Hacking exposed:malware & rootkits secrets & solutions
副标题:无
作 者:(美)Michael A. Davis, (美)Sean M. Bodmer, (美)Aaron LeMasters;姚军等译
分类号:
ISBN:9787111340348
微信扫一扫,移动浏览光盘
简介
互联网的兴起,使黑客的危害越来越引起人们的重视,尤其是许多关键的应用都依赖网络实施的今天,网络安全成为广受关注的领域。《黑客大曝光:恶意软件和rootkit安全》通过详尽的案例分析,各种安全威胁的介绍和防范方法,特别是针对现行防御体系的深入剖析,令读者注意到在日常工作中难以发现的盲点。《黑客大曝光:恶意软件和rootkit安全》深入介绍了现有系统的弱点和所需要防御的层面,揭示了恶意软件可能的藏身之地,给出了寻找它们的方法。
《黑客大曝光:恶意软件和rootkit安全》面向各行各业、政府机关、大专院校关注信息安全的从业人员,是信息系统安全专业人士的权威指南,也可作为信息安全相关专业的重要参考书。
抵御恶意软件和rootkit不断掀起的攻击浪潮!《黑客大曝光:恶意软件和rootkit安全》用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的,逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止rootkit的方法,详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防rootkit以及防间谍软件技术。
《黑客大曝光:恶意软件和rootkit安全》包括以下内容:
·理解恶意软件感染、生存以及在整个企业中传染的方法。
·了解黑客使用存档文件、加密程序以及打包程序混淆代码的方法。
·实施有效的入侵检测和预防程序。
·防御击键记录、重定向、点击欺诈以及身份盗窃威胁。
·检测,杀死和删除虚拟模式、用户模式和内核模式rootkit。
·预防恶意网站、仿冒、客户端和嵌入式代码攻击。
·使用最新的防病毒、弹出窗口拦截程序和防火墙软件保护主机。
·使用hips和nips识别和终止恶意进程。
目录
《黑客大曝光:恶意软件和rootkit安全》
对本书的赞誉
译者序
序言
前言
作者简介
技术编辑简介
第一部分 恶意软件
第1章 传染方法 5
1.1 这种安全设施可能确实有用 5
1.1.1 操作系统漏洞的减少 6
1.1.2 边界安全 7
1.2 为什么他们想要你的工作站 8
1.3 难以发现的意图 8
1.4 这是桩生意 9
1.5 重要的恶意软件传播技术 10
1.5.1 社会工程 10
1.5.2 文件执行 12
1.6 现代恶意软件的传播技术 14
1.6.1 stormworm(恶意软件实例:trojan.peacomm) 15
.1.6.2 变形(恶意软件实例:w32.evol、w32.simile) 16
1.6.3 混淆 18
1.6.4 动态域名服务(恶意软件实例:w32.reatle.e@mm) 21
1.6.5 fast flux(恶意软件实例:
trojan.peacomm) 21
1.7 恶意软件传播注入方向 23
1.7.1 电子邮件 23
1.7.2 恶意网站 25
1.7.3 网络仿冒 27
1.7.4 对等网络(p2p) 32
1.7.5 蠕虫 34
1.8 本书配套网站上的实例 36
1.9 小结 36
第2章 恶意软件功能 37
2.1 恶意软件安装后会做什么 37
2.1.1 弹出窗口 37
2.1.2 搜索引擎重定向 41
2.1.3 数据盗窃 47
2.1.4 单击欺诈 48
2.1.5 身份盗窃 49
2.1.6 击键记录 52
2.1.7 恶意软件的表现 55
2.2 识别安装的恶意软件 57
2.2.1 典型安装位置 58
2.2.2 在本地磁盘上安装 58
2.2.3 修改时间戳 59
2.2.4 感染进程 59
2.2.5 禁用服务 59
2.2.6 修改windows注册表 60
2.3 小结 60
第二部分 rootkit
第3章 用户模式rootkit 64
3.1 维持访问权 64
3.2 隐身:掩盖存在 65
3.3 rootkit的类型 66
3.4 时间轴 66
3.5 用户模式rootkit 67
3.5.1 什么是用户模式rootkit 68
3.5.2 后台技术 68
3.5.3 注入技术 71
3.5.4 钩子技术 80
3.5.5 用户模式rootkit实例 81
3.6 小结 88
第4章 内核模式rootkit 89
4.1 底层:x86体系结构基础 89
4.1.1 指令集体系结构和操作系统 90
4.1.2 保护层次 90
4.1.3 跨越层次 91
4.1.4 内核模式:数字化的西部蛮荒 92
4.2 目标:windows内核组件 92
4.2.1 win32子系统 93
4.2.2 这些api究竟是什么 94
4.2.3 守门人:ntdll.dll 94
4.2.4 委员会功能:windows executive(ntoskrnl.exe) 94
