ROOTKITS：Windows內(nèi)核的安全防護(hù)

定　價：￥39.00

作　者：	韓智文
出版社：	清華大學(xué)
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購買這本書可以去

ISBN：	9787302146520	出版時間：	1900-01-01	包裝：	平裝
開本：		頁數(shù)：	298	字?jǐn)?shù)：

內(nèi)容簡介

　　本書是目前第一本關(guān)于rootkit的詳盡指南，包括rootkit的概念、它們是怎樣工作的、如何構(gòu)建和檢測它們。世界頂級軟件安全專家、rootkit．com創(chuàng)始人Greg Hoglund和James Butler向大家詳細(xì)介紹攻擊者是如何進(jìn)入系統(tǒng)并長期駐留而不會被檢測到的，以及黑客是如何摧毀Windows XP和Wi rldows 2000內(nèi)核系統(tǒng)的，其概念可以應(yīng)用于現(xiàn)代任何主流操作系統(tǒng)。通過本書，讀者可以全面掌握rootkit，提升自己的計(jì)算機(jī)安全防范能力。

作者簡介

　　本書提供作譯者介紹Greg Hoglund，軟件安全領(lǐng)域的先驅(qū)者。軟件安全驗(yàn)證服務(wù)的領(lǐng)先提供商HBGary公司的CEO。在編寫了最早的網(wǎng)絡(luò)漏洞掃描器之一（在半數(shù)以上的財富500強(qiáng)公司中安裝）后，創(chuàng)建了第一個基于Windows NT的rootkit并撰寫了文檔，同時建立了www.rootkit.com網(wǎng)站。經(jīng)常在Black Hat、RSA以及其他安全會議上作演講。與他人合著了最佳暢銷書《軟件剖析——代碼攻防之道》（清華大學(xué)出版社引進(jìn)并出版，ISBN：7-302-10445-X）。.James Butler，HBGary公司工程部主任。具有一流的內(nèi)核編程和rootkit開發(fā)天賦...

