Rootkit隱遁攻擊技術及其防范 ( 簡體 字) |
| 作者:張瑜 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:電子工業出版社 |  3dWoo書號: 45896
詢問書籍請說出此書號!【缺書】
NT售價: 290 元 |
| 出版日:1/1/2017 |
| 頁數:271 |
| 光碟數:0 |
|
站長推薦:  |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787121306181 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言:前 言
社會信息化與網絡泛在化已成為全球趨勢。無處不在、如影相隨的信息網絡,極大地改變了人們的生產與生活方式,深刻地影響著社會發展的方方面面。網絡和信息技術的加速滲透與深度應用,引發了人們對于網絡空間安全的擔憂。2014年成立的中央網絡安全和信息化領導小組,標志著網絡空間安全問題已提升為國家戰略。
近年來,網絡攻擊者(黑客)利用日益增強的網絡依賴性和不斷涌現的軟件漏洞,通過隱匿惡意軟件遠程滲透、潛伏并控制目標網絡系統,悄無聲息地竊取敏感信息、實施網絡犯罪并伺機發起網絡攻擊,獲取政治、經濟和軍事利益,已造成了嚴重的網絡安全威脅。
網絡犯罪的趨利化,促使網絡攻擊者不斷革新網絡攻擊理念,創新網絡攻擊方式,竭力占據網絡攻防的技術優勢。隱遁攻擊(Evasion Attacks)就是在此背景下出現并迅速發展起來的一種惡意網絡攻擊新形態,具有極大的破壞力。所謂隱遁攻擊,是指一種利用隱遁技術,通過偽裝或修飾網絡攻擊痕跡,以規避、阻礙信息安全系統檢測與取證的惡意網絡攻擊。攻擊者對已被滲透的目標網絡系統發動的隱遁攻擊,猶如隱形戰機在雷達未能有效探測的情況下發起的攻擊,如入無人之境,令人束手無策,安全威脅極大。
在各類隱遁攻擊方式中,Rootkit隱遁攻擊無疑最具威脅性,它鉤掛系統服務,調用、篡改系統內核數據,寓攻擊于無形之中,來無影去無蹤,攻擊威力極大。所謂Rootkit隱遁攻擊,是指借助尖端的Rootkit技術來隱匿自身及其攻擊痕跡,從而阻礙、規避取證分析的一種新型惡意網絡攻擊。其威脅性主要體現在兩個方面:?通過鉤掛系統服務調用以更改指令執行路徑,致使傳統的網絡安全防御工具難以檢測取證;?通過篡改系統內核數據,使其毫無察覺地潛伏于目標系統中多年,而用戶對此卻一無所知。
此類攻擊案例不勝枚舉,例如,2010年著名的黑客大會(Black Hat)上,Barnaby Jack 利用Rootkit隱遁技術,使ATM機狂吐現金,震撼全場;2012年波及全球的Flame攻擊,造成多數國家機密資料失竊,攻擊力極強;2013年震驚世界的美國“棱鏡計劃”,隱秘滲透目標系統并植入惡意軟件,實施暗中監控、竊取政情軍情,并發起定向隱遁攻擊,危害極大;2016年烏克蘭電網攻擊事件,黑客利用隱遁攻擊致使30座變電站停運,造成超過23萬名居民陷入無電可用的困境。這些網絡攻擊案例表明,黑客早已利用頂尖的Rootkit隱遁技術,通過先期滲透并潛伏于目標網絡系統中,竊取敏感信息、實施網絡犯罪、發起悄無聲息且破壞力巨大的隱遁攻擊,已成為一種非常嚴重的網絡安全威脅。
