內容簡介
本書提供瞭經過證明的預防技術,用現實世界的案例研究和實例揭示瞭黑客們是如何使用很容易得到的工具滲透和劫持係統的。本書詳細介紹瞭新的入侵檢測、防火牆、蜜罐、防病毒、防Rootkit以及防間諜軟件技術。
作者簡介
作 者 簡 介Christopher C. ElisanChristopher C. Elisan是安全行業的老兵,20世紀90年代從學校畢業時就投身於這一職業。他是經驗豐富的逆嚮工程和惡意軟件研究人員。從DOS時代到現在,他見證瞭日益復雜精密的惡意軟件開發。他目前是EMS安全分布——RSA的首席惡意軟件科學傢和惡意軟件情報團隊高級經理。
Elisan是Trend Micro的TrendLabs實驗室的先驅之一,在那裏他以惡意軟件逆嚮工程人員的身份開始瞭職業生涯。在TrendLabs,他曾經擔任過多個技術和管理職位。離開Trend Micro之後,Elisan加入F-Secure,建立瞭F-Secure的亞洲研發中心,並擔任多個項目的領軍人物,包括漏洞發現、Web安全和移動安全。之後他加入瞭Damballa公司,擔任高級威脅分析師,專門負責惡意軟件研究。Elisan擁有計算機工程學士學位,並通過瞭如下行業認證:認證道德黑客、微軟認證係統工程師、微軟認證係統管理員、微軟認證專傢和認證敏捷專傢。
Elisan是惡意軟件、數字欺詐和網絡犯罪主題專傢之一。他用自己的專業知識幫助瞭不同的執法機構,並為領先的行業和主流齣版物提供關於惡意軟件、僵屍網絡和高級持續性威脅的專業意見,包括《今日美國》《舊金山紀事報》《SC雜誌》《信息周刊》《福剋斯商業》和《Dark reading》。他還經常在全球的安全會議上發錶演講,包括RSA大會、SecTor、HackerHalted、TkaeDownCon、Toorcon、(ISC)2安全會議、Rootcon和B-Sides。他還是《Malware,Rootkits &Botnets;:A Beginner’s Guide》(McGraw-Hill於2012年齣版)一書的作者。
在不解剖或者討論惡意軟件時,Christopher將時間花在和孩子們打籃球和遊戲上。他和傢人還喜歡觀看亞特蘭大老鷹隊擊敗對手的比賽。如果時間允許,他會在亞特蘭大當地的搖滾樂隊擔任歌手/吉他手,繼續自己的搖滾明星夢。
你可以通過推薦@Tophs關注他。
Michael DavisMichael Davis是Savid Technologies公司的CEO,該公司是一傢全國性的技術和安全谘詢公司。由於Michael將snort、ngrep、dsniff和honeyd這樣的安全工具移植到Windows平颱,因此他在開源軟件安全界聲名卓著。作為Honeynet項目成員,他為基於Windows的honeynet(蜜罐)開發瞭數據和網絡控製機製。Michael還是sebek for Windows的開發者,這是一種基於內核的honeynet數據收集和監控工具。Michael曾經在領先的防病毒保護和漏洞管理企業——McAfee公司擔任全球威脅高級經理,領導一個研究機密審查和尖端安全的團隊。在McAfee工作之前,Michael曾在Foundstone工作過。
Sean Bodmer,CISSP,CEHSean Bodmer是Savid Corporation公司的政府項目主管。Sean是一位活躍的honeynet研究人員,精於分析惡意軟件和攻擊者的特徵、模式和行為。為引人注目的是,他花費瞭多年的時間來領導高級入侵檢測係統(honeynet)的運作和分析,這一係統能夠捕捉和分析入侵者及其工具的動機和目的,從而生成對進一步保護用戶網絡有價值的信息。在過去的10年中,Sean已經為華盛頓特區的多個聯邦政府機構和私人公司負責過各種係統安全工程。Sean在全美國的業界會議,如DEFCON、PhreakNIC、DC3、NW3C、 Carnegie Mellon CERT和Pentagon安全論壇上發錶過演講,主題包括對攻擊特徵和攻擊者的剖析,這些剖析能夠幫助識彆網絡攻擊的真正動機和意圖。
Aaron LeMasters,CISSP,GCIH,CSTPAaron LeMasters(喬治·華盛頓大學理科碩士)是一位精通計算機取證、惡意軟件分析和漏洞研究的安全研究人員。他在職業生涯的頭5年用在保護不設防的國防部網絡上,現在他是Raytheon SI的高級軟件工程師。Aaron樂於在大的安全會議(如Black Hat)和較小的區域黑客會議(如Outerzone)上分享研究成果。他更願意關注與Windows內部構件、係統完整性、逆嚮工程和惡意軟件分析相關的高級研究和開發問題。他是一位熱心的原型構造者,很喜歡開發增強其研究趣味性的工具。在業餘時間,Aaron喜歡打籃球、畫素描、擺弄他的Epiphone Les Paul電吉他,以及和妻子一起去紐約旅行。
