僵尸網(wǎng)絡(luò)：網(wǎng)絡(luò)程序殺手

第1章 僵尸網(wǎng)絡(luò)：呼吁行動(dòng)
前言
網(wǎng)絡(luò)程序殺手
問題有多大？
僵尸網(wǎng)絡(luò)的概念史
僵尸病毒的新聞案例
業(yè)界反響
小結(jié)
快速回顧
常見問題
第2章 僵尸網(wǎng)絡(luò)概述
什么是僵尸網(wǎng)絡(luò)？
僵尸網(wǎng)絡(luò)的生命周期
漏洞利用
召集和保護(hù)僵尸網(wǎng)絡(luò)客戶端
等候命令并接受payload
僵尸網(wǎng)絡(luò)究竟做什么？
吸收新成員
DDoS
廣告軟件（Adware）和Clicks4Hire的安裝
僵尸網(wǎng)絡(luò)垃圾郵件和網(wǎng)絡(luò)釣魚連接
存儲(chǔ)和分配偷竊或非法（侵犯）知識(shí)產(chǎn)權(quán)的信息資料
勒索軟件（Ransomware）
數(shù)據(jù)挖掘
匯報(bào)結(jié)果
銷毀證據(jù)，放棄（僵尸）客戶端
僵尸網(wǎng)絡(luò)經(jīng)濟(jì)
垃圾郵件和網(wǎng)絡(luò)釣魚攻擊
惡意廣告插件和Clicks4Hire陰謀
Ransomware勒索軟件
小結(jié)
快速回顧
常見問題
第3章 僵尸網(wǎng)絡(luò)C＆C的替換技術(shù)
簡(jiǎn)介：為什么會(huì)有C8LC的替換技術(shù)？
追溯C&C的發(fā)展歷史
DNS和C&C技術(shù)
域名技術(shù)
多宿（Multihoming）
可替換控制信道
基于Web的C＆C服務(wù)器
基于回聲的僵尸網(wǎng)絡(luò)
P2P僵尸網(wǎng)絡(luò)
即時(shí)消息（IM）C&C
遠(yuǎn)程管理工具
降落區(qū)（drop zone）和基于FTP的C&C
基于DNS的高級(jí)僵尸網(wǎng)絡(luò)
小結(jié)
快速回顧
常見問題
第4章 僵尸網(wǎng)絡(luò)
簡(jiǎn)介
SDBot
別名
感染途徑
被感染的標(biāo)志
注冊(cè)表項(xiàng)
新生成的文件
病毒傳播
RBot
別名
感染途徑
被感染的標(biāo)志
Agobot
別名
感染途徑
被感染的標(biāo)志
傳播
Spybot
別名
感染途徑
被感染的標(biāo)志
注冊(cè)表項(xiàng)
不正常的流量
傳播
Mytob
別名
感染途徑
被感染的標(biāo)志
系統(tǒng)文件夾
不正常的流量
傳播
小結(jié)
快速回顧
常見問題
第5章 僵尸網(wǎng)絡(luò)檢測(cè)：工具和技術(shù)
簡(jiǎn)介
濫用
垃圾郵件和濫用
網(wǎng)絡(luò)設(shè)施：工具和技術(shù)
SNMP和網(wǎng)絡(luò)流：網(wǎng)絡(luò)監(jiān)控工具
防火墻和日志
第二層的交換機(jī)和隔離技術(shù)
入侵檢測(cè)
主機(jī)的病毒檢測(cè)
作為IDS例子的Snort
Tripwire
暗網(wǎng)、蜜罐和其他陷阱
僵尸網(wǎng)絡(luò)檢測(cè)中的取證技術(shù)和工具
過程
事件日志
防火墻日志
反病毒軟件日志
小結(jié)
快蘧回顧
常見問題
第6章 Ourmon：概述和安裝
簡(jiǎn)介
案例分析：在黑暗中跌撞前行的事情
案例1：DDoS（分布式拒絕服務(wù)）
案例2外部并行掃描
案例3僵尸客戶端
案例4僵尸服務(wù)器