更為嚴重的是,為了規避、阻礙傳統的磁盤文件系統取證分析,Rootkit隱遁攻擊已開始采用駐留內存、偽裝內存等反取證對抗措施,造成無證可取、取得偽證等后果。主要體現在兩個方面:?駐留內存的Rootkit隱遁攻擊。此類攻擊表現為:無磁盤文件,Rootkit全部在內存中加載運行,目標機器關機后,實施攻擊的文件映像自我刪除、自動消失,致使無證可取。?偽裝內存的Rootkit隱遁攻擊。此類攻擊表現為:即使有磁盤文件,但其在內存中運行后便實施內存視圖偽裝,以蒙混欺騙相關實時檢測取證工具,致使取得偽證。因此,作為一種隱遁網絡攻防的有力武器,Rootkit及其防御技術已成為信息安全領域研究者所共同關注的熱點。從Rootkit隱遁攻擊的發展趨勢來看,對Rootkit隱遁攻擊進行深入研究與分析,已是大勢所趨、勢在必行。
然而,目前國內幾乎沒有關于Rootkit隱遁攻擊及其防范全面系統的論述,也幾乎沒有一部專門闡述Rootkit隱遁攻擊技術及防范的著作。在這種背景下,為了促成國內網絡空間安全技術的研究,重視Rootkit隱遁攻擊的理論指導作用和實踐應用效用,筆者結合自己多年來在網絡安全、惡意代碼取證及免疫計算等領域的研究與體會,特編撰拙著,以期拋磚引玉。
本書全面翔實地介紹了Rootkit的起源、定義、演化發展、檢測與取證分析,系統研究并總結了Rootkit隱遁攻擊技術的內在機理,包括硬件系統基礎、軟件系統基礎,以及Windows內核驅動程序設計等。并在此基礎上,深入研究探討了Rootkit隱遁攻擊技術的不同類型與應用場景,包括用戶層Rootkit、內核層Rootkit和底層Rootkit等。然后,從防御的角度探究了Rootkit隱遁攻擊的檢測與取證分析方法。因此,本書所涉主題有矛有盾、攻防兼備。從矛的方面來說,Rootkit隱遁攻擊技術的研究,為網絡空間進攻武器研發提供了研究思路;從盾的角度來說,Rootkit防御技術的研究,為檢測取證防御產品的研制提供了參考與借鑒。
全書分為9章。第1章為Rootkit概述,介紹了Rootkit的起源、定義和演化發展等;第2章討論了Rootkit的硬件系統基礎,介紹了保護模式及其執行環境、CPU特權級、內存分段與分頁,以及內存訪問控制體系等;第3章討論了Rootkit的軟件系統基礎,包括Windows設計原則、體系結構、分段與分頁,以及系統服務調用機制等;第4章從程序設計的角度闡述了Windows內核驅動程序設計及相關概念、原理,為Rootkit設計開發提供支撐;第5章討論了用戶層Rootkit原理及相關技術實現;第6章介紹了內核層Rootkit原理及相關技術實現;第7章討論了底層Rootkit的相關原理;第8章探討了Rootkit防御技術,包括Rootkit檢測與取證分析方法,并結合筆者的工作提出了一些新的思路與觀點;第9章為本書的結論部分,展望了Rootkit未來的發展方向與趨勢。
本書的研究與撰寫工作獲得了國家自然科學基金(編號:61262077、61462025)、國家留學基金委、海南省重點研發計劃項目(編號: ZDFY2016013)和海南師范大學學術專著出版基金等研究項目的資助。
本書從各種論文、書刊、期刊及網絡中引用了大量資料,有的已在參考文獻中列出,有的無法查證,在此謹向所有作者表示衷心的感謝!此外,衷心感謝美國Sam Houston State University的Qingzhong Liu博士,在筆者于2013─2014年在該校作訪問學者期間,在生活和科研上給予了很大的支持與幫助!真誠感謝四川大學計算機學院的李濤教授的栽培與教誨!感謝海南師范大學信息學院的羅自強博士、曹均闊博士、劉曉文博士、何書前博士的支持與幫助!