貢獻者Jason LordJason Lord目前是d3 Services的COO,該公司是提供網絡安全解決方案的顧問公司。Jason在過去14年中都活躍於信息安全領域,主要關注計算機取證、事故響應、企業安全、滲透測試和惡意代碼分析。在這段時間裏,Jason應對過全球數百個計算機取證和事故響應案例。他還是高技術犯罪調查學會(HTCIA)、InfraGard和國際係統安全學會(ISSA)的活躍成員。
技術編輯Jong PurisimaJong Purisima從1995年第壹次分析惡意軟件起就從事威脅和惡意軟件研究工作。從職業上說,他是從加入Trend Micro的病毒醫生團隊開始與計算機行業的親密接觸的,在該團隊中,他分析惡意軟件以生成檢測、補救措施和麵嚮客戶的惡意軟件報告。從那時起,他主要從事安全實驗室的運營工作,特彆是技術産品管理,為Trend Micro、Webroot、GFI-Sunbelt、Cisco和Malwarebytes等公司提供以威脅為中心的安全解決方案。
閑暇之餘,Jong忙於業餘手工製作和木匠活,喜歡徒步和自駕遊,與傢人在“歡迎來到……”的標語下閤影。
目錄
目 錄
對本書第1版的贊譽
推薦序
譯者序
作者簡介
前言
緻謝
第一部分 惡意軟件
第1章 惡意軟件傳播 5
1.1 惡意軟件仍是王者 5
1.2 惡意軟件的傳播現狀 5
1.3 為什麼他們想要你的工作站 6
1.4 難以發現的意圖 6
1.5 這是樁生意 7
1.6 惡意軟件傳播的主要技術 7
1.6.1 社會工程 8
1.6.2 文件執行 9
1.7 現代惡意軟件的傳播技術 12
1.7.1 StormWorm 13
1.7.2 變形 14
1.7.3 混淆 16
1.7.4 動態域名服務 18
1.7.5 Fast Flux 19
1.8 惡意軟件傳播注入方嚮 20
1.8.1 電子郵件 20
1.8.2 惡意網站 23
1.8.3 網絡仿冒 25
1.8.4 對等網絡(P2P) 28
1.8.5 蠕蟲 31
1.9 小結 32
第2章 惡意軟件功能 33
2.1 惡意軟件安裝後會做什麼 33
2.1.1 彈齣窗口 33
2.1.2 搜索引擎重定嚮 36
2.1.3 數據盜竊 43
2.1.4 點擊欺詐 45
2.1.5 身份盜竊 46
2.1.6 擊鍵記錄 49
2.1.7 惡意軟件的錶現 53
2.2 識彆安裝的惡意軟件 55
2.2.1 典型安裝位置 55
2.2.2 在本地磁盤上安裝 56
2.2.3 修改時間戳 56
2.2.4 感染進程 57
2.2.5 禁用服務 57
2.2.6 修改Windows注冊錶 58
2.3 小結 58
第二部分 Rootkit
第3章 用戶模式Rootkit 62
3.1 Rootkit 63
3.1.1 時間軸 64
3.1.2 Rootkit的主要特徵 64
3.1.3 Rootkit的類型 66
3.2 用戶模式Rootkit 67
3.2.1 什麼是用戶模式Rootkit 67
3.2.2 後颱技術 68
3.2.3 注入技術 71
3.2.4 鈎子技術 79
3.3 用戶模式Rootkit實例 81
3.4 小結 87
第4章 內核模式Rootkit 88
4.1 底層:x86體係結構基礎 89
4.1.1 指令集體係結構和操作係統 89
4.1.2 保護層次 89
4.1.3 跨越層次 90
4.1.4 內核模式:數字化的西部蠻荒 91
4.2 目標:Windows內核組件 92
4.2.1 Win32子係統 92
4.2.2 這些API究竟是什麼 93
4.2.3 守門人:NTDLL.DLL 93
4.2.4 委員會功能:Windows Executive(NTOSKRNL.EXE) 94
4.2.5 Windows內核(NTOSKRNL.EXE) 94
4.2.6 設備驅動程序 94
4.2.7 Windows硬件抽象層(HAL) 95
4.3 內核驅動程序概念 95
4.3.1 內核模式驅動程序體係結構 96
4.3.2 整體解剖:框架驅動程序 97
4.3.3 WDF、KMDF和UMDF 98
4.4 內核模式Rootkit 99
4.4.1 內核模式Rootkit簡介 99
4.4.2 內核模式Rootkit所麵對的挑戰 99
4.4.3 方法和技術 101
4.5 內核模式Rootkit實例 119
4.5.1 Clandestiny創建的Klog 119
4.5.2 Aphex創建的AFX 122
4.5.3 Jamie Butler、Peter Silberman和 C.H.A.O.S創建的FU和FUTo 124
4.5.4 Sherri Sparks 和 Jamie Butler創建的Shadow Walker 125
4.5.5 He4 Team創建的He4Hook 127
4.5.6 Honeynet項目創建的Sebek 130
