黑客大曝光：惡意軟件和Rootkit安全

定　價：￥55.00

作　者：	Michael A. Davis，Sean M. Bodmer，Aaron LeMasters 著，姚軍等譯
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	信息安全

購買這本書可以去

ISBN：	9787111340348	出版時間：	2011-06-01	包裝：	平裝
開本：	16開	頁數(shù)：	277	字數(shù)：

內(nèi)容簡介

　　抵御惡意軟件和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟件和Rootkit安全》用現(xiàn)實世界的案例研究和實例揭示了當前的黑客們是如何使用很容易得到的工具滲透和劫持系統(tǒng)的，逐步深入的對策提供了經(jīng)過證明的預(yù)防技術(shù)?！逗诳痛笃毓猓簮阂廛浖蚏ootkit安全》介紹了檢測和消除惡意嵌入代碼、攔截彈出式窗口和網(wǎng)站、預(yù)防擊鍵記錄以及終止Rootkit的方法，詳細地介紹了最新的入侵檢測、防火墻、蜜罐、防病毒、防Rootkit以及防間諜軟件技術(shù)?！逗诳痛笃毓猓簮阂廛浖蚏ootkit安全》包括以下內(nèi)容：理解惡意軟件感染、生存以及在整個企業(yè)中傳染的方法。了解黑客使用存檔文件、加密程序以及打包程序混淆代碼的方法。實施有效的入侵檢測和預(yù)防程序。防御擊鍵記錄、重定向、點擊欺詐以及身份盜竊威脅。檢測，殺死和刪除虛擬模式、用戶模式和內(nèi)核模式Rootkit。預(yù)防惡意網(wǎng)站、仿冒、客戶端和嵌入式代碼攻擊。使用最新的防病毒、彈出窗口攔截程序和防火墻軟件保護主機。使用HIPS和NIPS識別和終止惡意進程。

作者簡介

　　Michael A. Davis是Savid Technologies公司的CEO，該公司是一家全國性的技術(shù)和安全咨詢公司。由于Michael將snort、ngrep、dsniff和honeyd這樣的安全工具移植到Windows平臺，因此他在開源軟件安全界聲名卓著。作為Honeynet項目成員，他為基于Windows的honeynet（蜜罐）開發(fā)了數(shù)據(jù)和網(wǎng)絡(luò)控制機制。Michael還是sebek for Windows的開發(fā)者，這是一種基于內(nèi)核的honeynet數(shù)據(jù)收集和監(jiān)控工具。Michael曾經(jīng)在領(lǐng)先的防病毒保護和漏洞管理企業(yè)-McAfee公司擔(dān)任全球威脅高級經(jīng)理，領(lǐng)導(dǎo)一個研究機密審查和尖端安全的團隊。在McAfee工作之前，Michael曾在Foundstone工作過。他曾經(jīng)在McAfee公司擔(dān)任全球威脅高級經(jīng)理。他是Honeynet項目成員。Sean M. Bodmer是Savid Corporation公司的政府項目主管。Sean是一位活躍的honeynet研究人員，精于分析惡意軟件和攻擊者的特征、模式和行為。最為引人注目的是，他花費了多年的時間來領(lǐng)導(dǎo)高級入侵檢測系統(tǒng)（honeynet）的運作和分析，這一系統(tǒng)能夠捕捉和分析入侵者及其工具的動機和目的，從而生成對進一步保護用戶網(wǎng)絡(luò)有價值的信息。在過去的10年中，Sean已經(jīng)為華盛頓特區(qū)的多個聯(lián)邦政府機構(gòu)和私人公司負責(zé)過各種系統(tǒng)安全工程。Sean在全美國的業(yè)界會議，如DEFCON、PhreakNIC、DC3、NW3C、 Carnegie Mellon CERT和Pentagon安全論壇上發(fā)表過演講，主題包括對攻擊特征和攻擊者的剖析，這些剖析能夠幫助識別網(wǎng)絡(luò)攻擊的真正動機和意圖。Sean是Honeynet項目和HackerProfiling項目的參與者。Aaron LeMasters（喬治·華盛頓大學(xué)理科碩士）是一位精通計算機取證、惡意軟件分析和漏洞研究的安全研究人員。他在職業(yè)生涯的頭5年用在保護不設(shè)防的國防部網(wǎng)絡(luò)上，現(xiàn)在他是Raytheon SI的高級軟件工程師。Aaron樂于在大的安全會議（如Black Hat）和較小的區(qū)域黑客會議（如Outerzone）上分享研究成果。他更愿意關(guān)注與Windows內(nèi)部構(gòu)件、系統(tǒng)完整性、逆向工程和惡意軟件分析相關(guān)的高級研究和開發(fā)問題。他是一位熱心的原型構(gòu)造者，很喜歡開發(fā)增強其研究趣味性的工具。在業(yè)余時間，Aaron喜歡打籃球、畫素描、擺弄他的Epiphone Les Paul電吉他，以及和妻子一起去紐約旅行。

