 |
-- 會員 / 註冊 --
|
 |
|
|
|
利用Python開源工具分析惡意程式碼 ( 簡體 字) |
| 作者:[韓]趙?元等 | 類別:1. -> 程式設計 -> Python
2. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:人民郵電出版社 |  3dWoo書號: 48276
詢問書籍請說出此書號!【缺書】
NT售價: 495 元 |
| 出版日:1/1/2018 |
| 頁數:482 |
| 光碟數:0 |
|
站長推薦:  |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787115472984 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
| 前言: |
內容簡介:惡意程式碼分析過程中,重要的是掌握惡意程式碼的特徵,此時需要靈活運用線上服務的快速分析資料和主要惡意程式碼的資料庫。《利用Python開源工具分析惡意程式碼》從應對入侵事故一線業務人員角度出發,介紹了分析惡意程式碼時的Python 等眾多開源工具的使用方法,也給出了可以迅速應用於實際業務的解決方案。 |
目錄:
1 開源軟體與Python環境 1
1.1 關於開源軟體 2
如果管理人員熟悉開源軟體 2
1.2 Python簡介 3
1.3 搭建Python環境與程式發佈 3
1.3.1 在Windows下搭建Python環境 3
1.3.2 使用Eclipse與PyDev搭建Python開發環境 7
1.3.3 使用pyinstaller發佈程式 12
1.4 從Github網站下載開源工具 15
1.5 安裝Python模組 17
1.6 小結 19
2 通過peframe學習PE檔結構 20
2.1 PE檔結構 21
2.1.1 DOS Header結構體 23
2.1.2 DOS Stub Program 26
2.1.3 IMAGE_NT_HEADER結構體 26
2.2 分析peframe工具 28
2.2.1 IMPORT模組 29
2.2.2 預處理部分 30
2.2.3 分析main函數 35
2.2.4 peframe中的函數 40
2.3 惡意程式碼的特徵因數 136
2.3.1 殺毒結果 136
2.3.2 散列值 137
2.3.3 加殼器 138
2.3.4 節區名與熵 139
2.3.5 API 141
2.3.6 字串 143
2.3.7 PE中繼資料 144
2.4 小結 145
3 惡意程式碼分析服務 146
3.1 惡意程式碼分析環境 147
3.1.1 自動分析服務種類 147
3.1.2 惡意程式碼分析Live CD介紹 148
3.1.3 收集惡意程式碼 151
3.2 線上分析服務 166
3.2.1 VirusTotal服務 166
3.2.2 應用VirusTotal服務API 173
3.2.3 使用URLquery查看感染惡意程式碼的網站 188
3.2.4 使用hybrid-analysis分析惡意程式碼 190
3.3 小結 192
4 使用Cuckoo Sandbox 193
4.1 Cuckoo Sandbox定義 195
4.2 Cuckoo Sandbox特徵 196
4.3 安裝Cuckoo Sandbox 197
4.3.1 安裝Ubuntu 14.04 LTS 199
4.3.2 安裝VMware Tools 203
4.3.3 鏡像網站 205
4.3.4 安裝輔助包與庫 206
4.3.5 安裝必需包與庫 207
4.3.6 設置tcpdump 213
4.4 安裝沙箱 214
4.4.1 安裝沙箱 214
4.4.2 安裝增強功能 218
4.4.3 安裝Python與Python-PIL 219
4.4.4 關閉防火牆與自動更新 220
4.4.5 網路設置 221
4.4.6 設置附加環境 223
4.4.7 安裝Agent.py 224
4.4.8 生成虛擬機器備份 228
4.4.9 通過複製添加沙箱 229
4.5 設置Cuckoo Sandbox 232
4.5.1 設置cuckoo.conf 232
4.5.2 設置processing.conf 236
4.5.3 設置reporting.conf 238
4.5.4 設置virtualbox.conf 239
4.5.5 設置auxiliary.conf 242
4.5.6 設置memory.conf 243
4.6 運行Cuckoo Sandbox引擎 247
4.6.1 Community.py 248
4.6.2 使用最新Web介面 250
4.6.3 上傳分析檔 252
4.6.4 調試模式 255
4.6.5 使用經典Web介面 256