圖書目錄

第1章  銷聲匿跡    1
1.1  攻擊者的動機(jī)    1
1.1.1  潛行的角色    2
1.1.2  不需潛行的情況    3
1.2  rootkit的定義    3
1.3  rootkit存在的原因    4
1.3.1  遠(yuǎn)程命令和控制    4
1.3.2  軟件竊聽    5
1.3.3  rootkit的合法使用    5
1.4  rootkit的存在歷史    6
1.5  rootkit的工作方式    7
1.5.1  打補(bǔ)丁    7
1.5.2  復(fù)活節(jié)彩蛋    7
1.5.3  間諜件修改    7
1.5.4  源代碼修改    8
1.5.5  軟件修改的合法性    8
1.6  rootkit與其他技術(shù)的區(qū)別    9
1.6.1  rootkit不是軟件利用工具    9
1.6.2  rootkit不是病毒    10
1.7  rootkit與軟件利用工具    11
1.8  攻擊型rootkit技術(shù)    14
1.8.1  HIPS    14
1.8.2  NIDS    15
1.8.3  繞過IDS/IPS    15
1.8.4  繞過取證分析工具    16
1.9  小結(jié)    17
第2章  破壞內(nèi)核    19
2.1  重要的內(nèi)核組件    20
2.2  rootkit的結(jié)構(gòu)設(shè)計(jì)    20
2.3  在內(nèi)核中引入代碼    23
2.4  構(gòu)建Windows設(shè)備驅(qū)動程序    24
2.4.1  設(shè)備驅(qū)動程序開發(fā)工具包    24
2.4.2  構(gòu)建環(huán)境    24
2.4.3  文件    25
2.5  加載和卸載驅(qū)動程序    28
2.6  對調(diào)試語句進(jìn)行日志記錄    28
2.7  融合rootkit：用戶和內(nèi)核模式的融合    29
2.7.1  I/O請求報文    30
2.7.2  創(chuàng)建文件句柄    33
2.7.3  添加符號鏈接    35
2.8  加載rootkit    36
2.8.1  草率方式    36
2.8.2  正確方式    38
2.9  從資源中解壓縮.sys文件    40
2.10  系統(tǒng)重啟后的考驗(yàn)    42
2.11  小結(jié)    43
第3章  硬件相關(guān)問題    45
3.1  環(huán)0級    46
3.2  CPU表和系統(tǒng)表    47
3.3  內(nèi)存頁    48
3.3.1  內(nèi)存訪問檢查    49
3.3.2  分頁和地址轉(zhuǎn)換    50
3.3.3  頁表查詢    51
3.3.4  頁目錄項(xiàng)    52
3.3.5  頁表項(xiàng)    53
3.3.6  重要表的只讀訪問    53
3.3.7  多個進(jìn)程使用多個頁目錄    54
3.3.8  進(jìn)程和線程    54
3.4  內(nèi)存描述符表    55
3.4.1  全局描述符表    55
3.4.2  本地描述符表    56
3.4.3  代碼段    56
3.4.4  調(diào)用門    56
3.5  中斷描述符表    56
3.6  系統(tǒng)服務(wù)調(diào)度表    60
3.7  控制寄存器    60
3.7.1  控制寄存器0    60
3.7.2  其他控制寄存器    61
3.7.3  EFlags寄存器    61
3.8  多處理器系統(tǒng)    61
3.9  小結(jié)    63
第4章  古老的鉤子藝術(shù)    65
4.1  用戶空間鉤子    65
4.1.1  導(dǎo)入地址表鉤子    67
4.1.2  內(nèi)聯(lián)函數(shù)鉤子    68
4.1.3  將DLL注入到用戶空間進(jìn)程中    70
4.2  內(nèi)核鉤子    74
4.2.1  鉤住系統(tǒng)服務(wù)描述符表    75
4.2.2  修改SSDT內(nèi)存保護(hù)機(jī)制    76
4.2.3  鉤住SSDT    79
4.3  混合式鉤子方法    99
4.3.1  進(jìn)入進(jìn)程的地址空間    99
4.3.2  鉤子的內(nèi)存空間    103
4.4  小結(jié)    105
第5章  運(yùn)行時補(bǔ)丁    107
5.1  detour補(bǔ)丁    108
5.1.1  用MigBot重定控制流程路徑    109
5.1.2  檢查函數(shù)字節(jié)    110
5.1.3  記錄被重寫的指令    112
5.1.4  使用NonPagedPool內(nèi)存    114
5.1.5  運(yùn)行時地址修正    115
5.2  跳轉(zhuǎn)模板    119
5.3  補(bǔ)丁方法的變型    126
5.4  小結(jié)    127
第6章  分層驅(qū)動程序    129
6.1  鍵盤嗅探器    130
6.2  剖析KLOG rootkit    134
6.3  文件過濾器驅(qū)動程序    146
6.4  小結(jié)    161
第7章  直接內(nèi)核對象操作    163
7.1  DKOM的優(yōu)缺點(diǎn)    163
7.2  確定操作系統(tǒng)的版本    165
7.2.1  用戶模式的自確定    165
7.2.2  內(nèi)核模式的自確定    167
7.2.3  在注冊表中查詢操作系統(tǒng)版本    167
7.3  用戶空間與設(shè)備驅(qū)動程序的通信    169
7.4  DKOM隱藏技術(shù)    173
7.4.1  隱藏進(jìn)程    173
7.4.2  隱藏設(shè)備驅(qū)動程序    179
7.4.3  同步問題    183
7.5  使用DKOM提升令牌權(quán)限和組    187
7.5.1  修改進(jìn)程令牌    187
7.5.2  偽造Windows Event Viewer    201
7.6  小結(jié)    203
第8章  操縱硬件    205
8.1  為何使用硬件    206
8.2  修改固件    207
8.3  訪問硬件    208
8.3.1  硬件地址    208
8.3.2  訪問硬件與訪問RAM的區(qū)別    209
8.3.3  定時問題    210
8.3.4  I/O總線    210
8.3.5  訪問BIOS    212
8.3.6  訪問PCI和PCMCIA設(shè)備    213
8.4  訪問鍵盤控制器示例    213
8.4.1  8259鍵盤控制器    213
8.4.2  修改LED指示器    214
8.4.3  強(qiáng)制重啟    220
8.4.4  擊鍵監(jiān)視器    220
8.5  微碼更新    227
8.6  小結(jié)    228
第9章  隱秘通道    229
9.1  遠(yuǎn)程命令、控制和數(shù)據(jù)竊取    230
9.2  偽裝TCP/IP協(xié)議    231
9.2.1  注意通信量模式    231
9.2.2  不以明文發(fā)送數(shù)據(jù)    232
9.2.3  充分利用時間因素    232
9.2.4  隱藏在DNS請求中    233
9.2.5  對ASCII編碼有效負(fù)載進(jìn)行隱寫操作    233
9.2.6  使用其他TCP/IP通道    234
9.3  TCP/IP內(nèi)核中支持rootkit的TDI接口    235
9.3.1  構(gòu)建地址結(jié)構(gòu)    235
9.3.2  創(chuàng)建本地地址對象    237
9.3.3  根據(jù)上下文創(chuàng)建TDI端點(diǎn)    240
9.3.4  將端點(diǎn)與本地地址進(jìn)行關(guān)聯(lián)    243
9.3.5  連接到遠(yuǎn)程服務(wù)器(發(fā)送TCP握手消息)    245
9.3.6  將數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器    247
9.4  原始網(wǎng)絡(luò)操作    250
9.4.1  在Windows XP上實(shí)現(xiàn)原始套接字    250
9.4.2  綁定到接口    251
9.4.3  使用原始套接字進(jìn)行嗅探    252
9.4.4  使用原始套接字進(jìn)行雜亂嗅探    253
9.4.5  使用原始套接字發(fā)送報文    254
9.4.6  偽造源信息    254
9.4.7  彈回報文    254
9.5  TCP/IP內(nèi)核中支持rootkit的NDIS接口    255
9.5.1  注冊協(xié)議    255
9.5.2  協(xié)議驅(qū)動程序回調(diào)函數(shù)    260
9.5.3  移動完整報文    266
9.6  主機(jī)仿真    273
9.6.1  創(chuàng)建MAC地址    273
9.6.2  處理ARP協(xié)議    273
9.6.3  IP網(wǎng)關(guān)    276
9.6.4  發(fā)送報文    276
9.7  小結(jié)    280
第10章  rootkit檢測    281
10.1  檢測rootkit的存在    281
10.1.1  守護(hù)門口    282
10.1.2  掃描“空間”    284
10.1.3  查找鉤子    284
10.2  檢測rootkit的行為    293
10.2.1  檢測隱藏的文件和注冊表鍵    294
10.2.2  檢測隱藏的進(jìn)程    294
10.3  小結(jié)    297