圖書目錄

目錄
對本書的贊譽
譯者序
序言
前言
作者簡介
技術(shù)編輯簡介
第一部分惡意軟件
第1章傳染方法 5
1.1　這種安全設(shè)施可能確實有用 5
1.1.1　操作系統(tǒng)漏洞的減少 6
1.1.2　邊界安全 7
1.2　為什么他們想要你的工作站 8
1.3　難以發(fā)現(xiàn)的意圖 8
1.4　這是樁生意 9
1.5　重要的惡意軟件傳播技術(shù) 10
1.5.1　社會工程 10
1.5.2　文件執(zhí)行 12
1.6　現(xiàn)代惡意軟件的傳播技術(shù) 14
1.6.1　StormWorm（惡意軟件實例：trojan.peacomm） 15
1.6.2　變形（惡意軟件實例：W32.Evol、W32.Simile） 16
1.6.3　混淆 18
1.6.4　動態(tài)域名服務(wù)（惡意軟件實例：W32.Reatle.E@mm） 21
1.6.5　Fast　Flux（惡意軟件實例：
trojan.peacomm) 21
1.7　惡意軟件傳播注入方向 23
1.7.1　電子郵件 23
1.7.2　惡意網(wǎng)站 25
1.7.3　網(wǎng)絡(luò)仿冒 27
1.7.4　對等網(wǎng)絡(luò)（P2P） 32
1.7.5　蠕蟲 34
1.8　本書配套網(wǎng)站上的實例 36
1.9　小結(jié) 36
第2章　惡意軟件功能 37
2.1　惡意軟件安裝后會做什么 37
2.1.1　彈出窗口 37
2.1.2　搜索引擎重定向 41
2.1.3　數(shù)據(jù)盜竊 47
2.1.4　單擊欺詐 48
2.1.5　身份盜竊 49
2.1.6　擊鍵記錄 52
2.1.7　惡意軟件的表現(xiàn) 55
2.2?識別安裝的惡意軟件 57
2.2.1　典型安裝位置 58
2.2.2　在本地磁盤上安裝 58
2.2.3　修改時間戳 59
2.2.4　感染進程 59
2.2.5　禁用服務(wù) 59
2.2.6　修改Windows注冊表 60
2.3　小結(jié) 60
第二部分　Rootkit
第3章　用戶模式Rootkit 64
3.1　維持訪問權(quán) 64
3.2　隱身：掩蓋存在 65
3.3　Rootkit的類型 66
3.4　時間軸 66
3.5　用戶模式Rootkit 67
3.5.1　什么是用戶?式Rootkit 68
3.5.2　后臺技術(shù) 68
3.5.3　注入技術(shù) 71
3.5.4　鉤子技術(shù) 80
3.5.5　用戶模式Rootkit實例 81
3.6　小結(jié) 88
第4章　內(nèi)核模式Rootkit 89
4.1　底層：x86體系結(jié)構(gòu)基礎(chǔ) 89
4.1.1　指令集體系結(jié)構(gòu)和操作系統(tǒng) 90
4.1.2　保護層次 90
4.1.3　跨越層次 91
4.1.4　內(nèi)核模式：數(shù)字化的西部蠻荒 92
4.2　目標：Windows內(nèi)核組件 92
4.2.1　Win32子系統(tǒng) 93
4.2.2　這些API究竟是什么 94
4.2.3　守門人：NTDLL.DLL 94
4.2.4　委員會功能：Windows Executive（NTOSKRNL.EXE） 94
4.2.5　Windows內(nèi)核（NTOSKRNL.EXE） 95
4.2.6　設(shè)備驅(qū)動程序 95
4.2.7　Windows硬件抽象層(HAL) 96
4.3　內(nèi)核驅(qū)動程序概念 96
4.3.1　內(nèi)核模式驅(qū)動程序體系結(jié)構(gòu) 96
4.3.2　整體解剖：框架驅(qū)動程序 97
4.3.3　WDF、KMDF和UMDF 99
4.4　內(nèi)核模式Rootkit 99
4.4.1　內(nèi)核模式Rootkit簡介 99
4.4.2　內(nèi)核模式Rootkit所面對的挑戰(zhàn) 100
4.4.3　裝入 100
4.4.4　得以執(zhí)行 101
4.4.5　與用戶模式通信 101
4.4.6　保持隱蔽性和持續(xù)性 101
4.4.7　方法和技術(shù) 102
4.5　內(nèi)核模式Rootkit實例 118
4.5.1　Clandestiny創(chuàng)建的Klog 118
4.5.2　Aphex創(chuàng)建的AFX 121
4.5.3　Jamie Butler、Peter Silberman
和C.H.A.O.S創(chuàng)建的FU和FUTo 123
4.5.4　Sherri Sparks和Jamie Butler創(chuàng)建的Shadow Walker 124
4.5.5　He4 Team?建的He4Hook 126
4.5.6　Honeynet項目創(chuàng)建的Sebek 129
4.6　小結(jié) 129
第5章　虛擬Rootkit 131
5.1　虛擬機技術(shù)概述 131
5.1.1　虛擬機類型 132
5.1.2　系統(tǒng)管理程序 132
5.1.3　虛擬化策略 134
