利用Python開源工具分析惡意代碼

定　價：￥99.00

作　者：	[韓] 趙涏元等著；武傳海譯
出版社：	人民郵電出版社
叢編項(xiàng)：	圖靈程序設(shè)計叢書
標(biāo)　簽：	暫缺

購買這本書可以去

ISBN：	9787115472984	出版時間：	2018-01-01	包裝：	平裝
開本：	16開	頁數(shù)：	482	字?jǐn)?shù)：

內(nèi)容簡介

　　惡意代碼分析過程中，重要的是掌握惡意代碼的特征，此時需要靈活運(yùn)用線上服務(wù)的快速分析數(shù)據(jù)和主要惡意代碼的數(shù)據(jù)庫?！独肞ython開源工具分析惡意代碼》從應(yīng)對入侵事故一線業(yè)務(wù)人員角度出發(fā)，介紹了分析惡意代碼時的Python 等眾多開源工具的使用方法，也給出了可以迅速應(yīng)用于實(shí)際業(yè)務(wù)的解決方案。

作者簡介

　　趙涏元（chogar@naver.com）目前在KB投資證券公司負(fù)責(zé)安全工作，管理安全防范項(xiàng)目組（http：//www.boanproject.com）。在A3 Security公司做過5年滲透測試咨詢顧問，在滲透測試項(xiàng)目管理、網(wǎng)絡(luò)應(yīng)用開發(fā)、源代碼診斷等多種領(lǐng)域執(zhí)行過漏洞診斷。之后在KTH安全團(tuán)隊(duì)負(fù)責(zé)移動服務(wù)和云服務(wù)安全、應(yīng)對侵權(quán)事故等業(yè)務(wù)。與人合著《Kali Linux & BackTrack滲透測試實(shí)戰(zhàn)》《Android惡意代碼分析與滲透測試》等，現(xiàn)與安全防范項(xiàng)目組成員一起活躍在各個領(lǐng)域。崔祐碩目前在（株）韓國信息保護(hù)教育中心（KISEC，Korean Information Security Education Center）f-NGS研究所負(fù)責(zé)安全及相關(guān)領(lǐng)域研究，并在此基礎(chǔ)上舉辦講座，不斷發(fā)表分析報告書。主要研究惡意代碼分析及發(fā)布、開源工具應(yīng)用、Web黑客攻防等，致力于技術(shù)與人文的結(jié)合。曾在（株）Tricubelab分析惡意代碼發(fā)布、研究多種方法，構(gòu)建并測試惡意代碼相關(guān)開源工具，在此過程中積累創(chuàng)意和經(jīng)驗(yàn)。負(fù)責(zé)安全防范項(xiàng)目組的惡意代碼及漏洞部分研究，與人合著《Kali Linux & BackTrack滲透測試實(shí)戰(zhàn)》，管理Hakawati Lab（www.hakawati.co.kr）博客。李導(dǎo)炅曾在三星SDS負(fù)責(zé)4年Web漏洞診斷業(yè)務(wù)，現(xiàn)在NSHC Red Alert團(tuán)隊(duì)擔(dān)任惡意代碼分析研究員，同時負(fù)責(zé)教育內(nèi)容開發(fā)業(yè)務(wù)。在安全防范項(xiàng)目組負(fù)責(zé)惡意代碼分析項(xiàng)目，關(guān)注并研究開源分析與開發(fā)。鄭智訓(xùn) 計算機(jī)信息通信工程專業(yè)在讀，曾任蔚山大學(xué)信息安全興趣小組UOU_Unknown組長，目前依然參與小組活動。在安全防范項(xiàng)目組以惡意代碼分析項(xiàng)目起步，負(fù)責(zé)惡意代碼分析相關(guān)開源工具分析與研究項(xiàng)目。正在研究利用開源工具開發(fā)簡單高效的惡意代碼分析自動化系統(tǒng)。

