黑客大曝光 pdf epub mobi txt 電子書 下載2025

想要找書就要到 小美書屋

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

抵禦惡意軟件和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟件和Rootkit安全》用現實世界的案例研究和實例揭示瞭當前的黑客們是如何使用很容易得到的工具滲透和劫持係統的，逐步深入的對策提供瞭經過證明的預防技術。本書介紹瞭檢測和消除惡意嵌入代碼、攔截彈齣式窗口和網站、預防擊鍵記錄以及終止Rootkit的方法，詳細地介紹瞭最新的入侵檢測、防火牆、蜜罐、防病毒、防Rootkit以及防間諜軟件技術。

《黑客大曝光：惡意軟件和Rootkit安全》包括以下內容：

· 理解惡意軟件感染、生存以及在整個企業中傳染的方法。

· 瞭解黑客使用存檔文件、加密程序以及打包程序混淆代碼的方法。

· 實施有效的入侵檢測和預防程序。

· 防禦擊鍵記錄、重定嚮、點擊欺詐以及身份盜竊威脅。

· 檢測，殺死和刪除虛擬模式、用戶模式和內核模式Rootkit。

· 預防惡意網站、仿冒、客戶端和嵌入式代碼攻擊。

· 使用最新的防病毒、彈齣窗口攔截程序和防火牆軟件保護主機。

· 使用HIPS和NIPS識彆和終止惡意進程。

Michael A. Davis是Savid Technologies公司的CEO，該公司是一傢全國性的技術和安全谘詢公司。由於Michael將snort、ngrep、dsniff和honeyd這樣的安全工具移植到Windows平颱，因此他在開源軟件安全界聲名卓著。作為Honeynet項目成員，他為基於Windows的honeynet（蜜罐）開發瞭數據和網絡控製機製。Michael還是sebek for Windows的開發者，這是一種基於內核的honeynet數據收集和監控工具。Michael曾經在領先的防病毒保護和漏洞管理企業—McAfee公司擔任全球威脅高級經理，領導一個研究機密審查和尖端安全的團隊。在McAfee工作之前，Michael曾在Foundstone工作過。

Sean M. Bodmer是Savid Corporation公司的政府項目主管。Sean是一位活躍的honeynet研究人員，精於分析惡意軟件和攻擊者的特徵、模式和行為。最為引人注目的是，他花費瞭多年的時間來領導高級入侵檢測係統（honeynet）的運作和分析，這一係統能夠捕捉和分析入侵者及其工具的動機和目的，從而生成對進一步保護用戶網絡有價值的信息。在過去的10年中，Sean已經為華盛頓特區的多個聯邦政府機構和私人公司負責過各種係統安全工程。Sean在全美國的業界會議，如DEFCON、PhreakNIC、DC3、NW3C、 Carnegie Mellon CERT和Pentagon安全論壇上發錶過演講，主題包括對攻擊特徵和攻擊者的剖析，這些剖析能夠幫助識彆網絡攻擊的真正動機和意圖。

Aaron LeMasters（喬治·華盛頓大學理科碩士）是一位精通計算機取證、惡意軟件分析和漏洞研究的安全研究人員。他在職業生涯的頭5年用在保護不設防的國防部網絡上，現在他是Raytheon SI的高級軟件工程師。Aaron樂於在大的安全會議（如Black Hat）和較小的區域黑客會議（如Outerzone）上分享研究成果。他更願意關注與Windows內部構件、係統完整性、逆嚮工程和惡意軟件分析相關的高級研究和開發問題。他是一位熱心的原型構造者，很喜歡開發增強其研究趣味性的工具。在業餘時間，Aaron喜歡打籃球、畫素描、擺弄他的Epiphone Les Paul電吉他，以及和妻子一起去紐約旅行。

