黑客大曝光 恶意软件和Rootkit安全 原书第2版PDF|Epub|txt|kindle电子书版本网盘下载

黑客大曝光 恶意软件和Rootkit安全 原书第2版PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 恶意软件5

第1章 恶意软件传播5

1.1 恶意软件仍是王者5

1.2 恶意软件的传播现状5

1.3 为什么他们想要你的工作站6

1.4 难以发现的意图6

1.5 这是桩生意7

1.6 恶意软件传播的主要技术7

1.6.1 社会工程8

1.6.2 文件执行9

1.7 现代恶意软件的传播技术12

1.7.1 StormWorm13

1.7.2 变形14

1.7.3 混淆16

1.7.4 动态域名服务18

1.7.5 Fast Flux19

1.8 恶意软件传播注入方向20

1.8.1 电子邮件20

1.8.2 恶意网站23

1.8.3 网络仿冒25

1.8.4 对等网络（P2P）28

1.8.5 蠕虫31

1.9 小结32

第2章 恶意软件功能33

2.1 恶意软件安装后会做什么33

2.1.1 弹出窗口33

2.1.2 搜索引擎重定向36

2.1.3 数据盗窃43

2.1.4 点击欺诈45

2.1.5 身份盗窃46

2.1.6 击键记录49

2.1.7 恶意软件的表现53

2.2 识别安装的恶意软件55

2.2.1 典型安装位置55

2.2.2 在本地磁盘上安装56

2.2.3 修改时间戳56

2.2.4 感染进程57

2.2.5 禁用服务57

2.2.6 修改Windows注册表58

2.3 小结58

第二部分 Rootkit62

第3章 用户模式Rootkit62

3.1 Rootkit63

3.1.1 时间轴64

3.1.2 Rootkit的主要特征64

3.1.3 Rootkit的类型66

3.2 用户模式Rootkit67

3.2.1 什么是用户模式Rootkit67

3.2.2 后台技术68

3.2.3 注入技术71

3.2.4 钩子技术79

3.3 用户模式Rootkit实例81

3.4 小结87

第4章 内核模式Rootkit88

4.1 底层：x86体系结构基础89

4.1.1 指令集体系结构和操作系统89

4.1.2 保护层次89

4.1.3 跨越层次90

4.1.4 内核模式：数字化的西部蛮荒91

4.2 目标：Windows内核组件92

4.2.1 Win32子系统92

4.2.2 这些API究竟是什么93

4.2.3 守门人：NTDLL.DLL93

4.2.4 委员会功能：Windows Executive（NTOSKRNL.EXE）94

4.2.5 Windows内核（NTOSKRNL.EXE）94

4.2.6 设备驱动程序94

4.2.7 Windows硬件抽象层（HAL）95

4.3 内核驱动程序概念95

4.3.1 内核模式驱动程序体系结构96

4.3.2 整体解剖：框架驱动程序97

4.3.3 WDF、KMDF和UMDF98

4.4 内核模式Rootkit99

4.4.1 内核模式Rootkit简介99

4.4.2 内核模式Rootkit所面对的挑战99

4.4.3 方法和技术101

4.5 内核模式Rootkit实例119

4.5.1 Clandestiny创建的Klog119

4.5.2 Aphex创建的AFX122

4.5.3 Jamie Butler、Peter Silberman和C.H.A.O.S创建的FU和FUTo124

4.5.4 Sherri Sparks和Jamie Butler创建的Shadow Walker125

4.5.5 He4 Team创建的He4Hook127

4.5.6 Honeynet项目创建的Sebek130

4.6 小结131

第5章 虚拟Rootkit133

5.1 虚拟机技术概述133

5.1.1 虚拟机类型134

5.1.2 系统管理程序135

5.1.3 虚拟化策略136

5.1.4 虚拟内存管理137

5.1.5 虚拟机隔离137

5.2 虚拟机Rootkit技术137

5.2.1 矩阵里的Rootkit：我们是怎么到这里的138

5.2.2 什么是虚拟Rootkit138

5.2.3 虚拟Rootkit的类型139

5.2.4 检测虚拟环境140

5.2.5 脱离虚拟环境146

5.2.6 劫持系统管理程序147

5.3 虚拟Rootkit实例148

5.4 小结153

第6章 Rootkit的未来155

6.1 复杂性和隐蔽性的改进156

6.2 定制的Rootkit161

6.3 数字签名的Rootkit162

6.4 小结162

第三部分 预防技术167

第7章 防病毒167

7.1 现在和以后：防病毒技术的革新167

7.2 病毒全景168

7.2.1 病毒的定义168

7.2.2 分类169

7.2.3 简单病毒170

7.2.4 复杂病毒172

7.3 防病毒——核心特性和技术173

7.3.1 手工或者“按需”扫描174

7.3.2 实时或者“访问时”扫描174

7.3.3 基于特征码的检测175

7.3.4 基于异常／启发式检测176

7.4 对防病毒技术的作用的评论177

7.4.1 防病毒技术擅长的方面177

7.4.2 防病毒业界的领先者177

7.4.3 防病毒的难题177

7.5 防病毒业界的未来179

7.6 小结和对策180

第8章 主机保护系统182

8.1 个人防火墙功能182

8.2 弹出窗口拦截程序184

8.2.1 Chrome185

8.2.2 Firefox186

8.2.3 Microsoft Edge187

8.2.4 Safari187

8.2.5 一般的弹出式窗口拦截程序代码实例187

8.3 小结190

第9章 基于主机的入侵预防191

9.1 HIPS体系结构191

9.2 超过入侵检测的增长193

9.3 行为与特征码194

9.3.1 基于行为的系统195

9.3.2 基于特征码的系统196

9.4 反检测躲避技术196

9.5 如何检测意图200

9.6 HIPS和安全的未来201

9.7 小结202

第10章 Rootkit检测203

10.1 Rootkit作者的悖论203

10.2 Rootkit检测简史204

10.3 检测方法详解207

10.3.1 系统服务描述符表钩子207

10.3.2 IRP钩子208

10.3.3 嵌入钩子208

10.3.4 中断描述符表钩子208

10.3.5 直接内核对象操纵208

10.3.6 IAT钩子209

10.3.7 传统DOS或者直接磁盘访问钩子209

10.4 Windows防Rootkit特性209

10.5 基于软件的Rootkit检测210

10.5.1 实时检测与脱机检测211

10.5.2 System Virginity Verifier212

10.5.3 IceSword和DarkSpy213

10.5.4 RootkitRevealer215

10.5.5 F-Secure的Blacklight215

10.5.6 Rootkit Unhooker216

10.5.7 GMER218

10.5.8 Helios和Helios Lite219

10.5.9 McAfee Rootkit Detective221

10.5.10 TDSSKiller223

10.5.11 Bitdefender Rootkit Remover224

10.5.12 Trend Micro Rootkit Buster225

10.5.13 Malwarebytes Anti-Rootkit225

10.5.14 Avast aswMBR225

10.5.15 商业Rootkit检测工具225

10.5.16 使用内存分析的脱机检测：内存取证的革新226

10.6 虚拟Rootkit检测233

10.7 基于硬件的Rootkit检测234

10.8 小结235

第11章 常规安全实践236

11.1 最终用户教育236

11.2 了解恶意软件237

11.3 纵深防御239

11.4 系统加固240

11.5 自动更新240

11.6 虚拟化241

11.7 固有的安全（从一开始）242

11.8 小结242

附录A 系统安全分析：建立你自己的Rootkit检测程序243