黑客大曝光 恶意软件和Rootkit安全【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

黑客大曝光 恶意软件和Rootkit安全PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 恶意软件5

第1章 传染方法5

1.1这种安全设施可能确实有用5

1.1.1操作系统漏洞的减少6

1.1.2边界安全7

1.2为什么他们想要你的工作站8

1.3难以发现的意图8

1.4这是桩生意9

1.5重要的恶意软件传播技术10

1.5.1社会工程10

1.5.2文件执行12

1.6现代恶意软件的传播技术14

1.6.1 StormWorm（恶意软件实例：trojan.peacomm）15

1.6.2变形（恶意软件实例：W32.Evol、 W32.Simile）16

1.6.3混淆18

1.6.4动态域名服务（恶意软件实例：W32. Reatle.E @mm）21

1.6.5 Fast Flux（恶意软件实例：trojan.peacomm）21

1.7恶意软件传播注入方向23

1.7.1电子邮件23

1.7.2恶意网站25

1.7.3网络仿冒27

1.7.4对等网络（P2P）32

1.7.5蠕虫34

1.8本书配套网站上的实例36

1.9小结36

第2章 恶意软件功能37

2.1恶意软件安装后会做什么37

2.1.1弹出窗口37

2.1.2搜索引擎重定向41

2.1.3数据盗窃47

2.1.4单击欺诈48

2.1.5身份盗窃49

2.1.6击键记录52

2.1.7恶意软件的表现55

2.2识别安装的恶意软件57

2.2.1典型安装位置58

2.2.2在本地磁盘上安装58

2.2.3修改时间戳59

2.2.4感染进程59

2.2.5禁用服务59

2.2.6修改Windows注册表60

2.3小结60

第二部分 Rootkit64

第3章 用户模式Rootkit64

3.1维持访问权64

3.2隐身：掩盖存在65

3.3Rootkit的类型66

3.4时间轴66

3.5用户模式Rootkit67

3.5.1什么是用户模式Rootkit68

3.5.2后台技术68

3.5.3注入技术71

3.5.4钩子技术80

3.5.5用户模式Rootkit实例81

3.6小结88

第4章 内核模式Rootkit89

4.1底层：x86体系结构基础89

4.1.1指令集体系结构和操作系统90

4.1.2保护层次90

4.1.3跨越层次91

4.1.4内核模式：数字化的西部蛮荒92

4.2目标：Windows内核组件92

4.2.1 Win32子系统93

4.2.2这些API究竟是什么94

4.2.3守门人：NTDLL.DLL94

4.2.4委员会功能：WindowsExecutive（NTOSKRNL.EXE）94

4.2.5 Windows内核（NTOSKRNLEXE）95

4.2.6设备驱动程序95

4.2.7 Windows硬件抽象层（HAL）96

4.3内核驱动程序概念96

4.3.1内核模式驱动程序体系结构96

4.3.2整体解剖：框架驱动程序97

4.3.3 WDF、 KMDF和UMDF99

4.4内核模式Rootkit99

4.4.1内核模式Rootkit简介99

4.4.2内核模式Rootkit所面对的挑战100

4.4.3装入100

4.4.4得以执行101

4.4.5与用户模式通信101

4.4.6保持隐蔽性和持续性101

4.4.7方法和技术102

4.5内核模式Rootkit实例118

4.5.1 Clandestiny创建的Klog118

4.5.2 Aphex创建的AFX121

4.5.3 Jamie Butler、 Peter Silberman和C.H.A.O.S创建的FU和FUTo123

4.5.4 Sherri Sparks和Jamie Butler创建的Shadow Walker124

4.5.5 He4Team创建的He4Hook126

4.5.6 Honeynet项目创建的Sebek129

4.6小结129

第5章 虚拟Rootkit131

5.1虚拟机技术概述131

5.1.1虚拟机类型132

5.1.2系统管理程序132

5.1.3虚拟化策略134

5.1.4虚拟内存管理134

5.1.5虚拟机隔离135

5.2虚拟机Rootkit技术135

5.2.1矩阵里的Rootkit：我们是怎么到这里的135

5.2.2什么是虚拟Rootkit136

5.2.3虚拟Rootkit的类型136

5.2.4检测虚拟环境137

5.2.5脱离虚拟环境143

5.2.6劫持系统管理程序144

5.3虚拟Rootkit实例145

5.4小结150

第6章 Rootkit的未来：如果你现在认为情况严重151

6.1复杂性和隐蔽性的改进151

6.2定制的Rootkit157

6.3小结157

第三部分 预防技术163

第7章 防病毒163

7.1现在和以后：防病毒技术的革新163

7.2病毒全景164

7.2.1病毒的定义164

7.2.2分类165

7.2.3简单病毒166

7.2.4复杂病毒168

7.3防病毒——核心特性和技术169

7.3.1手工或者“按需”扫描169

7.3.2实时或者“访问时”扫描170

7.3.3基于特征码的检测170

7.3.4基于异常/启发式检测171

7.4对防病毒技术的作用的评论172

7.4.1防病毒技术擅长的方面172

7.4.2防病毒业界的领先者173

7.4.3防病毒的难题175

7.5防病毒曝光：你的防病毒产品是个Rootkit吗180

7.5.1在运行时修补系统服务181

7.5.2对用户模式隐藏线程182

7.5.3是一个缺陷吗183

7.6防病毒业界的未来184

7.6.1为生存而战斗184

7.6.2是行业的毁灭吗185

7.6.3可能替换防病毒的技术186

7.7小结和对策187

第8章 主机保护系统189

8.1个人防火墙功能189

8.1.1 McAfee190

8.1.2 Symantec191

8.1.3 Checkpoint192

8.1.4个人防火墙的局限性193

8.2弹出窗口拦截程序195

8.2.1 Internet Explorer195

8.2.2 Firefox195

8.2.3 Opera196

8.2.4 Safari196

8.2.5 Chrome196

8.2.6 一般的弹出式窗口拦截程序代码实例198

8.3小结201

第9章 基于主机的入侵预防202

9.1 HIPS体系结构202

9.2超过入侵检测的增长204

9.3行为与特征码205

9.3.1基于行为的系统206

9.3.2基于特征码的系统206

9.4反检测躲避技术207

9.5如何检测意图210

9.6 HIPS和安全的未来211

9.7小结212

第10章 Rootkit检测213

10.1 Rootkit作者的悖论213

10.2 Rootkit检测简史214

10.3检测方法详解216

10.3.1系统服务描述符表钩子216

10.3.2 IRP钩子217

10.3.3嵌入钩子217

10.3.4中断描述符表钩子218

10.3.5直接内核对象操纵218

10.3.6 IAT钩子218

10.4 Windows防 Rootkit特性218

10.5基于软件的Rootkit检测219

10.5.1实时检测与脱机检测220

10.5.2 System Virginity Verifier220

10.5.3 IceSword和DarkSpy221

10.5.4 RootkitRevealer223

10.5.5 F-Secure的Blacklight223

10.5.6 Rootkit Unhooker225

10.5.7 GMER226

10.5.8 Helios和Helios Lite227

10.5.9 McAfee Rootkit Detective230

10.5.10 商业Rootkit检测工具230

10.5.11使用内存分析的脱机检测：内存取证的革新231

10.6虚拟Rootkit检测237

10.7基于硬件的Rootkit检测238

10.8小结239

第11章 常规安全实践240

11.1最终用户教育240

11.2纵深防御242

11.3系统加固243

11.4自动更新243

11.5虚拟化244

11.6固有的安全（从一开始）245

11.7小结245

附录A 系统安全分析：建立你自己的Rootkit检测程序246