目錄
對本書的贊譽
譯者序
序言
前言
作者簡介
技術編輯簡介
第一部分 惡意軟件
第1章 傳染方法 5
1.1　這種安全設施可能確實有用 5
1.1.1　操作係統漏洞的減少 6
1.1.2　邊界安全 7
1.2　為什麼他們想要你的工作站 8
1.3　難以發現的意圖 8
1.4　這是樁生意 9
1.5　重要的惡意軟件傳播技術 10
1.5.1　社會工程 10
1.5.2　文件執行 12
1.6　現代惡意軟件的傳播技術 14
1.6.1　StormWorm（惡意軟件實例：trojan.peacomm） 15
1.6.2　變形（惡意軟件實例：W32.Evol、W32.Simile） 16
1.6.3　混淆 18
1.6.4　動態域名服務（惡意軟件實例：W32.Reatle.E@mm） 21
1.6.5　Fast　Flux（惡意軟件實例：
trojan.peacomm) 21
1.7　惡意軟件傳播注入方嚮 23
1.7.1　電子郵件 23
1.7.2　惡意網站 25
1.7.3　網絡仿冒 27
1.7.4　對等網絡（P2P） 32
1.7.5　蠕蟲 34
1.8　本書配套網站上的實例 36
1.9　小結 36
第2章　惡意軟件功能 37
2.1　惡意軟件安裝後會做什麼 37
2.1.1　彈齣窗口 37
2.1.2　搜索引擎重定嚮 41
2.1.3　數據盜竊 47
2.1.4　單擊欺詐 48
2.1.5　身份盜竊 49
2.1.6　擊鍵記錄 52
2.1.7　惡意軟件的錶現 55
2.2　識彆安裝的惡意軟件 57
2.2.1　典型安裝位置 58
2.2.2　在本地磁盤上安裝 58
2.2.3　修改時間戳 59
2.2.4　感染進程 59
2.2.5　禁用服務 59
2.2.6　修改Windows注冊錶 60
2.3　小結 60
第二部分　Rootkit
第3章　用戶模式Rootkit 64
3.1　維持訪問權 64
3.2　隱身：掩蓋存在 65
3.3　Rootkit的類型 66
3.4　時間軸 66
3.5　用戶模式Rootkit 67
3.5.1　什麼是用戶模式Rootkit 68
3.5.2　後颱技術 68
3.5.3　注入技術 71
3.5.4　鈎子技術 80
3.5.5　用戶模式Rootkit實例 81
3.6　小結 88
第4章　內核模式Rootkit 89
4.1　底層：x86體係結構基礎 89
4.1.1　指令集體係結構和操作係統 90
4.1.2　保護層次 90
4.1.3　跨越層次 91
4.1.4　內核模式：數字化的西部蠻荒 92
4.2　目標：Windows內核組件 92
4.2.1　Win32子係統 93
4.2.2　這些API究竟是什麼 94
4.2.3　守門人：NTDLL.DLL 94
4.2.4　委員會功能：Windows Executive（NTOSKRNL.EXE） 94
4.2.5　Windows內核（NTOSKRNL.EXE） 95
4.2.6　設備驅動程序 95
4.2.7　Windows硬件抽象層(HAL) 96
4.3　內核驅動程序概念 96
4.3.1　內核模式驅動程序體係結構 96
4.3.2　整體解剖：框架驅動程序 97
4.3.3　WDF、KMDF和UMDF 99
4.4　內核模式Rootkit 99
4.4.1　內核模式Rootkit簡介 99
4.4.2　內核模式Rootkit所麵對的挑戰 100
4.4.3　裝入 100
4.4.4　得以執行 101
4.4.5　與用戶模式通信 101
4.4.6　保持隱蔽性和持續性 101
4.4.7　方法和技術 102
4.5　內核模式Rootkit實例 118
4.5.1　Clandestiny創建的Klog 118
4.5.2　Aphex創建的AFX 121
4.5.3　Jamie Butler、Peter Silberman
和C.H.A.O.S創建的FU和FUTo 123
4.5.4　Sherri Sparks和Jamie Butler創建的Shadow Walker 124
4.5.5　He4 Team創建的He4Hook 126
4.5.6　Honeynet項目創建的Sebek 129
4.6　小結 129
第5章　虛擬Rootkit 131
5.1　虛擬機技術概述 131
5.1.1　虛擬機類型 132
5.1.2　係統管理程序 132
5.1.3　虛擬化策略 134
5.1.4　虛擬內存管理 134
5.1.5　虛擬機隔離 135
5.2　虛擬機Rootkit技術 135
