当前: 首页 - 图书专区 - 黑客大曝光:恶意软件和Rootkit安全(原书第2版)
黑客大曝光:恶意软件和Rootkit安全(原书第2版)


  在线购买
[美] 克里斯托弗 C.埃里森(Christopher C. Elisan)迈克尔?戴维斯(Michael Davis)肖恩? 伯德莫(Sean Bodmer)阿伦?勒马斯特斯 (Aaron LeMasters) 著
978-7-111-58054-6
79.00
287
2017年09月22日
姚军 译
计算机 > 计算机网络
McGraw-Hill
150
简体中文
16
Hacking Exposed Malware & Rootkits: Security Secrets and Solutions, Second Edition
店面
网络空间安全技术丛书
陈佳媛







本书用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的,逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法,详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。
·作者简介·

克里斯托弗 C.埃里森(Christopher C. Elisan)是一位经验丰富的逆向工程专家,目前是RSA的首席恶意软件科学家。他经常在全球各地的各种安全会议上发表演讲,为前沿行业和主流出版物提供专业意见。
迈克尔·戴维斯(Michael Davis)是CouterTack的首席技术官。他被《BusinessWeek》评为“25位25岁以下杰出人物”之一,曾晋级安永“年度企业家奖”的半决赛。
肖恩· 伯德莫(Sean Bodmer)拥有CISSP和CEH认证,是CounterTack的防利用情报部首席研究员。他还是《Reverse Deception:Organized Cyber Threat Counter-Exploitation》的合著者。
阿伦·勒马斯特斯(Aaron LeMasters)目前是CrowdStrike的高级安全研究员,之前曾在Mandiant、Raytheon SI和美国国防部担任各种研究职务。他精通Windows操作系统的内部结构。