5.1.4　虛擬內(nèi)存管理 134
5.1.5　虛擬機隔離 135
5.2　虛擬機Rootkit技術(shù) 135
5.2.1　矩陣里的Rootkit：我們是怎么到這里的 135
5.2.2　什么是虛擬Rootkit 136
5.2.3　虛擬Rootkit的類型 136
5.2.4　檢測虛擬環(huán)境 137
5.2.5　脫離虛擬環(huán)境 143
5.2.6　劫持系統(tǒng)管理程序 144
5.3　虛擬Rootkit實例 145
5.4　小結(jié) 150
第6章　Rootkit的未來：如果你現(xiàn)在認為情況嚴重 151
6.1　復(fù)雜性和隱蔽性的改進 151
6.2　定制的Rootkit 157
6.3　小結(jié) 157
第三部分　預(yù)防技術(shù)
第7章　防病毒 163
7.1　現(xiàn)在和以后：防病毒技術(shù)的革新 163
7.2　病毒全景 164
7.2.1　病毒的定義 164
7.2.2　分類 165
7.2.3　簡單病毒 166
7.2.4　復(fù)雜病毒 168
7.3　防病毒—核心特性和技術(shù) 169
7.3.1　手工或者“按需”掃描 169
7.3.2　實時或者“訪問時”掃描 170
7.3.3　基于特征碼的檢測 170
7.3.4　基于異常/啟發(fā)式檢測 171
7.4　對防病毒技術(shù)的作用的評論 172
7.4.1　防病毒技術(shù)擅長的方面 172
7.4.2　防病毒業(yè)界的領(lǐng)先者 173
7.4.3　防病毒的難題 175
7.5　防病毒曝光：你的防病毒產(chǎn)品是個Rootkit嗎 180
7.5.1　在運行時修補系統(tǒng)服務(wù) 181
7.5.2　對用戶模式隱藏線程 182
7.5.3　是一個缺陷嗎 183
7.6　防病毒業(yè)界的未來 184
7.6.1　為生存而戰(zhàn)斗 184
7.6.2　是行業(yè)的毀滅嗎 185
7.6.3　可能替換防病毒的技術(shù) 186
7.7　小結(jié)和對策 187
第8章　主機保護系統(tǒng) 189
8.1　個人防火墻功能 189
8.1.1　McAfee 190
8.1.2　Symantec 191
8.1.3　Checkpoint 192
8.1.4　個人?火墻的局限性 193
8.2　彈出窗口攔截程序 195
8.2.1　Internet　Explorer 195
8.2.2　Firefox 195
8.2.3　Opera 196
8.2.4　Safari 196
8.2.5　Chrome 196
8.2.6　一般的彈出式窗口攔截程序代碼實例 198
8.3　小結(jié) 201
第9章　基于主機的入侵預(yù)防 202
9.1　HIPS體系結(jié)構(gòu) 202
9.2　超過入侵檢測的增長 204
9.3　行為與特征碼 205
9.3.1　基于行為的系統(tǒng) 206
9.3.2　基于特征碼?系統(tǒng) 206
9.4　反檢測躲避技術(shù) 207
9.5　如何檢測意圖 210
9.6　HIPS和安全的未來 211
9.7　小結(jié) 212
第10章　Rootkit檢測 213
10.1　Rootkit作者的悖論 213
10.2　Rootkit檢測簡史 214
10.3　檢測方法詳解 216
10.3.1　系統(tǒng)服務(wù)描述符表鉤子 216
10.3.2　IRP鉤子 217
10.3.3　嵌入鉤子 217
10.3.4　中斷描述符表鉤子 218
10.3.5　直接內(nèi)核對象操縱 218
10.3.6　IAT鉤子 218
10.4　Windows防Rootkit特性 218
10.5　基于軟件的Rootkit檢測 219
10.5.1　實時檢測與脫機檢測 220
10.5.2　System Virginity Verifier 220
10.5.3　IceSword和DarkSpy 221
10.5.4　RootkitRevealer 223
10.5.5　F-Secure的Blacklight 223
10.5.6　Rootkit Unhooker 225
10.5.7　GMER 226
10.5.8　Helios和Helios Lite 227
10.5.9　McAfee Rootkit Detective 230
10.5.10　商業(yè)Rootkit檢測工具 230
10.5.11　使用內(nèi)存分析的脫機檢測：內(nèi)存取證的革新 231
10.6　虛擬Rootkit檢測 237
10.7　基于硬件的Rootkit檢測 238
10.8　小結(jié) 239
第11章　常規(guī)安全實踐 240
11.1　最終用戶教育 240
11.2　縱深防御 242
11.3　系統(tǒng)加固 243
11.4　自動更新 243
11.5　虛擬化 244
11.6　固有的安全（從一開始） 245
11.7　小結(jié) 245
附錄A　系統(tǒng)安全分析：建立你自己的Rootkit檢測程序 246