4.2.5 windows内核(ntoskrnl.exe) 95
4.2.6 设备驱动程序 95
4.2.7 windows硬件抽象层(hal) 96
4.3 内核驱动程序概念 96
4.3.1 内核模式驱动程序体系结构 96
4.3.2 整体解剖:框架驱动程序 97
4.3.3 wdf、kmdf和umdf 99
4.4 内核模式rootkit 99
4.4.1 内核模式rootkit简介 99
4.4.2 内核模式rootkit所面对的挑战 100
4.4.3 装入 100
4.4.4 得以执行 101
4.4.5 与用户模式通信 101
4.4.6 保持隐蔽性和持续性 101
4.4.7 方法和技术 102
4.5 内核模式rootkit实例 118
4.5.1 clandestiny创建的klog 118
4.5.2 aphex创建的afx 121
4.5.3 jamie butler、peter silberman
和c.h.a.o.s创建的fu和futo 123
4.5.4 sherri sparks和jamie butler创建的shadow walker 124
4.5.5 he4 team创建的he4hook 126
4.5.6 honeynet项目创建的sebek 129
4.6 小结 129
第5章 虚拟rootkit 131
5.1 虚拟机技术概述 131
5.1.1 虚拟机类型 132
5.1.2 系统管理程序 132
5.1.3 虚拟化策略 134
5.1.4 虚拟内存管理 134
5.1.5 虚拟机隔离 135
5.2 虚拟机rootkit技术 135
5.2.1 矩阵里的rootkit:我们是怎么到这里的 135
5.2.2 什么是虚拟rootkit 136
5.2.3 虚拟rootkit的类型 136
5.2.4 检测虚拟环境 137
5.2.5 脱离虚拟环境 143
5.2.6 劫持系统管理程序 144
5.3 虚拟rootkit实例 145
5.4 小结 150
第6章 rootkit的未来:如果你现在认为情况严重 151
6.1 复杂性和隐蔽性的改进 151
6.2 定制的rootkit 157
6.3 小结 157
第三部分 预防技术
第7章 防病毒 163
7.1 现在和以后:防病毒技术的革新 163
7.2 病毒全景 164
7.2.1 病毒的定义 164
7.2.2 分类 165
7.2.3 简单病毒 166
7.2.4 复杂病毒 168
7.3 防病毒—核心特性和技术 169
7.3.1 手工或者“按需”扫描 169
7.3.2 实时或者“访问时”扫描 170
7.3.3 基于特征码的检测 170
7.3.4 基于异常/启发式检测 171
7.4 对防病毒技术的作用的评论 172
7.4.1 防病毒技术擅长的方面 172
7.4.2 防病毒业界的领先者 173
7.4.3 防病毒的难题 175
7.5 防病毒曝光:你的防病毒产品是个rootkit吗 180
7.5.1 在运行时修补系统服务 181
7.5.2 对用户模式隐藏线程 182
7.5.3 是一个缺陷吗 183
7.6 防病毒业界的未来 184
7.6.1 为生存而战斗 184
7.6.2 是行业的毁灭吗 185
7.6.3 可能替换防病毒的技术 186
7.7 小结和对策 187
第8章 主机保护系统 189
8.1 个人防火墙功能 189
8.1.1 mcafee 190
8.1.2 symantec 191
8.1.3 checkpoint 192
8.1.4 个人防火墙的局限性 193
8.2 弹出窗口拦截程序 195
8.2.1 internet explorer 195
8.2.2 firefox 195
8.2.3 opera 196
8.2.4 safari 196
8.2.5 chrome 196
8.2.6 一般的弹出式窗口拦截程序代码实例 198
8.3 小结 201
第9章 基于主机的入侵预防 202
9.1 hips体系结构 202
9.2 超过入侵检测的增长 204
9.3 行为与特征码 205
9.3.1 基于行为的系统 206
9.3.2 基于特征码的系统 206
9.4 反检测躲避技术 207
9.5 如何检测意图 210
9.6 hips和安全的未来 211
9.7 小结 212
第10章 rootkit检测 213
10.1 rootkit作者的悖论 213
10.2 rootkit检测简史 214
10.3 检测方法详解 216
10.3.1 系统服务描述符表钩子 216
10.3.2 irp钩子 217
10.3.3 嵌入钩子 217
10.3.4 中断描述符表钩子 218
10.3.5 直接内核对象操纵 218
10.3.6 iat钩子 218
10.4 windows防rootkit特性 218
10.5 基于软件的rootkit检测 219
10.5.1 实时检测与脱机检测 220
10.5.2 system virginity verifier 220
10.5.3 icesword和darkspy 221
