 |
-- 會員 / 註冊 --
|
 |
|
|
|
Rootkit:系統灰色地帶的潛伏者(原書第2版) ( 簡體 字) |
| 作者:(美)Bill Blunden | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵
2. |
| 譯者: |
| 出版社:機械工業出版社 |  3dWoo書號: 36852
詢問書籍請說出此書號!【缺書】
【不接受訂購】 |
| 出版日:10/10/2013 |
| 頁數:600 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
【不接受訂購】 | | ISBN:9787111441786 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
| 前言: |
內容簡介:Amazon五星級暢銷書,rootkit領域的重要著作,計算機安全領域公認經典。從反取證角度,深入、系統解讀rootkit的本質和核心技術,以及如何構建屬于自己的rootkit武器。包含大量模塊化示例,行文風趣幽默,頗具實戰性和可讀性。
全書共分四部分。第一部分(第1∼6章),全新闡釋rootkit
本質、rootkit與反取證關系、安全領域態勢,以及反取證技術的策略、應對建議和攻擊優勢。之后,從硬件、軟件(系統)、行業工具和內核空間方面介紹rootkit調查過程和利用反取證技術破壞調查過程的策略,使你對取證和反取證有全新了解。第二部分(第7∼8章),主要介紹rootkit如何阻止磁盤分析和可執行文件的分析,而調查人員如何利用有效的工具和策略來分析輔助存儲器(例如磁盤分析、卷分析、文件系統分析以及未知二進制分析)中可能留下的rootkit痕跡,并對內存駐留和多級釋放器技術及用戶態Exec(Userland
Exec)理念進行了深入剖析。第三部分(第9∼15章)主要詳解攻擊者利用rootkit破壞數據收集過程和造成“一切安好”的假象的前沿實用策略:阻止在線取證、內核模式策略、更改調用表、更改代碼、更改內核對象、創建隱秘通道和部署帶外rootkit。第四部分(第16章),高屋建瓴地重新總結了rootkit的核心策略,以及如何識別隱藏的rootkit、注意事項和如何處理感染等。 |
目錄:譯者序
獻給“孫悟空”
前言
第一部分基礎知識
第1章清空思想 / 1
1.1不速之客 / 1
1.2提煉一個更確切的定義 / 2
1.2.1攻擊循環 / 3
1.2.2rootkit在攻擊循環中的角色 / 4
1.2.3單級釋放器與多級釋放器 / 4
1.2.4其他部署方法 / 5
1.2.5確切的學術性定義 / 6
1.2.6不要混淆設計目標與實現 / 7
1.2.7rootkit技術——力量倍增器 / 7
1.2.8金·費爾比式比喻:破壞與毀壞 / 8
1.2.9為何使用隱身技術?rootkit不能被發現嗎 / 8
1.3rootkit不等于惡意軟件 / 9
1.3.1感染源 / 9
1.3.2廣告軟件和間諜軟件 / 10
1.3.3僵尸網絡的興起 / 10
1.3.4引入:愚人飛客病毒 / 11
1.3.5惡意軟件與rootkit / 11
1.4誰在開發和使用rootkit / 12
1.4.1市場營銷 / 12
1.4.2數字版權管理 / 12
1.4.3不是rootkit,而是種功能 / 13
1.4.4法律實施 / 13
1.4.5商業間諜 / 14
1.4.6政治間諜 / 14
1.4.7網絡犯罪 / 15
1.4.8誰開發了頗具藝術感的rootkit / 16
1.4.9rootkit的道德性 / 17
1.5懾魄驚魂:戰場傷員分類 / 17
1.6總結 / 21
第2章反取證綜述 / 22
2.1事件響應 / 23
2.1.1入侵檢測系統(和入侵防御系統) / 23
2.1.2異常行為 / 23
2.1.3發生故障 / 24
2.2計算機取證 / 24
2.2.1rootkit不是隱身的嗎?為什么還要進行反取證 / 24
2.2.2假定最糟糕案例的場景 / 25
2.2.3取證技術分類:第一種方法 / 26
2.2.4取證技術分類:第二種方法 / 26
