復(fù)雜性使得攻擊更容易 213
6.4.2 測(cè)試？什么測(cè)試 214
6.4.3 軟件開發(fā)的全球化趨勢(shì) 216
6.4.4 預(yù)防給代碼“下毒” 217
6.5 “指定”一個(gè)瀏覽器：Setiri 218
6.5.1 Setiri組件 218
6.5.2 Setiri通信 219
6.5.3 防御Setiri 221
6.6 將數(shù)據(jù)隱藏在可執(zhí)行文件中：隱藏和多態(tài) 223
6.6.1 Hydan和可執(zhí)行文件信息隱藏 224
6.6.2 Hydan在起作用 225
6.6.3 防御Hydan 228
6.7 結(jié)論 228
6.8 總結(jié) 229
6.9 參考文獻(xiàn) 230
第7章 用戶模式RootKit 231
7.1 UNIX用戶模式RootKit 233
7.1.1 LRK家族 235
7.1.2 Universal RootKit(URK) 244
7.1.3 使用RunEFS和Defiler’s Toolkit控制文件系統(tǒng) 247
7.1.4 ext2文件系統(tǒng)概述 248
7.1.5 UNIX RootKit的防御 254
7.2 Windows用戶模式RootKit 261
7.2.1 使用FakeGINA控制Windows登錄 263
7.2.2 運(yùn)行中的WFP 266
7.2.3 DLL注入、API掛鉤和AFX Windows RootKit 273
7.2.4 防御Windows系統(tǒng)中的用戶模式RootKit 280
7.3 結(jié)論 284
7.4 總結(jié) 284
7.5 參考文獻(xiàn) 286
第8章 內(nèi)核模式RootKit 287
8.1 內(nèi)核是什么 287
8.2 內(nèi)核控制的影響 290
8.3 Linux內(nèi)核 293
8.3.1 Linux內(nèi)核探險(xiǎn) 294
8.3.2 控制Linux內(nèi)核的方法 301
8.3.3 防御Linux內(nèi)核 318
8.3.4 檢測(cè)Linux中的內(nèi)核模式RootKit 322
8.3.5 應(yīng)對(duì)Linux中的內(nèi)核模式RootKit 324
8.4 Windows內(nèi)核 324
8.4.1 Windows內(nèi)核之旅 325
8.4.2 控制Windows內(nèi)核的方法 337
8.4.3 內(nèi)核模式Windows？或許某一天……很快 344
8.4.4 保衛(wèi)Windows內(nèi)核 345
8.5 結(jié)論 347
8.6 總結(jié) 348
8.7 參考文獻(xiàn) 350
第9章 進(jìn)一步深入 353
9.1 設(shè)置舞臺(tái)：Malware的不同層次 354
9.2 更深層次：BIOS的可能性和Malware微代碼 356
9.2.1 BIOS Malware的可能性 357
9.2.2 微代碼Malware 366
9.3 組合Malware 379
9.3.1 Lion：Linux中蠕蟲/RootKit組合 380
9.3.2 Bugbear：Windows中蠕蟲/病毒/后門的組合 383
9.3.3 并不是全部 387
9.3.4 防御Malware組合體 388
9.4 結(jié)論 388
9.5 總結(jié) 388
9.6 參考文獻(xiàn) 391
第10章 情節(jié) 392
10.1 情節(jié)1：白璧微瑕 393
10.2 情節(jié)2：內(nèi)核偷盜者的入侵 399
10.3 情節(jié)3：沉默的蠕蟲 408
10.4 結(jié)論 417
10.5 總結(jié) 417
第11章 惡意代碼分析 420
11.1 建立一個(gè)惡意代碼分析實(shí)驗(yàn)室 420
11.1.1 警告：使用沒有工作目的的系統(tǒng)并遠(yuǎn)離Internet 421
11.1.2 全面的實(shí)驗(yàn)室體系結(jié)構(gòu) 421
11.1.3 虛擬化任何事物 423
11.2 惡意代碼分析過(guò)程 426
11.2.1 惡意代碼分析和合法軟件 427
11.2.2 準(zhǔn)備和確認(rèn) 428
11.2.3 安裝實(shí)例并做好分析準(zhǔn)備 432
11.2.4 靜態(tài)分析 434
11.2.5 動(dòng)態(tài)分析 448
11.2.6 用Burneye阻止惡意代碼分析 463
11.3 結(jié)論 466
11.4 總結(jié) 467
11.5 參考文獻(xiàn) 469
第12章 結(jié)論 470
12.1 跟上技術(shù)發(fā)展的有用站點(diǎn) 470
12.1.1 Packet Storm Security 471
12.1.2 Security Focus 471
12.1.3 Global Information Assurance Certification 472
12.1.4 Phrack Electronic Magazine 472
12.1.5 The Honeynet Project 473
12.1.6 Mega Security 474
12.1.7 Infosec Writers 474
12.1.8 Counterhack 474
12.2 臨別思考 475
12.2.1 臨別思考：悲觀主義版 475
12.2.2 臨別思考：樂觀主義版 477