这本全面更新的指南提供了经过验证的防御策略,运用它们可以挫败蓄意的网络攻击,大大改善组织的安全态势。本书完整地解释了黑客的最新手法以及可供部署的对策,研究如何拦截弹出窗口和钓鱼利用攻击,终结嵌入代码,识别和消除Rootkit。你还将看到有关入侵检测、防火墙、蜜罐、防病毒和防Rootkit的最新技术。
通过阅读本书,你将学到:
恶意软件在企业环境中感染、存活和传播的方式
了解黑客开发恶意代码和攻击脆弱系统的方法
检测、压制和删除用户模式和内核模式Rootkit
使用虚拟化系统管理器和蜜罐发现和删除虚拟Rootkit
防御击键记录、重定向、点击欺诈和身份盗窃
拦截鱼叉式仿冒、客户端和嵌入代码利用攻击
有效部署最新的防病毒、弹出窗口拦截和防火墙软件
用IPS解决方案识别和拦截恶意进程
感谢你选择本书的第2版。从本书第1版出版以来,安全领域发生了许多变化,本版将反映这些变化和更新,但是会保留第1版中信息的历史相关性为代价。在第1版的基础上,我们介绍攻击者所使用技术的改进和变化,以及安全研究人员如何改变,以对抗如今新型恶意软件技术和方法论。
遵循第1版的精神,我们将焦点放在对抗恶意软件威胁中有效和无效的防护手段。正如第1版中所强调的,不管你是家庭用户还是全球百强企业安全团队的一员,对恶意软件保持警惕都会给你带来回报——从个人和职业上都是如此。
导航
本书中,每种攻击技术都用如下的方法突出显示:
这是攻击图标
这个图标表示某种恶意软件类型和方法,便于识别。书中对每种攻击都提出了实用、恰当并且实际测试过的解决方案。
这是对策图标
在这里介绍修复问题和将攻击者拒之门外的方法。
特别注意代码列表中加粗显示的用户输入。
每种攻击都带有一个更新过的危险等级,这个等级的确定是根据作者的经验以下3部分因素得出的:
流行性 对活动目标使用该攻击方法的频率,1表示使用最少,10表示使用最广泛
简单性 执行该攻击所需要的技能,1表示需要熟练的安全编程人员,10表示只要很少甚至不需要技能
影响 成功执行该种攻击可能产生的危害,1表示泄露目标的普通信息,10表示入侵超级用户账户或者等价的情况
危险等级 上面三个值平均后给出的总体危险等级
对本书第1版的赞誉
推荐序
译者序
作者简介
前言
致谢
第一部分 恶意软件
第1章 恶意软件传播 5
1.1 恶意软件仍是王者 5
1.2 恶意软件的传播现状 5
1.3 为什么他们想要你的工作站 6
1.4 难以发现的意图 6
1.5 这是桩生意 7
1.6 恶意软件传播的主要技术 7
1.6.1 社会工程 8
1.6.2 文件执行 9
1.7 现代恶意软件的传播技术 12
1.7.1 StormWorm 13
1.7.2 变形 14
1.7.3 混淆 16
1.7.4 动态域名服务 18
1.7.5 Fast Flux 19
1.8 恶意软件传播注入方向 20
1.8.1 电子邮件 20
1.8.2 恶意网站 23
1.8.3 网络仿冒 25
1.8.4 对等网络(P2P) 28
1.8.5 蠕虫 31
1.9 小结 32
第2章 恶意软件功能 33
2.1 恶意软件安装后会做什么 33
2.1.1 弹出窗口 33
2.1.2 搜索引擎重定向 36
2.1.3 数据盗窃 43
2.1.4 点击欺诈 45
2.1.5 身份盗窃 46
2.1.6 击键记录 49
2.1.7 恶意软件的表现 53
2.2 识别安装的恶意软件 55
2.2.1 典型安装位置 55
2.2.2 在本地磁盘上安装 56
2.2.3 修改时间戳 56
2.2.4 感染进程 57
2.2.5 禁用服务 57
2.2.6 修改Windows注册表 58
2.3 小结 58
第二部分 Rootkit
第3章 用户模式Rootkit 62
3.1 Rootkit 63
3.1.1 时间轴 64
3.1.2 Rootkit的主要特征 64
3.1.3 Rootkit的类型 66
3.2 用户模式Rootkit 67
3.2.1 什么是用户模式Rootkit 67
3.2.2 后台技术 68
3.2.3 注入技术 71
3.2.4 钩子技术 79
3.3 用户模式Rootkit实例 81
3.4 小结 87
第4章 内核模式Rootkit 88
4.1 底层:x86体系结构基础 89
4.1.1 指令集体系结构和操作系统 89
4.1.2 保护层次 89
4.1.3 跨越层次 90
4.1.4 内核模式:数字化的西部蛮荒 91
4.2 目标:Windows内核组件 92
4.2.1 Win32子系统 92
4.2.2 这些API究竟是什么 93
4.2.3 守门人:NTDLL.DLL 93