2.2.5在線取證 / 27
2.2.6當關機不再是種選擇 / 28
2.2.7關于拔掉電源插頭的爭論 / 28
2.2.8崩潰轉儲或者不進行崩潰轉儲 / 28
2.2.9事后檢查分析 / 28
2.2.10非本地數據 / 29
2.3AF策略 / 29
2.3.1數據銷毀 / 30
2.3.2數據隱藏 / 30
2.3.3數據轉換 / 31
2.3.4數據偽造 / 31
2.3.5數據源消除 / 31
2.4AF技術的總體建議 / 31
2.4.1使用定制工具 / 31
2.4.2低且慢與焦土策略 / 32
2.4.3避免特定實例攻擊 / 32
2.4.4使用分層防御 / 33
2.5不明身份者具有優勢 / 33
2.5.1攻擊者能夠專注于攻擊 / 33
2.5.2防御者面臨制度性挑戰 / 33
2.5.3安全是一種過程(而且還是一種令人討厭的過程) / 34
2.5.4持續增加的復雜度 / 34
2.6總結 / 35
第3章硬件概述 / 36
3.1物理內存 / 36
3.2IA-32內存模型 / 38
3.2.1平面內存模型 / 38
3.2.2分段內存模型 / 38
3.2.3操作模式 / 39
3.3實模式 / 39
3.3.1案例研究:MS-DOS / 40
3.3.2這不是浪費時間嗎?為什么學習實模式 / 42
3.3.3實模式執行環境 / 42
3.3.4實模式中斷 / 44
3.3.5分段和程序控制 / 46
3.3.6案例研究:轉儲IVT / 47
3.3.7案例研究:用TSR記錄擊鍵 / 48
3.3.8案例研究:隱藏TSR / 52
3.3.9案例研究:為TREE.COM命令打補丁 / 56
3.3.10小結 / 58
3.4保護模式 / 59
3.4.1保護模式執行環境 / 59
3.4.2保護模式分段 / 61
3.4.3保護模式分頁 / 64
3.4.4地址擴展分頁 / 66
3.4.5進一步研究頁表 / 67
3.4.6進一步研究控制寄存器 / 68
3.5實現內存保護 / 70
3.5.1通過分段實現保護 / 70
3.5.2界限檢查 / 70
3.5.3類型檢查 / 70
3.5.4特權檢查 / 71
3.5.5受限指令檢查 / 72
3.5.6門描述符 / 72
3.5.7保護模式中斷表 / 75
3.5.8分頁保護 / 76
3.5.9總結 / 77
第4章系統概述 / 79
4.1Windows系統下的物理內存 / 80
4.1.1失落的大陸(內存) / 80
4.1.2Windows如何使用物理地址擴展 / 81
4.1.3頁、頁幀、頁幀號 / 82
4.2Windows下的分段和分頁 / 82
4.2.1分段 / 83
4.2.2分頁 / 84
4.2.3線性地址到物理地址的轉換 / 87
4.2.4一個更快的方法 / 88
4.2.5關于EPROCESS和KPROCESS的討論 / 88
4.3用戶空間和內核空間 / 89
4.3.14GB調優(4GT) / 90
4.3.2各得其所 / 91
4.3.3跨越籬笆 / 91
4.3.4用戶空間剖析 / 92
4.3.5內核空間動態分配 / 93
4.3.6地址窗口化擴展 / 94
4.3.7PAE、4GT和AWE的對比 / 94
4.4用戶模式和內核模式 / 94
4.4.1執行方式與執行位置 / 95
4.4.2內核模式組件 / 95
4.4.3用戶模式組件 / 98
4.5其他內存保護特征 / 99
4.5.1數據執行保護 / 100
4.5.2地址空間布局隨機化 / 103
4.5.3/GS 編譯選項 / 105
4.5.4/SAFESEH鏈接器選項 / 107
4.6本機API / 108
4.6.1中斷向量表的發展 / 108
4.6.2進一步研究中斷描述表 / 109
4.6.3通過中斷進行系統調用 / 110
4.6.4SYSENTER指令 / 110
4.6.5系統服務調度表 / 111
4.6.6枚舉本機API / 114
4.6.7Nt*( )系統調用與Zw*( )系統調用 / 114
4.6.8系統調用的生命周期 / 115
4.6.9其他內核模式例程 / 117
4.6.10內核模式API文檔 / 119