4.7 Cuckoo Sandbox報告 257
4.7.1 JSONdump報告 257
4.7.2 HTML報告 258
4.7.3 MMDef報告 259
4.7.4 MAEC報告 260
4.8 Api.py分析 262
4.8.1 POST-/tasks/create/file 263
4.8.2 POST-/tasks/create/url 264
4.8.3 GET- /tasks/list 264
4.8.4 GET-/tasks/view 266
4.8.5 GET- /tasks/delete 267
4.8.6 GET-/tasks/report 267
4.8.7 GET-/tasks/screenshots 269
4.8.8 GET-/files/view 269
4.8.9 GET-/files/get 270
4.8.10 GET-/pcap/get 270
4.8.11 GET-/machine/list 270
4.8.12 GET-/machines/view 272
4.8.13 GET-/cuckoo/status 272
4.9 Cuckoo Sandbox實用工具 273
4.9.1 clean.sh 273
4.9.2 process.py 274
4.9.3 stats.py 274
4.9.4 submit.py 275
4.10 分析結果 275
4.10.1 Quick Overview 276
4.10.2 Static Analysis 279
4.10.3 Behavioral Analysis 280
4.10.4 Network Analysis 281
4.10.5 Dropped Files 282
4.11 使用Volatility的記憶體分析結果 282
4.11.1 Process List 283
4.11.2 Services 284
4.11.3 Kernel Modules 285
4.11.4 Device Tree 285
4.11.5 Code Injection 286
4.11.6 Timers 286
4.11.7 Messagehooks 287
4.11.8 API Hooks 287
4.11.9 Callbacks 288
4.11.10 Yarascan 288
4.11.11 SSDT 288
4.11.12 IDT 289
4.11.13 GDT 289
4.12 Admin功能 290
4.13 比較功能 290
4.14 小結 292
5 惡意程式碼詳細分析 293
5.1 查看Cuckoo Sandbox分析結果 294
5.2 線上分析報告 295
5.3 手動詳細分析 296
5.4 小結 323
6 其他分析工具 324
6.1 使用viper分析與管理二進位檔案 325
6.1.1 安裝viper 325
6.1.2 使用viper 326
6.1.3 viper命令 327
6.1.4 模組 337
6.2 使用ClamAV對惡意程式碼分類 354
6.3 使用pyew管理與分析惡意程式碼 363
6.3.1 查看幫助 365
6.3.2 查看導入表 368
6.3.3 在VirusTotal中檢測檔 370
6.3.4 查看URL信息 371
6.3.5 檢測PDF檔 373
6.4 使用pescanner檢測惡意程式碼 379
6.4.1 使用Yara簽名進行檢測 381
6.4.2 檢測可疑API函數 383
6.4.3 查看熵值 385
6.5 使用PEStudio分析可疑檔 385
6.6 分析網路包 388
6.6.1 使用captipper分析網路包 388
6.6.2 使用pcap-analyzer分析網路包 390
6.6.3 使用net-creds獲取重要資訊 393
6.7 使用各種開源工具分析惡意程式碼檔 395
6.8 使用Docker容器 402
6.8.1 Docker定義 402
6.8.2 關於Docker Hub 403
6.8.3 使用REMnux Docker鏡像 405
6.9 小結 408
7 利用記憶體分析應對入侵事故 409
7.1 Volatility簡介與環境搭建 410
參考社區(維琪頁面) 415
7.2 使用Volatility分析惡意程式碼 416
7.3 開源工具:TotalRecall 424
7.4 使用Redline分析記憶體 433
7.5 Volatility外掛程式使用與推薦 441
7.6 使用Rekall進行記憶體取證分析 445
7.7 使用VolDiff比較記憶體分析結果 462
7.8 使用DAMM比較記憶體分析結果 471
7.9 惡意程式碼記憶體分析示例 474
7.10 通過攻擊模擬瞭解記憶體傾印用法 477
7.11 小結 482
|
| 序: |
|