4.6 小結 131
第5章 虛擬Rootkit 133
5.1 虛擬機技術概述 133
5.1.1 虛擬機類型 134
5.1.2 係統管理程序 135
5.1.3 虛擬化策略 136
5.1.4 虛擬內存管理 137
5.1.5 虛擬機隔離 137
5.2 虛擬機Rootkit技術 137
5.2.1 矩陣裏的Rootkit:我們是怎麼到這裏的 138
5.2.2 什麼是虛擬Rootkit 138
5.2.3 虛擬Rootkit的類型 139
5.2.4 檢測虛擬環境 140
5.2.5 脫離虛擬環境 146
5.2.6 劫持係統管理程序 147
5.3 虛擬Rootkit實例 148
5.4 小結 153
第6章 Rootkit的未來 155
6.1 復雜性和隱蔽性的改進 156
6.2 定製的Rootkit 161
6.3 數字簽名的Rootkit 162
6.4 小結 162
第三部分 預防技術
第7章 防病毒 167
7.1 現在和以後:防病毒技術的革新 167
7.2 病毒全景 168
7.2.1 病毒的定義 168
7.2.2 分類 169
7.2.3 簡單病毒 170
7.2.4 復雜病毒 172
7.3 防病毒——核心特性和技術 173
7.3.1 手工或者“按需”掃描 174
7.3.2 實時或者“訪問時”掃描 174
7.3.3 基於特徵碼的檢測 175
7.3.4 基於異常/啓發式檢測 176
7.4 對防病毒技術的作用的評論 177
7.4.1 防病毒技術擅長的方麵 177
7.4.2 防病毒業界的領先者 177
7.4.3 防病毒的難題 177
7.5 防病毒業界的未來 179
7.6 小結和對策 180
第8章 主機保護係統 182
8.1 個人防火牆功能 182
8.2 彈齣窗口攔截程序 184
8.2.1 Chrome 185
8.2.2 Firefox 186
8.2.3 Microsoft Edge 187
8.2.4 Safari 187
8.2.5 一般的彈齣式窗口攔截程序代碼實例 187
8.3 小結 190
第9章 基於主機的入侵預防 191
9.1 HIPS體係結構 191
9.2 超過入侵檢測的增長 193
9.3 行為與特徵碼 194
9.3.1 基於行為的係統 195
9.3.2 基於特徵碼的係統 196
9.4 反檢測躲避技術 196
9.5 如何檢測意圖 200
9.6 HIPS和安全的未來 201
9.7 小結 202
第10章 Rootkit檢測 203
10.1 Rootkit作者的悖論 203
10.2 Rootkit檢測簡史 204
10.3 檢測方法詳解 207
10.3.1 係統服務描述符錶鈎子 207
10.3.2 IRP鈎子
前言/序言
前 言感謝你選擇本書的第2版。從本書第1版齣版以來,安全領域發生瞭許多變化,本版將反映這些變化和更新,但是會保留第1版中信息的曆史相關性為代價。在第1版的基礎上,我們介紹攻擊者所使用技術的改進和變化,以及安全研究人員如何改變,以對抗如今新型惡意軟件技術和方法論。
遵循第1版的精神,我們將焦點放在對抗惡意軟件威脅中有效和無效的防護手段。正如第1版中所強調的,不管你是傢庭用戶還是全球百強企業安全團隊的一員,對惡意軟件保持警惕都會給你帶來迴報——從個人和職業上都是如此。
導航本書中,每種攻擊技術都用如下的方法突齣顯示:
這是攻擊圖標這個圖標錶示某種惡意軟件類型和方法,便於識彆。書中對每種攻擊都提齣瞭實用、恰當並且實際測試過的解決方案。
這是對策圖標在這裏介紹修復問題和將攻擊者拒之門外的方法。
特彆注意代碼列錶中加粗顯示的用戶輸入。
每種攻擊都帶有一個更新過的危險等級,這個等級的確定是根據作者的經驗以下3部分因素得齣的:
流行性對活動目標使用該攻擊方法的頻率,1錶示使用最少,10錶示使用最廣泛簡單性執行該攻擊所需要的技能,1錶示需要熟練的安全編程人員,10錶示隻要很少甚至不需要技能影響成功執行該種攻擊可能産生的危害,1錶示泄露目標的普通信息,10錶示入侵超級用戶賬戶或者等價的情況危險等級上麵三個值平均後給齣的總體危險等級緻 謝我要感謝Wendy Rinaldi和Meghan Manfre的信任,沒有他們的耐心和支持,本書就不可能成為今天的樣子。說到耐心,我要真誠地感謝LeeAnn Pickrell齣色的編輯工作,以及對我總在變化和難以預測的工作和差旅安排的耐心和寬容。
非常感謝Lance James在百忙之中抽齣時間為本書作序,感謝Jong Purisima使本書的技術內容保持在業界前沿。
特彆要感謝我的閤著者們。正是你們的專業知識、時間和天賦使本書成為安全行業的重要資産。
——Christopher C. Elisan
黑客大曝光:惡意軟件和Rootkit安全(原書第2版) 下載 mobi epub pdf txt 電子書 格式