4.7引導過程 / 121
4.7.1BIOS固件啟動 / 121
4.7.2EFI固件啟動 / 122
4.7.3Windows啟動管理器 / 122
4.7.4Windows啟動加載器 / 124
4.7.5初始化執行體 / 125
4.7.6會話管理器 / 126
4.7.7wininit.exe / 128
4.7.8winlogon.exe / 128
4.7.9啟動過程概括 / 129
4.8設計決策 / 130
4.8.1藏在人群中:類型0 / 131
4.8.2主動隱藏:類型1和類型2 / 131
4.8.3跳出邊界:類型3 / 132
4.8.4前景展望 / 133
第5章行業工具 / 134
5.1開發工具 / 134
5.1.1診斷工具 / 135
5.1.2磁盤映像工具 / 135
5.1.3更快速救災:虛擬機 / 136
5.1.4工具綜述 / 137
5.2調試器 / 138
5.2.1配置CDB.exe / 139
5.2.2符號文件 / 140
5.2.3Windows符號 / 140
5.2.4激活CDB.exe / 141
5.2.5控制CDB.exe / 142
5.2.6有用的調試器命令 / 143
5.2.7檢查符號命令(x) / 143
5.2.8列舉已加載的模塊(lm和!lmi) / 144
5.2.9顯示類型命令(dt) / 146
5.2.10反匯編命令(u) / 146
5.2.11顯示命令(d*) / 147
5.2.12寄存器命令(r) / 148
5.3KD.exe內核調試器 / 148
5.3.1使用內核調試器的不同方法 / 148
5.3.2物理宿主機–目標機配置 / 150
5.3.3準備硬件 / 150
5.3.4準備軟件 / 152
5.3.5啟動內核調試會話 / 153
5.3.6控制目標機 / 154
5.3.7虛擬宿主機–目標機配置 / 155
5.3.8 有用的內核模式調試器命令 / 156
5.3.9列舉已加載模塊命令 / 156
5.3.10!process擴展命令 / 156
5.3.11寄存器命令(r) / 158
5.3.12使用崩潰轉儲 / 159
5.3.13方法1:PS/2鍵盤技巧 / 159
5.3.14方法2:KD.exe命令 / 160
5.3.15方法3:NotMyFault.exe / 161
5.3.16崩潰轉儲分析 / 161
第6章內核空間中的玄機 / 162
6.1KMD模板 / 162
6.1.1內核模式驅動程序:全局概覽 / 163
6.1.2WDK框架 / 164
6.1.3真正最小的KMD / 164
6.1.4處理IRP / 167
6.1.5與用戶模式代碼通信 / 171
6.1.6從用戶模式發送命令 / 174
6.2加載內核模式驅動程序 / 177
6.3服務控制管理器 / 177
6.3.1在命令行使用sc.exe / 177
6.3.2編程使用SCM / 179
6.3.3注冊表蹤跡 / 181
6.4使用導出驅動程序 / 181
6.5綜合利用內核中的漏洞 / 184
6.6Windows內核模式安全 / 185
6.6.1內核模式代碼簽名 / 185
6.6.2KMCS的應對措施 / 187
6.6.3內核補丁保護 / 189
6.6.4KPP的應對措施 / 189
6.7同步 / 190
6.7.1中斷請求級 / 190
6.7.2延遲過程調用 / 193
6.7.3實現 / 193
6.8總結 / 198
第二部分事?后?分?析
第7章阻止磁盤分析 / 199
7.1事后調查:概述 / 199
7.2取證副本 / 200
7.3卷分析 / 202
7.3.1Windows下的存儲卷 / 203
7.3.2手工分析卷 / 204
7.3.3應對措施:破壞分區表 / 205
7.3.4Windows下的原始磁盤訪問 / 205
7.3.5原始磁盤訪問:突破常規 / 206
7.4文件系統分析 / 208
7.4.1恢復刪除的文件 / 209
7.4.2恢復刪除的文件:應對措施 / 209
7.4.3枚舉可選數據流 / 210
7.4.4枚舉可選數據流: 應對措施 / 212