5.2.1　矩陣裏的Rootkit：我們是怎麼到這裏的 135
5.2.2　什麼是虛擬Rootkit 136
5.2.3　虛擬Rootkit的類型 136
5.2.4　檢測虛擬環境 137
5.2.5　脫離虛擬環境 143
5.2.6　劫持係統管理程序 144
5.3　虛擬Rootkit實例 145
5.4　小結 150
第6章　Rootkit的未來：如果你現在認為情況嚴重 151
6.1　復雜性和隱蔽性的改進 151
6.2　定製的Rootkit 157
6.3　小結 157
第三部分　預防技術
第7章　防病毒 163
7.1　現在和以後：防病毒技術的革新 163
7.2　病毒全景 164
7.2.1　病毒的定義 164
7.2.2　分類 165
7.2.3　簡單病毒 166
7.2.4　復雜病毒 168
7.3　防病毒—核心特性和技術 169
7.3.1　手工或者“按需”掃描 169
7.3.2　實時或者“訪問時”掃描 170
7.3.3　基於特徵碼的檢測 170
7.3.4　基於異常/啓發式檢測 171
7.4　對防病毒技術的作用的評論 172
7.4.1　防病毒技術擅長的方麵 172
7.4.2　防病毒業界的領先者 173
7.4.3　防病毒的難題 175
7.5　防病毒曝光：你的防病毒産品是個Rootkit嗎 180
7.5.1　在運行時修補係統服務 181
7.5.2　對用戶模式隱藏綫程 182
7.5.3　是一個缺陷嗎 183
7.6　防病毒業界的未來 184
7.6.1　為生存而戰鬥 184
7.6.2　是行業的毀滅嗎 185
7.6.3　可能替換防病毒的技術 186
7.7　小結和對策 187
第8章　主機保護係統 189
8.1　個人防火牆功能 189
8.1.1　McAfee 190
8.1.2　Symantec 191
8.1.3　Checkpoint 192
8.1.4　個人防火牆的局限性 193
8.2　彈齣窗口攔截程序 195
8.2.1　Internet　Explorer 195
8.2.2　Firefox 195
8.2.3　Opera 196
8.2.4　Safari 196
8.2.5　Chrome 196
8.2.6　一般的彈齣式窗口攔截程序代碼實例 198
8.3　小結 201
第9章　基於主機的入侵預防 202
9.1　HIPS體係結構 202
9.2　超過入侵檢測的增長 204
9.3　行為與特徵碼 205
9.3.1　基於行為的係統 206
9.3.2　基於特徵碼的係統 206
9.4　反檢測躲避技術 207
9.5　如何檢測意圖 210
9.6　HIPS和安全的未來 211
9.7　小結 212
第10章　Rootkit檢測 213
10.1　Rootkit作者的悖論 213
10.2　Rootkit檢測簡史 214
10.3　檢測方法詳解 216
10.3.1　係統服務描述符錶鈎子 216
10.3.2　IRP鈎子 217
10.3.3　嵌入鈎子 217
10.3.4　中斷描述符錶鈎子 218
10.3.5　直接內核對象操縱 218
10.3.6　IAT鈎子 218
10.4　Windows防Rootkit特性 218
10.5　基於軟件的Rootkit檢測 219
10.5.1　實時檢測與脫機檢測 220
10.5.2　System Virginity Verifier 220
10.5.3　IceSword和DarkSpy 221
10.5.4　RootkitRevealer 223
10.5.5　F-Secure的Blacklight 223
10.5.6　Rootkit Unhooker 225
10.5.7　GMER 226
10.5.8　Helios和Helios Lite 227
10.5.9　McAfee Rootkit Detective 230
10.5.10　商業Rootkit檢測工具 230
10.5.11　使用內存分析的脫機檢測：內存取證的革新 231
10.6　虛擬Rootkit檢測 237
10.7　基於硬件的Rootkit檢測 238
10.8　小結 239
第11章　常規安全實踐 240
11.1　最終用戶教育 240
11.2　縱深防禦 242
11.3　係統加固 243
11.4　自動更新 243
11.5　虛擬化 244
11.6　固有的安全（從一開始） 245
11.7　小結 245
附錄A　係統安全分析：建立你自己的Rootkit檢測程序 246
· · · · · · (收起)