Ourmon如何工作
Ourmon的安裝
Ourmon安裝提示和竅門
小結(jié)
快速回顧
常見問題
第7章 Ourmon：異常檢測(cè)工具
簡(jiǎn)介
Ourmon網(wǎng)頁(yè)接口
原理簡(jiǎn)介
TCP異常檢測(cè)
TCP端口報(bào)告：30秒視圖
TcP蠕蟲圖表
TCP每小時(shí)摘要
UDP異常檢測(cè)
E_mail異常檢測(cè)
小結(jié)
快速回顧
常見問題
第8章 IRC和僵尸網(wǎng)絡(luò)
簡(jiǎn)介
IRC協(xié)議
Ourmon的RRDT00L統(tǒng)計(jì)與IRC報(bào)告
IRC報(bào)告的格式
檢測(cè)IRC僵尸網(wǎng)絡(luò)客戶端
檢測(cè)IRC僵尸網(wǎng)絡(luò)服務(wù)器
小結(jié)
快速回顧
常見問題
第9章 ourmon高級(jí)技術(shù)
簡(jiǎn)介
自動(dòng)包捕獲
異常檢測(cè)觸發(fā)器
觸發(fā)器應(yīng)用實(shí)例
Ourmon事件日志
搜索Ourmon日志的技巧
嗅探IRC消息
優(yōu)化系統(tǒng)
買一個(gè)雙核（Dual—Core）CPU
使用不同的電腦，分開前端與后端
買一個(gè)雙核，雙CPU的主板
擴(kuò)大內(nèi)核的環(huán)緩存
減少中斷
小結(jié)
快速回顧
常見問題
第10章 使用沙盒工具應(yīng)對(duì)僵尸網(wǎng)絡(luò)
簡(jiǎn)介
CWSandbox介紹
組件介紹
檢查分析報(bào)告的樣本
部分
分析82f78a89bde09a71ef99b3ced b991bcc．exe
分析Arman．exe
解釋分析報(bào)告
僵尸病毒是如何安裝的?
病毒如何感染新主機(jī)
僵尸病毒如何保護(hù)本地主機(jī)和自己?
聯(lián)系哪個(gè)C&C服務(wù)器以及如何聯(lián)系
僵尸病毒如何更新?
進(jìn)行了什么樣的惡意操作?
在線沙盒對(duì)僵尸病毒的監(jiān)測(cè)結(jié)果
小結(jié)
快速回顧
常見問題
第11章 情報(bào)資源
簡(jiǎn)介
辨別企業(yè)／大學(xué)應(yīng)該盡力收集的信息
反匯編
可找到公用信息的地方／組織
反病毒、反間諜軟件、反惡意軟件的網(wǎng)頁(yè)
專家和志愿者組織
郵件列表和討論團(tuán)體
會(huì)員組織以及如何獲得資格
審查成員
保密協(xié)議
什么可以共享
什么不能共享
違背協(xié)議的潛在影響
利益沖突
獲取信息時(shí)如何處理
情報(bào)收集在法律相關(guān)的執(zhí)行方面扮演的角色
小結(jié)
快速回顧
常見問題
第12章 應(yīng)對(duì)僵尸網(wǎng)絡(luò)
簡(jiǎn)介
放棄不是一個(gè)選項(xiàng)
為什么會(huì)有這個(gè)問題?
刺激需求：金錢，垃圾郵件，以及網(wǎng)絡(luò)釣魚
法律實(shí)施問題
軟件工程的棘手問題
缺乏有效的安全策略或者過程
執(zhí)行過程中的挑戰(zhàn)
我們應(yīng)該做什么?
有效的方法
如何應(yīng)對(duì)僵尸網(wǎng)絡(luò)?
報(bào)告僵尸網(wǎng)絡(luò)
絕地反擊
法律的實(shí)施
暗網(wǎng)、蜜罐和僵尸網(wǎng)絡(luò)顛覆
戰(zhàn)斗的號(hào)角
小結(jié)
快速回顧
常見問題