7.4.5恢復文件系統對象 / 212
7.4.6恢復文件系統對象:應對措施 / 212
7.4.7帶外隱藏 / 213
7.4.8帶內隱藏 / 217
7.4.9引入:FragFS / 225
7.4.10應用層隱藏 / 226
7.4.11獲取元數據 / 226
7.4.12獲取元數據:應對措施 / 229
7.4.13改變時間戳 / 230
7.4.14改變校驗和 / 232
7.4.15識別已知文件 / 232
7.4.16交叉時間差異與交叉視圖差異 / 233
7.4.17識別已知文件:應對措施 / 234
7.5文件簽名分析 / 235
7.6總結 / 236
第8章阻止可執行文件分析 / 237
8.1?靜態分析 / 237
8.1.1掃描相關人工痕跡 / 237
8.1.2驗證數字簽名 / 238
8.1.3轉儲字符串數據 / 239
8.1.4檢查文件頭 / 239
8.1.5反匯編和反編譯 / 240
8.2破壞靜態分析 / 242
8.2.1數據轉換:加殼 / 242
8.2.2加殼:加密程序 / 243
8.2.3密鑰管理 / 249
8.2.4加殼:壓縮程序 / 249
8.2.5加殼:變形代碼 / 251
8.2.6定制工具的需求 / 253
8.2.7關于加殼的爭論 / 254
8.2.8數據偽造 / 254
8.2.9虛旗攻擊 / 256
8.2.10數據源清除:多級加載器 / 256
8.2.11深度防御 / 257
8.3運行時分析 / 258
8.3.1運行環境 / 258
8.3.2手工與自動運行時分析 / 260
8.3.3手工分析:基本概要 / 260
8.3.4手工分析:跟蹤 / 261
8.3.5手工分析:內存轉儲 / 263
8.3.6手工分析:捕捉網絡活動 / 264
8.3.7自動化分析 / 265
8.3.8運行時復合分析 / 266
8.4破壞運行時分析 / 267
8.4.1跟蹤的應對措施 / 267
8.4.2API跟蹤:規避迂回補丁 / 268
8.4.3API跟蹤:多級加載器 / 272
8.4.4指令級跟蹤:攻擊調試器 / 273
8.4.5斷點 / 273
8.4.6檢測用戶模式調試器 / 273
8.4.7檢測內核模式調試器 / 276
8.4.8檢測用戶模式調試器或者內核模式調試器 / 276
8.4.9通過代碼校驗和檢測調試器 / 277
8.4.10關于反調試器技術的爭論 / 278
8.4.11指令級跟蹤:混淆 / 278
8.4.12混淆應用數據 / 278
8.4.13混淆應用代碼 / 279
8.4.14阻止自動化 / 282
8.4.15應對運行時復合分析 / 282
8.5總結 / 283
第三部分在?線?取?證
第9章阻止在線取證 / 285
9.1在線取證:基本過程 / 290
9.2用戶模式加載器 / 294
9.2.1UML破壞現有的API / 294
9.2.2關于加載器API模塊的爭論 / 295
9.2.3縱覽Windows PE文件格式 / 296
9.2.4相對虛擬地址 / 296
9.2.5PE文件頭 / 297
9.2.6導入數據節(.idata) / 300
9.2.7基址重定位節(.reloc) / 302
9.2.8實現獨立的UML / 303
9.3最小化加載器蹤跡 / 307
9.3.1數據節育:獻給The Grugq的頌歌 / 307
9.3.2下一步:通過漏洞利用程序加載 / 308
9.4關于獨立PE加載器的爭論 / 308
第10章用C語言創建shellcode / 309
10.1用戶模式shellcode / 311
10.1.1Visual Studio工程設置 / 312
10.1.2使用相對地址 / 313
10.1.3尋找kernel32.dll:通往TEB和PEB的旅程 / 316
10.1.4擴展地址表 / 321
10.1.5解析kernel32.dll導出表 / 322
10.1.6提取shellcode / 325
10.1.7危險空間 / 327
10.1.8構建自動化 / 329
10.2內核模式shellcode / 329
