黑客大曝光：惡意軟體和Rootkit安全（原書第2版）

作者：[美] 克里斯托弗 C.埃里森（Christopher C. Elisan）麥可·戴維斯（Michael Davis）肖恩·伯德莫(Sean Bodmer)阿倫·勒馬斯特斯 (Aaron LeMasters)

ISBN(書號)：978-7-111-58054-6

叢書名：網路空間安全技術叢書

出版日期：2017-09

版次：1/1

開本：16

定價：￥79.00

對本書第1版的讚譽
推薦序
譯者序
作者簡介
前言
致謝
第一部分　惡意軟體
第1章　惡意軟體傳播 5
1.1　惡意軟體仍是王者 5
1.2　惡意軟體的傳播現狀 5
1.3　為什麼他們想要你的工作站 6
1.4　難以發現的意圖 6
1.5　這是樁生意 7
1.6　惡意軟體傳播的主要技術 7
1.6.1　社會工程 8
1.6.2　檔案執行 9
1.7　現代惡意軟體的傳播技術 12
1.7.1　StormWorm 13
1.7.2　變形 14
1.7.3　混淆 16
1.7.4　動態域名服務 18
1.7.5　Fast Flux 19
1.8　惡意軟體傳播注入方向 20
1.8.1　電子郵件 20
1.8.2　惡意網站 23
1.8.3　網路仿冒 25
1.8.4　對等網路（P2P） 28
1.8.5　蠕蟲 31
1.9　小結 32
第2章　惡意軟體功能 33
2.1　惡意軟體安裝後會做什麼 33
2.1.1　彈出視窗 33
2.1.2　搜尋引擎重定向 36
2.1.3　數據盜竊 43
2.1.4　點擊欺詐 45
2.1.5　身份盜竊 46
2.1.6　擊鍵記錄 49
2.1.7　惡意軟體的表現 53
2.2　識別安裝的惡意軟體 55
2.2.1　典型安裝位置 55
2.2.2　在本地磁碟上安裝 56
2.2.3　修改時間戳 56
2.2.4　感染進程 57
2.2.5　禁用服務 57
2.2.6　修改Windows註冊表 58
2.3　小結 58
第二部分　Rootkit
第3章　用戶模式Rootkit 62
3.1　Rootkit 63
3.1.1　時間軸 64
3.1.2　Rootkit的主要特徵 64
3.1.3　Rootkit的類型 66
3.2　用戶模式Rootkit 67
3.2.1　什麼是用戶模式Rootkit 67
3.2.2　後台技術 68
3.2.3　注入技術 71
3.2.4　鉤子技術 79
3.3　用戶模式Rootkit實例 81
3.4　小結 87
第4章　核心模式Rootkit 88
4.1　底層：x86體系結構基礎 89
4.1.1　指令集體系結構和作業系統 89
4.1.2　保護層次 89
4.1.3　跨越層次 90
4.1.4　核心模式：數位化的西部蠻荒 91
4.2　目標：Windows核心組件 92
4.2.1　Win32子系統 92
4.2.2　這些API究竟是什麼 93
4.2.3　守門人：NTDLL.DLL 93
4.2.4　委員會功能：Windows Executive（NTOSKRNL.EXE） 94
4.2.5　Windows核心（NTOSKRNL.EXE） 94
4.2.6　設備驅動程式 94
4.2.7　Windows硬體抽象層（HAL） 95
4.3　核心驅動程式概念 95
4.3.1　核心模式驅動程式體系結構 96
4.3.2　整體解剖：框架驅動程式 97
4.3.3　WDF、KMDF和UMDF 98
4.4　核心模式Rootkit 99
4.4.1　核心模式Rootkit簡介 99
4.4.2　核心模式Rootkit所面對的挑戰 99
4.4.3　方法和技術 101
4.5　核心模式Rootkit實例 119
4.5.1　Clandestiny創建的Klog 119
4.5.2　Aphex創建的AFX 122
4.5.3　Jamie Butler、Peter Silberman和 C.H.A.O.S創建的FU和FUTo 124
4.5.4　Sherri Sparks 和 Jamie Butler創建的Shadow Walker 125
4.5.5　He4 Team創建的He4Hook 127
4.5.6　Honeynet項目創建的Sebek 130
4.6　小結 131
第5章　虛擬Rootkit 133
5.1　虛擬機技術概述 133
5.1.1　虛擬機類型 134
5.1.2　系統管理程式 135
5.1.3　虛擬化策略 136
5.1.4　虛擬記憶體管理 137