圖書目錄

1　開源軟件與Python環(huán)境 1
1．1　關(guān)于開源軟件 2
如果管理人員熟悉開源軟件 2
1．2　Python簡介 3
1．3　搭建Python環(huán)境與程序發(fā)布 3
1．3．1　在Windows下搭建Python環(huán)境 3
1．3．2　使用Eclipse與PyDev搭建Python開發(fā)環(huán)境 7
1．3．3　使用pyinstaller發(fā)布程序 12
1．4　從Github站點(diǎn)下載開源工具 15
1．5　安裝Python模塊 17
1．6　小結(jié) 19
2　通過peframe學(xué)習(xí)PE文件結(jié)構(gòu) 20
2．1　PE文件結(jié)構(gòu) 21
2．1．1　DOS Header結(jié)構(gòu)體 23
2．1．2　DOS Stub Program 26
2．1．3　IMAGE_NT_HEADER結(jié)構(gòu)體 26
2．2　分析peframe工具 28
2．2．1　IMPORT模塊 29
2．2．2　預(yù)處理部分 30
2．2．3　分析main函數(shù) 35
2．2．4　peframe中的函數(shù) 40
2．3　惡意代碼的特征因子 136
2．3．1　殺毒結(jié)果 136
2．3．2　散列值 137
2．3．3　加殼器 138
2．3．4　節(jié)區(qū)名與熵 139
2．3．5　API 141
2．3．6　字符串 143
2．3．7　PE元數(shù)據(jù) 144
2．4　小結(jié) 145
3　惡意代碼分析服務(wù) 146
3．1　惡意代碼分析環(huán)境 147
3．1．1　自動分析服務(wù)種類 147
3．1．2　惡意代碼分析Live CD介紹 148
3．1．3　收集惡意代碼 151
3．2　線上分析服務(wù) 166
3．2．1　VirusTotal服務(wù) 166
3．2．2　應(yīng)用VirusTotal服務(wù)API 173
3．2．3　使用URLquery查看感染惡意代碼的網(wǎng)站 188
3．2．4　使用hybrid-analysis分析惡意代碼 190
3．3　小結(jié) 192
4　使用Cuckoo Sandbox 193
4．1　Cuckoo Sandbox定義 195
4．2　Cuckoo Sandbox特征 196
4．3　安裝Cuckoo Sandbox 197
4．3．1　安裝Ubuntu 14．04 LTS 199
4．3．2　安裝VMware Tools 203
4．3．3　鏡像站點(diǎn) 205
4．3．4　安裝輔助包與庫 206
4．3．5　安裝必需包與庫 207
4．3．6　設(shè)置tcpdump 213
4．4　安裝沙箱 214
4．4．1　安裝沙箱 214
4．4．2　安裝增強(qiáng)功能 218
4．4．3　安裝Python與Python-PIL 219
4．4．4　關(guān)閉防火墻與自動更新 220
4．4．5　網(wǎng)絡(luò)設(shè)置 221
4．4．6　設(shè)置附加環(huán)境 223
4．4．7　安裝Agent．py 224
4．4．8　生成虛擬機(jī)備份 228
4．4．9　通過復(fù)制添加沙箱 229
4．5　設(shè)置Cuckoo Sandbox 232
4．5．1　設(shè)置cuckoo．conf 232
4．5．2　設(shè)置processing．conf 236
4．5．3　設(shè)置reporting．conf 238
4．5．4　設(shè)置virtualbox．conf 239
4．5．5　設(shè)置auxiliary．conf 242
4．5．6　設(shè)置memory．conf 243
4．6　運(yùn)行Cuckoo Sandbox引擎 247
4．6．1　Community．py 248
4．6．2　使用最新Web界面 250
4．6．3　上傳分析文件 252
4．6．4　調(diào)試模式 255
4．6．5　使用經(jīng)典Web界面 256
4．7　Cuckoo Sandbox報告 257
4．7．1　JSONdump報告 257
4．7．2　HTML報告 258
4．7．3　MMDef報告 259
4．7．4　MAEC報告 260
4．8　Api．py分析 262
4．8．1　POST-/tasks/create/file 263
4．8．2　POST-/tasks/create/url 264
4．8．3　GET- /tasks/list 264