10.5.4 rootkitrevealer 223
10.5.5 f-secure的blacklight 223
10.5.6 rootkit unhooker 225
10.5.7 gmer 226
10.5.8 helios和helios lite 227
10.5.9 mcafee rootkit detective 230
10.5.10 商业rootkit检测工具 230
10.5.11 使用内存分析的脱机检测:内存取证的革新 231
10.6 虚拟rootkit检测 237
10.7 基于硬件的rootkit检测 238
10.8 小结 239
第11章 常规安全实践 240
11.1 最终用户教育 240
11.2 纵深防御 242
11.3 系统加固 243
11.4 自动更新 243
11.5 虚拟化 244
11.6 固有的安全(从一开始) 245
11.7 小结 245
附录a 系统安全分析:建立你自己的rootkit检测程序 246
对本书的赞誉
译者序
序言
前言
作者简介
技术编辑简介
第一部分 恶意软件
第1章 传染方法 5
1.1 这种安全设施可能确实有用 5
1.1.1 操作系统漏洞的减少 6
1.1.2 边界安全 7
1.2 为什么他们想要你的工作站 8
1.3 难以发现的意图 8
1.4 这是桩生意 9
1.5 重要的恶意软件传播技术 10
1.5.1 社会工程 10
1.5.2 文件执行 12
1.6 现代恶意软件的传播技术 14
1.6.1 stormworm(恶意软件实例:trojan.peacomm) 15
.1.6.2 变形(恶意软件实例:w32.evol、w32.simile) 16
1.6.3 混淆 18
1.6.4 动态域名服务(恶意软件实例:w32.reatle.e@mm) 21
1.6.5 fast flux(恶意软件实例:
trojan.peacomm) 21
1.7 恶意软件传播注入方向 23
1.7.1 电子邮件 23
1.7.2 恶意网站 25
1.7.3 网络仿冒 27
1.7.4 对等网络(p2p) 32
1.7.5 蠕虫 34
1.8 本书配套网站上的实例 36
1.9 小结 36
第2章 恶意软件功能 37
2.1 恶意软件安装后会做什么 37
2.1.1 弹出窗口 37
2.1.2 搜索引擎重定向 41
2.1.3 数据盗窃 47
2.1.4 单击欺诈 48
2.1.5 身份盗窃 49
2.1.6 击键记录 52
2.1.7 恶意软件的表现 55
2.2 识别安装的恶意软件 57
2.2.1 典型安装位置 58
2.2.2 在本地磁盘上安装 58
2.2.3 修改时间戳 59
2.2.4 感染进程 59
2.2.5 禁用服务 59
2.2.6 修改windows注册表 60
2.3 小结 60
第二部分 rootkit
第3章 用户模式rootkit 64
3.1 维持访问权 64
3.2 隐身:掩盖存在 65
3.3 rootkit的类型 66
3.4 时间轴 66
3.5 用户模式rootkit 67
3.5.1 什么是用户模式rootkit 68
3.5.2 后台技术 68
3.5.3 注入技术 71
3.5.4 钩子技术 80
3.5.5 用户模式rootkit实例 81
3.6 小结 88
第4章 内核模式rootkit 89
4.1 底层:x86体系结构基础 89
4.1.1 指令集体系结构和操作系统 90
4.1.2 保护层次 90
4.1.3 跨越层次 91
4.1.4 内核模式:数字化的西部蛮荒 92
4.2 目标:windows内核组件 92
4.2.1 win32子系统 93
4.2.2 这些api究竟是什么 94
4.2.3 守门人:ntdll.dll 94
4.2.4 委员会功能:windows executive(ntoskrnl.exe) 94
4.2.5 windows内核(ntoskrnl.exe) 95
4.2.6 设备驱动程序 95
4.2.7 windows硬件抽象层(hal) 96
4.3 内核驱动程序概念 96
4.3.1 内核模式驱动程序体系结构 96
4.3.2 整体解剖:框架驱动程序 97
4.3.3 wdf、kmdf和umdf 99
4.4 内核模式rootkit 99
4.4.1 内核模式rootkit简介 99
4.4.2 内核模式rootkit所面对的挑战 100
4.4.3 装入 100
4.4.4 得以执行 101
4.4.5 与用户模式通信 101
4.4.6 保持隐蔽性和持续性 101
4.4.7 方法和技术 102
4.5 内核模式rootkit实例 118
4.5.1 clandestiny创建的klog 118
4.5.2 aphex创建的afx 121
4.5.3 jamie butler、peter silberman
和c.h.a.o.s创建的fu和futo 123
4.5.4 sherri sparks和jamie butler创建的shadow walker 124
4.5.5 he4 team创建的he4hook 126