5.1.5　虛擬機隔離 137
5.2　虛擬機Rootkit技術 137
5.2.1　矩陣里的Rootkit：我們是怎么到這裡的 138
5.2.2　什麼是虛擬Rootkit 138
5.2.3　虛擬Rootkit的類型 139
5.2.4　檢測虛擬環境 140
5.2.5　脫離虛擬環境 146
5.2.6　劫持系統管理程式 147
5.3　虛擬Rootkit實例 148
5.4　小結 153
第6章　Rootkit的未來 155
6.1　複雜性和隱蔽性的改進 156
6.2　定製的Rootkit 161
6.3　數字簽名的Rootkit 162
6.4　小結 162
第三部分　預防技術
第7章　防病毒 167
7.1　現在和以後：防病毒技術的革新 167
7.2　病毒全景 168
7.2.1　病毒的定義 168
7.2.2　分類 169
7.2.3　簡單病毒 170
7.2.4　複雜病毒 172
7.3　防病毒——核心特性和技術 173
7.3.1　手工或者“按需”掃描 174
7.3.2　實時或者“訪問時”掃描 174
7.3.3　基於特徵碼的檢測 175
7.3.4　基於異常/啟發式檢測 176
7.4　對防病毒技術的作用的評論 177
7.4.1　防病毒技術擅長的方面 177
7.4.2　防病毒業界的領先者 177
7.4.3　防病毒的難題 177
7.5　防病毒業界的未來 179
7.6　小結和對策 180
第8章　主機保護系統 182
8.1　個人防火牆功能 182
8.2　彈出視窗攔截程式 184
8.2.1　Chrome 185
8.2.2　Firefox 186
8.2.3　Microsoft Edge 187
8.2.4　Safari 187
8.2.5　一般的彈出式視窗攔截程式代碼實例 187
8.3　小結 190
第9章　基於主機的入侵預防 191
9.1　HIPS體系結構 191
9.2　超過入侵檢測的增長 193
9.3　行為與特徵碼 194
9.3.1　基於行為的系統 195
9.3.2　基於特徵碼的系統 196
9.4　反檢測躲避技術 196
9.5　如何檢測意圖 200
9.6　HIPS和安全的未來 201
9.7　小結 202
第10章　Rootkit檢測 203
10.1　Rootkit作者的悖論 203
10.2　Rootkit檢測簡史 204
10.3　檢測方法詳解 207
10.3.1　系統服務描述符表鉤子 207
10.3.2　IRP鉤子 208
10.3.3　嵌入鉤子 208
10.3.4　中斷描述符表鉤子 208
10.3.5　直接核心對象操縱 208
10.3.6　IAT鉤子 209
10.3.7　傳統DOS或者直接磁碟訪問鉤子 209
10.4　Windows防Rootkit特性 209
10.5　基於軟體的Rootkit檢測 210
10.5.1　實時檢測與脫機檢測 211
10.5.2　System Virginity Verifier 212
10.5.3　IceSword 和DarkSpy 213
10.5.4　RootkitRevealer 215
10.5.5　F-Secure的Blacklight 215
10.5.6　Rootkit Unhooker 216
10.5.7　GMER 218
10.5.8　Helios 和Helios Lite 219
10.5.9　McAfee Rootkit Detective 221
10.5.10　TDSSKiller 223
10.5.11　Bitdefender Rootkit Remover 224
10.5.12　Trend Micro Rootkit Buster 225
10.5.13　Malwarebytes Anti-Rootkit 225
10.5.14　Avast aswMBR 225
10.5.15　商業Rootkit檢測工具 225
10.5.16　使用記憶體分析的脫機檢測：記憶體取證的革新 226
10.6　虛擬Rootkit檢測 233
10.7　基於硬體的Rootkit檢測 234
10.8　小結 235
第11章　常規安全實踐 236
11.1　最終用戶教育 236
11.2　了解惡意軟體 237
11.3　縱深防禦 239
11.4　系統加固 240
11.5　自動更新 240
11.6　虛擬化 241
11.7　固有的安全（從一開始） 242
11.8　小結 242
附錄A　系統安全分析：建立你自己的Rootkit檢測程式 243