10.2.1工程設置:$(NTMAKEENV)\makefile.new / 330
10.2.2工程設置:SOURCES / 331
10.2.3地址解析 / 332
10.2.4加載內核模式shellcode / 334
10.3特殊武器和策略 / 337
10.4展望 / 338
第11章更改調用表 / 340
11.1在用戶空間掛鉤:IAT / 342
11.1.1DLL基礎 / 342
11.1.2訪問導出例程 / 344
11.1.3注入DLL / 345
11.1.4走查磁盤上PE文件的IAT / 349
11.1.5掛鉤IAT / 354
11.2內核空間的調用表 / 357
11.3掛鉤IDT / 358
11.3.1處理多處理器:方案#1 / 359
11.3.2裸例程 / 363
11.3.3關于掛鉤IDT的問題 / 365
11.4掛鉤處理器MSR / 366
11.5掛鉤SSDT / 372
11.5.1禁用WP位:技巧#1 / 373
11.5.2禁用WP位:技巧#2 / 374
11.5.3掛鉤SSDT項 / 376
11.5.4SSDT示例:跟蹤系統調用 / 377
11.5.5SSDT示例:隱藏進程 / 380
11.5.6SSDT示例:隱藏網絡連接 / 385
11.6掛鉤IRP處理程序 / 385
11.7掛鉤GDT:安裝調用門 / 387
11.8掛鉤的應對措施 / 395
11.8.1檢查內核模式掛鉤 / 396
11.8.2檢查IA32_SYSENTER_EIP / 398
11.8.3檢查 INT 0x2E / 399
11.8.4檢查 SSDT / 401
11.8.5檢查IRP處理程序 / 402
11.8.6檢查用戶模式鉤子 / 404
11.8.7解析PEB:第1部分 / 406
11.8.8解析PEB:第2部分 / 408
11.9反應對措施 / 408
11.9.1假設最壞的案例 / 409
11.9.2最壞案例應對措施#1 / 409
11.9.3最壞案例應對措施#2 / 409
第12章更改代碼 / 410
12.1跟蹤調用 / 415
12.1.1迂回實現 / 418
12.1.2獲取NtSetValueKey()的地址 / 421
12.1.3初始化補丁元數據結構 / 421
12.1.4對照已知簽名核實原始機器碼 / 423
12.1.5保存原始序言和尾聲代碼 / 423
12.1.6更新補丁元數據結構 / 423
12.1.7鎖定訪問并禁用寫保護 / 424
12.1.8注入迂回 / 424
12.1.9序言迂回 / 425
12.1.10尾聲迂回 / 426
12.1.11事后總結 / 430
12.2破壞組策略 / 430
12.2.1迂回實現 / 432
12.2.2初始化補丁元數據結構 / 432
12.2.3尾聲迂回 / 433
12.2.4將注冊表值映射到組策略 / 436
12.3繞過內核模式API記錄器 / 437
12.3.1故障安全規避 / 438
12.3.2更上一層樓 / 441
12.4指令補丁應對措施 / 441
第13章更改內核對象 / 442
13.1隱形的代價 / 442
13.1.1問題#1:陡峭的學習曲線 / 442
13.1.2問題#2:并發性 / 443
13.1.3問題#3:可移植性和指針運算 / 443
13.1.4特有技術:DKOM / 445
13.1.5對象 / 445
13.2再訪EPROCESS對象 / 446
13.2.1獲取EPROCESS指針 / 446
13.2.2EPROCESS相關域 / 448
13.2.3UniqueProcessId / 448
13.2.4ActiveProcessLinks / 448
13.2.5Token / 449
13.2.6ImageFileName / 450
13.3DRIVER_SECTION對象 / 450
13.4令牌對象 / 452
13.4.1Windows授權 / 452
13.4.2定位令牌對象 / 455
13.4.3令牌對象中的相關域 / 457
13.5隱藏進程 / 460
13.6隱藏驅動程序 / 464
13.7操縱訪問令牌 / 467
13.8使用No-FU / 470