4.2.4 委员会功能:Windows Executive(NTOSKRNL.EXE) 94
4.2.5 Windows内核(NTOSKRNL.EXE) 94
4.2.6 设备驱动程序 94
4.2.7 Windows硬件抽象层(HAL) 95
4.3 内核驱动程序概念 95
4.3.1 内核模式驱动程序体系结构 96
4.3.2 整体解剖:框架驱动程序 97
4.3.3 WDF、KMDF和UMDF 98
4.4 内核模式Rootkit 99
4.4.1 内核模式Rootkit简介 99
4.4.2 内核模式Rootkit所面对的挑战 99
4.4.3 方法和技术 101
4.5 内核模式Rootkit实例 119
4.5.1 Clandestiny创建的Klog 119
4.5.2 Aphex创建的AFX 122
4.5.3 Jamie Butler、Peter Silberman和 C.H.A.O.S创建的FU和FUTo 124
4.5.4 Sherri Sparks 和 Jamie Butler创建的Shadow Walker 125
4.5.5 He4 Team创建的He4Hook 127
4.5.6 Honeynet项目创建的Sebek 130
4.6 小结 131
第5章 虚拟Rootkit 133
5.1 虚拟机技术概述 133
5.1.1 虚拟机类型 134
5.1.2 系统管理程序 135
5.1.3 虚拟化策略 136
5.1.4 虚拟内存管理 137
5.1.5 虚拟机隔离 137
5.2 虚拟机Rootkit技术 137
5.2.1 矩阵里的Rootkit:我们是怎么到这里的 138
5.2.2 什么是虚拟Rootkit 138
5.2.3 虚拟Rootkit的类型 139
5.2.4 检测虚拟环境 140
5.2.5 脱离虚拟环境 146
5.2.6 劫持系统管理程序 147
5.3 虚拟Rootkit实例 148
5.4 小结 153
第6章 Rootkit的未来 155
6.1 复杂性和隐蔽性的改进 156
6.2 定制的Rootkit 161
6.3 数字签名的Rootkit 162
6.4 小结 162
第三部分 预防技术
第7章 防病毒 167
7.1 现在和以后:防病毒技术的革新 167
7.2 病毒全景 168
7.2.1 病毒的定义 168
7.2.2 分类 169
7.2.3 简单病毒 170
7.2.4 复杂病毒 172
7.3 防病毒——核心特性和技术 173
7.3.1 手工或者“按需”扫描 174
7.3.2 实时或者“访问时”扫描 174
7.3.3 基于特征码的检测 175
7.3.4 基于异常/启发式检测 176
7.4 对防病毒技术的作用的评论 177
7.4.1 防病毒技术擅长的方面 177
7.4.2 防病毒业界的领先者 177
7.4.3 防病毒的难题 177
7.5 防病毒业界的未来 179
7.6 小结和对策 180
第8章 主机保护系统 182
8.1 个人防火墙功能 182
8.2 弹出窗口拦截程序 184
8.2.1 Chrome 185
8.2.2 Firefox 186
8.2.3 Microsoft Edge 187
8.2.4 Safari 187
8.2.5 一般的弹出式窗口拦截程序代码实例 187
8.3 小结 190
第9章 基于主机的入侵预防 191
9.1 HIPS体系结构 191
9.2 超过入侵检测的增长 193
9.3 行为与特征码 194
9.3.1 基于行为的系统 195
9.3.2 基于特征码的系统 196
9.4 反检测躲避技术 196
9.5 如何检测意图 200
9.6 HIPS和安全的未来 201
9.7 小结 202
第10章 Rootkit检测 203
10.1 Rootkit作者的悖论 203
10.2 Rootkit检测简史 204
10.3 检测方法详解 207
10.3.1 系统服务描述符表钩子 207
10.3.2 IRP钩子 208
10.3.3 嵌入钩子 208
10.3.4 中断描述符表钩子 208
10.3.5 直接内核对象操纵 208
10.3.6 IAT钩子 209
10.3.7 传统DOS或者直接磁盘访问钩子 209
10.4 Windows防Rootkit特性 209
10.5 基于软件的Rootkit检测 210
10.5.1 实时检测与脱机检测 211
10.5.2 System Virginity Verifier 212
10.5.3 IceSword 和DarkSpy 213
10.5.4 RootkitRevealer 215