4.5.6 honeynet项目创建的sebek 129
4.6 小结 129
第5章 虚拟rootkit 131
5.1 虚拟机技术概述 131
5.1.1 虚拟机类型 132
5.1.2 系统管理程序 132
5.1.3 虚拟化策略 134
5.1.4 虚拟内存管理 134
5.1.5 虚拟机隔离 135
5.2 虚拟机rootkit技术 135
5.2.1 矩阵里的rootkit:我们是怎么到这里的 135
5.2.2 什么是虚拟rootkit 136
5.2.3 虚拟rootkit的类型 136
5.2.4 检测虚拟环境 137
5.2.5 脱离虚拟环境 143
5.2.6 劫持系统管理程序 144
5.3 虚拟rootkit实例 145
5.4 小结 150
第6章 rootkit的未来:如果你现在认为情况严重 151
6.1 复杂性和隐蔽性的改进 151
6.2 定制的rootkit 157
6.3 小结 157
第三部分 预防技术
第7章 防病毒 163
7.1 现在和以后:防病毒技术的革新 163
7.2 病毒全景 164
7.2.1 病毒的定义 164
7.2.2 分类 165
7.2.3 简单病毒 166
7.2.4 复杂病毒 168
7.3 防病毒—核心特性和技术 169
7.3.1 手工或者“按需”扫描 169
7.3.2 实时或者“访问时”扫描 170
7.3.3 基于特征码的检测 170
7.3.4 基于异常/启发式检测 171
7.4 对防病毒技术的作用的评论 172
7.4.1 防病毒技术擅长的方面 172
7.4.2 防病毒业界的领先者 173
7.4.3 防病毒的难题 175
7.5 防病毒曝光:你的防病毒产品是个rootkit吗 180
7.5.1 在运行时修补系统服务 181
7.5.2 对用户模式隐藏线程 182
7.5.3 是一个缺陷吗 183
7.6 防病毒业界的未来 184
7.6.1 为生存而战斗 184
7.6.2 是行业的毁灭吗 185
7.6.3 可能替换防病毒的技术 186
7.7 小结和对策 187
第8章 主机保护系统 189
8.1 个人防火墙功能 189
8.1.1 mcafee 190
8.1.2 symantec 191
8.1.3 checkpoint 192
8.1.4 个人防火墙的局限性 193
8.2 弹出窗口拦截程序 195
8.2.1 internet explorer 195
8.2.2 firefox 195
8.2.3 opera 196
8.2.4 safari 196
8.2.5 chrome 196
8.2.6 一般的弹出式窗口拦截程序代码实例 198
8.3 小结 201
第9章 基于主机的入侵预防 202
9.1 hips体系结构 202
9.2 超过入侵检测的增长 204
9.3 行为与特征码 205
9.3.1 基于行为的系统 206
9.3.2 基于特征码的系统 206
9.4 反检测躲避技术 207
9.5 如何检测意图 210
9.6 hips和安全的未来 211
9.7 小结 212
第10章 rootkit检测 213
10.1 rootkit作者的悖论 213
10.2 rootkit检测简史 214
10.3 检测方法详解 216
10.3.1 系统服务描述符表钩子 216
10.3.2 irp钩子 217
10.3.3 嵌入钩子 217
10.3.4 中断描述符表钩子 218
10.3.5 直接内核对象操纵 218
10.3.6 iat钩子 218
10.4 windows防rootkit特性 218
10.5 基于软件的rootkit检测 219
10.5.1 实时检测与脱机检测 220
10.5.2 system virginity verifier 220
10.5.3 icesword和darkspy 221
10.5.4 rootkitrevealer 223
10.5.5 f-secure的blacklight 223
10.5.6 rootkit unhooker 225
10.5.7 gmer 226
10.5.8 helios和helios lite 227
10.5.9 mcafee rootkit detective 230
10.5.10 商业rootkit检测工具 230
10.5.11 使用内存分析的脱机检测:内存取证的革新 231
10.6 虚拟rootkit检测 237
10.7 基于硬件的rootkit检测 238
10.8 小结 239
第11章 常规安全实践 240
11.1 最终用户教育 240
11.2 纵深防御 242
11.3 系统加固 243
11.4 自动更新 243
11.5 虚拟化 244
11.6 固有的安全(从一开始) 245
11.7 小结 245
附录a 系统安全分析:建立你自己的rootkit检测程序 246
Hacking exposed:malware & rootkits secrets & solutions
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