作 者
2016年9月 |
內容簡介:本書系統論述了Rootkit隱遁攻擊的概念、原理、應用技術及檢測取證。首先,簡要回顧了Rootkit的由來、定義、原理、類型及其演化。其次,闡述了Rootkit技術的基礎理論,包括硬件系統、軟件系統,以及Windows內核驅動程序設計。然后,重點探討了Rootkit攻擊技術的具體類型及其實現,包括用戶層Rootkit、內核層Rootkit、固件Rootkit及硬件Rootkit。最后,從防御的角度討論了Rootkit檢測與取證技術,以及Rootkit未來的發展趨勢。 本書取材新穎,聚焦前沿,內容豐富,可作為IT和安全專業人士的研究指導用書,同時也適合作為高等學校計算機安全專業本科、研究生的參考教材。 |
目錄:第1章 Rootkit概述 .....1
1.1 Rootkit的由來 ......1
1.2 Rootkit的定義 ......3
1.3 Rootkit的原理 ......3
1.3.1 計算機系統的抽象.....4
1.3.2 Rootkit設計理念 .....7
1.4 Rootkit的類型及其演化 ....8
1.5 本章小結 .....11
第2章 硬件系統 ......13
2.1 保護模式概述 .....13
2.2 保護模式執行環境 .....14
2.3 保護模式CPU特權級 .....18
2.4 保護模式內存分段與分頁 .....18
2.5 內存訪問控制體系 .....23
2.6 本章小結 .....24
第3章 軟件系統 ......25
3.1 Windows系統的設計原則.....25
3.2 Windows系統的體系結構.....26
3.3 Windows的分段與分頁.....27
3.4 Windows系統服務調用機制.....28
3.4.1 中斷分發.....30
3.4.2 異常分發.....32
3.4.3 系統服務分發.....33
3.5 本章小結 .....35
第4章 Windows內核驅動程序 .....37
4.1 概述 .....37
4.2 重要數據結構 .....41
4.2.1 IRP ......42
4.2.2 I/O堆棧 ......45
4.2.3 IRP的傳遞與完成 .....47
4.3 WDM驅動的基本結構 .....48
4.3.1 DriverEntry .....48
4.3.2 AddDevice.....53
4.3.3 IRP處理例程 .....54
4.3.4 Unload .....54
4.3.5 內核驅動程序實例.....54
4.4 本章小結 .....56
第5章 用戶層Rootkit .....57
5.1 用戶層Rootkit概述 .....57
5.2 用戶層Rootkit技術 .....58
5.2.1 IAT鉤子 .....58
5.2.2 Inline Function鉤子 .....69
5.2.3 DLL注入 ......75
5.2.4 DLL劫持 ......78
5.3 本章小結 .....85
第6章 內核層Rootkit .....87
6.1 內核層Rootkit概述 .....87
6.2 內核層Rootkit技術 .....88
6.2.1 系統表格鉤子.....89
6.2.2 映像修改.....129
6.2.3 過濾驅動程序.....139
6.2.4 直接內核對象操縱(DKOM) ....143
6.3 本章小結 .....145
第7章 底層Rootkit .....147
7.1 擴展的處理器模式 .....147
7.1.1 系統管理模式.....148
7.1.2 虛擬機技術.....149
7.2 固件 .....150
7.2.1 板載BIOS ......150
7.2.2 擴展ROM ......152
7.2.3 ACPI組件 .....152
7.2.4 UEFI組件 .....152
7.3 硬件 .....154
7.4 本章小結 .....154
第8章 Rootkit檢測與取證分析 .....155
8.1 Rootkit檢測概述 ......155
8.2 Rootkit檢測技術 ......158
8.2.1 IAT Hook檢測示例 .....159
8.2.2 IRP Hook檢測示例 ....160
8.2.3 IDT Hook檢測示例 .....162
8.2.4 MSR Hook檢測示例 .....165
8.2.5 SSDT Hook檢測示例 ....174
8.2.6 Inline Hook檢測示例 ....176
8.2.7 基于免疫的Rootkit檢測技術...177
8.3 Rootkit檢測工具 ......191
8.4 Rootkit取證分析 ......193
8.4.1 證據的獲取與存儲.....194
8.4.2 取證分析.....194
8.5 Rootkit取證工具 ......238
8.5.1 磁盤鏡像工具.....238
8.5.2 內存鏡像工具.....241
8.5.3 內存分析工具.....243
8.5.4 進程轉儲工具.....243
8.5.5 時間軸取證工具.....243
8.5.6 證據收集工具.....244
8.5.7 電子郵件取證工具.....244
8.5.8 大數據取證分析工具.....245
8.6 本章小結 .....246
第9章 Rootkit的未來 .....247
9.1 Rootkit的發展趨勢 ....247
9.2 Rootkit的防御方向 ....248
參考文獻 ......251 |
| 序: |