10.5.5 F-Secure的Blacklight 215
10.5.6 Rootkit Unhooker 216
10.5.7 GMER 218
10.5.8 Helios 和Helios Lite 219
10.5.9 McAfee Rootkit Detective 221
10.5.10 TDSSKiller 223
10.5.11 Bitdefender Rootkit Remover 224
10.5.12 Trend Micro Rootkit Buster 225
10.5.13 Malwarebytes Anti-Rootkit 225
10.5.14 Avast aswMBR 225
10.5.15 商业Rootkit检测工具 225
10.5.16 使用内存分析的脱机检测:内存取证的革新 226
10.6 虚拟Rootkit检测 233
10.7 基于硬件的Rootkit检测 234
10.8 小结 235
第11章 常规安全实践 236
11.1 最终用户教育 236
11.2 了解恶意软件 237
11.3 纵深防御 239
11.4 系统加固 240
11.5 自动更新 240
11.6 虚拟化 241
11.7 固有的安全(从一开始) 242
11.8 小结 242
附录A 系统安全分析:建立你自己的Rootkit检测程序 243
“本书是《黑客曝光》系列的最新成员,它不是傻瓜书但易于理解,是该系列丛书成为畅销安全书籍的极好诠释。系统管理员和普通的计算机用户都可能需要面对成熟而隐秘的现代恶意软件,本书客观而清晰地揭示了这些威胁。”
——Brian Krebs,《华盛顿邮报》记者和《Security Fix》博客作者
“本书揭示了恶意软件可能的藏身之地,给出了寻找它们的方法。”
——Dan Kaminsky,IOActive公司渗透测试负责人
“作者用常见的术语和相关的实例说明了恶意软件这一计算机安全中深奥而具有多样性的问题。恶意软件是一种极端危险的黑客工具。作者坦率地描述恶意软件,以简单明了的技术洞察力说明其能力。本书内容很容易理解,即使博学的读者也能从中受益。”
——Christopher Jordan,McAfee Threat Intelligence副总裁,DHS Botnet Research主任
“记得期末复习的时候吗?指导老师重温整个学期所学到的所有重要问题,使你能够理解所有关键点,而又为你自己的钻研留下足够的参考。本书采用了和老师类似的做法!本书对新手和安全专家来说都是优秀的参考书,它不仅对所介绍的主题进行了详细解释,而且不会因为提供过多的信息而使安全新手畏缩不前。”
——Ron Dodge,美军中校
“本书提供了对恶意软件和Rootkit背景技术的独特视角,如果你负责计算机的安全,马上阅读本书吧!”
——Matt Conover,Symantec Research Labs高级主任软件工程师
《黑客曝光:恶意软件和Rootkit安全》第1版出版已经6年,在此期间,安全业界和黑客社区之间的“军备竞赛”仍在激烈地进行,如何做好准备,去迎接各种安全威胁的挑战呢?广大读者都期盼着本书的全面更新。
操作系统和安全软件的全面升级确实在一定程度上缓解了传统恶意软件的威胁,Windows 10的推出使微软操作系统逐渐摆脱了“最不安全系统”的恶名,反观对手,恶意软件和Rootkit似乎没有太多的新概念,我们可以高枕无忧了吗?
确实,恶意软件和Rootkit这些年来在形式上并没有太多的变化,但是在任何领域都是“道高一尺,魔高一丈”,第1版中介绍的各种恶意软件仍然可以“旧瓶装新酒”,演变出新的威胁,因此,本书的新版本不仅保留了第1版中丰富的信息,而且介绍了许多安全业界和黑客社区的新发展,帮助读者温故知新,更好地对抗网络中不知名的对手。
很高兴有机会再次翻译本书,希望新的版本能够为奋战在网络安全战线上的读者们带来更多的益处,也希望广大读者多提宝贵意见,在此感谢华章公司的吴怡编辑为翻译工作提供的帮助。

译者
2017年6月
计算机\安全
读者书评
发表评论



高级搜索
固态存储:原理、架构与数据安全
OpenStack高可用集群(上册):原理与架构
OpenStack高可用集群(下册):部署与运维


版权所有© 2017  北京华章图文信息有限公司 京ICP备08102525号 京公网安备110102004606号
通信地址:北京市百万庄南街1号 邮编:100037
电话:(010)68318309, 88378998 传真:(010)68311602, 68995260
高校教师服务
华章教育微信
诚聘英才
诚聘英才