13.9內核模式回調 / 472
13.10應對措施 / 475
13.10.1交叉視圖檢測 / 475
13.10.2高級枚舉:CreateToolhelp32Snapshot() / 475
13.10.3高級枚舉:PID暴力 / 477
13.10.4低級枚舉:進程 / 480
13.10.5低級枚舉:線程 / 481
13.10.6相關軟件 / 487
13.10.7域校驗和 / 488
13.11反應對措施 / 488
13.11.1最好的防護:餓死對手 / 489
13.11.2評論:超越雙環模型 / 489
13.11.3最后一道防線 / 490
第14章隱秘通道 / 491
14.1普通惡意軟件通道 / 491
14.1.1互聯網中繼聊天 / 491
14.1.2對等通信 / 492
14.1.3HTTP / 492
14.2最壞案例場景:截獲所有數據內容 / 495
14.2.1協議隧道 / 495
14.2.2DNS / 496
14.2.3ICMP / 496
14.2.4外圍設備問題 / 498
14.3Windows TCP/IP棧 / 499
14.3.1Windows Sockets 2 / 499
14.3.2原始套接字 / 500
14.3.3Winsock內核API / 501
14.3.4NDIS / 502
14.3.5不同任務使用不同的工具 / 503
14.4DNS隧道 / 504
14.4.1DNS查詢 / 504
14.4.2DNS應答 / 506
14.5DNS隧道:用戶模式 / 507
14.6DNS隧道:WSK實現 / 511
14.6.1初始化應用程序的上下文 / 517
14.6.2創建內核模式套接字 / 517
14.6.3確定本地傳輸地址 / 519
14.6.4綁定套接字與傳輸地址 / 520
14.6.5設置遠程地址(C2客戶端) / 521
14.6.6發送DNS查詢 / 522
14.6.7接收DNS應答 / 523
14.7NDIS協議驅動程序 / 525
14.7.1創建并運行NDISProt6.0示例 / 526
14.7.2客戶端代碼概要 / 528
14.7.3驅動程序代碼概要 / 531
14.7.4Protocol*()例程 / 533
14.7.5缺失的特征 / 537
14.8被動的隱秘通道 / 538
第15章?轉到帶外 / 540
15.1?附加處理器模式 / 541
15.1.1系統管理模式 / 542
15.1.2流氓管理程序 / 546
15.1.3白帽成員對策 / 548
15.1.4流氓管理程序與SMM rootkit / 549
15.2固件 / 550
15.2.1主板BIOS / 550
15.2.2ACPI組件 / 551
15.2.3擴展ROM / 552
15.2.4UEFI固件 / 553
15.3遠程管理設施 / 554
15.4不太明顯的備用方案 / 554
15.4.1板載閃存 / 555
15.4.2電路級伎倆 / 555
15.5總結 / 556
第四部分結?束?語
第16章rootkit之道 / 559
16.1核心策略 / 563
16.1.1尊重你的對手 / 563
16.1.2五指穿心掌 / 563
16.1.3忍耐強行奪取的欲望 / 564
16.1.4研究你的目標 / 564
16.2識別隱藏之門 / 564
16.2.1對付專有系統 / 565
16.2.2監視內核 / 565
16.2.3重要特點:硬件是新軟件 / 566
16.2.4充分利用現有研究 / 566
16.3建筑領域的訓誡 / 566
16.3.1首先加載,深度加載 / 566
16.3.2為自主性而奮斗 / 567
16.3.3Butler Lampson:策略與機制分離 / 567
16.4設計rootkit / 567
16.4.1隱身與開發努力 / 568
16.4.2使用定制工具 / 568
16.4.3穩定性很重要:致力于最佳實踐 / 568
16.4.4逐步提高 / 569
16.4.5容錯移轉:自我修復的rootkit / 570
16.5處理感染 / 570 |
| 序: |
|