4．8．4　GET-/tasks/view 266
4．8．5　GET- /tasks/delete 267
4．8．6　GET-/tasks/report 267
4．8．7　GET-/tasks/screenshots 269
4．8．8　GET-/files/view 269
4．8．9　GET-/files/get 270
4．8．10　GET-/pcap/get 270
4．8．11　GET-/machine/list 270
4．8．12　GET-/machines/view 272
4．8．13　GET-/cuckoo/status 272
4．9　Cuckoo Sandbox實(shí)用工具 273
4．9．1　clean．sh 273
4．9．2　process．py 274
4．9．3　stats．py 274
4．9．4　submit．py 275
4．10　分析結(jié)果 275
4．10．1　Quick Overview 276
4．10．2　Static Analysis 279
4．10．3　Behavioral Analysis 280
4．10．4　Network Analysis 281
4．10．5　Dropped Files 282
4．11　使用Volatility的內(nèi)存分析結(jié)果 282
4．11．1　Process List 283
4．11．2　Services 284
4．11．3　Kernel Modules 285
4．11．4　Device Tree 285
4．11．5　Code Injection 286
4．11．6　Timers 286
4．11．7　Messagehooks 287
4．11．8　API Hooks 287
4．11．9　Callbacks 288
4．11．10　Yarascan 288
4．11．11　SSDT 288
4．11．12　IDT 289
4．11．13　GDT 289
4．12　Admin功能 290
4．13　比較功能 290
4．14　小結(jié) 292
5　惡意代碼詳細(xì)分析 293
5．1　查看Cuckoo Sandbox分析結(jié)果 294
5．2　線上分析報告 295
5．3　手動詳細(xì)分析 296
5．4　小結(jié) 323
6　其他分析工具 324
6．1　使用viper分析與管理二進(jìn)制文件 325
6．1．1　安裝viper 325
6．1．2　使用viper 326
6．1．3　viper命令 327
6．1．4　模塊 337
6．2　使用ClamAV對惡意代碼分類 354
6．3　使用pyew管理與分析惡意代碼 363
6．3．1　查看幫助 365
6．3．2　查看導(dǎo)入表 368
6．3．3　在VirusTotal中檢測文件 370
6．3．4　查看URL信息 371
6．3．5　檢測PDF文件 373
6．4　使用pescanner檢測惡意代碼 379
6．4．1　使用Yara簽名進(jìn)行檢測 381
6．4．2　檢測可疑API函數(shù) 383
6．4．3　查看熵值 385
6．5　使用PEStudio分析可疑文件 385
6．6　分析網(wǎng)絡(luò)包 388
6．6．1　使用captipper分析網(wǎng)絡(luò)包 388
6．6．2　使用pcap-analyzer分析網(wǎng)絡(luò)包 390
6．6．3　使用net-creds獲取重要信息 393
6．7　使用各種開源工具分析惡意代碼文件 395
6．8　使用Docker容器 402
6．8．1　Docker定義 402
6．8．2　關(guān)于Docker Hub 403
6．8．3　使用REMnux Docker鏡像 405
6．9　小結(jié) 408
7　利用內(nèi)存分析應(yīng)對入侵事故 409
7．1　Volatility簡介與環(huán)境搭建 410
參考社區(qū)（維基頁面） 415
7．2　使用Volatility分析惡意代碼 416
7．3　開源工具：TotalRecall 424
7．4　使用Redline分析內(nèi)存 433
7．5　Volatility插件使用與推薦 441
7．6　使用Rekall進(jìn)行內(nèi)存取證分析 445
7．7　使用VolDiff比較內(nèi)存分析結(jié)果 462
7．8　使用DAMM比較內(nèi)存分析結(jié)果 471
7．9　惡意代碼內(nèi)存分析示例 474
7．10　通過攻擊模擬了解內(nèi)存轉(zhuǎn)儲用法 477
7．11　小結(jié) 482