黑客大曝光:恶意软件和Rootkit安全
2020-03-19 15:12:16 0 举报
AI智能生成
黑客大曝光:恶意软件和Rootkit安全
作者其他创作
大纲/内容
第一部分 恶意软件
1 传染方法
1.1 这种安全设施可能确实有用
1.1.1 操作系统漏洞的减少
1.1.2 边界安全
1.2 为什么他们想要你的工作站
1.3 难以发现的意图
1.4 这是桩生意
1.5 重要的恶意软件传播技术
1.5.1 社会工程
1.5.2 文件执行
1.6 现代恶意软件的传播技术
1.6.1 StormWorm(恶意软件实例:trojan.peacomm)
1.6.2 变形(恶意软件实例:W32.Evol、W32.Simile)
1.6.3 混淆
1.6.4 动态域名服务(恶意软件实例:W32.Reatle.E@mm)
1.6.5 Fast Flux(恶意软件实例:trojan.peacomm)
1.7 恶意软件传播注入方向
1.7.1 电子邮件
1.7.2 恶意网站
1.7.3 网络仿冒
1.7.4 对等网络(P2P)
1.7.5 蠕虫
1.8 本书配套网站上的实例
1.9 小结
2 恶意软件功能
2.1 恶意软件安装后会做什么
2.1.1 弹出窗口
2.1.2 搜索引擎重定向
2.1.3 数据盗窃
2.1.4 单击欺诈
2.1.5 身份盗窃
2.1.6 击键记录
2.1.7 恶意软件的表现
2.2 识别安装的恶意软件
2.2.1 典型安装位置
2.2.2 在本地磁盘上安装
2.2.3 修改时间戳
2.2.4 感染进程
2.2.5 禁用服务
2.2.6 修改Windows注册表
2.3 小结
第二部分 Rootkit
3 用户模式Rootkit
3.1 维持访问权
3.2 隐身:掩盖存在
3.3 Rootkit的类型
3.4 时间轴
3.5 用户模式Rootkit
3.5.1 什么是用户模式Rootkit
3.5.2 后台技术
3.5.3 注入技术
3.5.4 钩子技术
3.5.5 用户模式Rootkit实例
3.6 小结
4 内核模式Rootkit
4.1 底层:x86体系结构基础
4.1.1 指令集体系结构和操作系统
4.1.2 保护层次
4.1.3 跨越层次
4.1.4 内核模式:数字化的西部蛮荒
4.2 目标:Windows内核组件
4.2.1 Win32子系统
4.2.2 这些API究竟是什么
4.2.3 守门人:NTDLL.DLL
4.2.4 委员会功能:Windows Executive(NTOSKRNL.EXE)
4.2.5 Windows内核(NTOSKRNL.EXE)
4.2.6 设备驱动程序
4.2.7 Windows硬件抽象层(HAL)
4.3 内核驱动程序概念
4.3.1 内核模式驱动程序体系结构
4.3.2 整体解剖:框架驱动程序
4.3.3 WDF、KMDF和UMDF
4.4 内核模式Rootkit
4.4.1 内核模式Rootkit简介
4.4.2 内核模式Rootkit所面对的挑战
4.4.3 装入
4.4.4 得以执行
4.4.5 与用户模式通信
4.4.6 保持隐蔽性和持续性
4.4.7 方法和技术
4.5 内核模式Rootkit实例
4.5.1 Clandestiny创建的Klog
4.5.2 Aphex创建的AFX
4.5.3 Jamie Butler、Peter Silberman和C.H.A.O.S创建的FU和FUTo
4.5.4 Sherri Sparks和Jamie Butler创建的Shadow Walker
4.5.5 He4 Team创建的He4Hook
4.5.6 Honeynet项目创建的Sebek
4.6 小结
5 虚拟Rootkit
5.1 虚拟机技术概述
5.1.1 虚拟机类型
5.1.2 系统管理程序
5.1.3 虚拟化策略
5.1.4 虚拟内存管理
5.1.5 虚拟机隔离
5.2 虚拟机Rootkit技术
5.2.1 矩阵[1]里的Rootkit:我们是怎么到这里的
5.2.2 什么是虚拟Rootkit
5.2.3 虚拟Rootkit的类型
5.2.4 检测虚拟环境
5.2.5 脱离虚拟环境
5.2.6 劫持系统管理程序
5.3 虚拟Rootkit实例
5.4 小结
6 Rootkit的未来:如果你现在认为情况严重
6.1 复杂性和隐蔽性的改进
6.2 定制的Rootkit
6.3 小结
第三部分 预防技术
7 防病毒
7.1 现在和以后:防病毒技术的革新
7.2 病毒全景
7.2.1 病毒的定义
7.2.2 分类
7.2.3 简单病毒
7.2.4 复杂病毒
7.3 防病毒——核心特性和技术
7.3.1 手工或者“按需”扫描
7.3.2 实时或者“访问时”扫描
7.3.3 基于特征码的检测
7.3.4 基于异常/启发式检测
7.4 对防病毒技术的作用的评论
7.4.1 防病毒技术擅长的方面
7.4.2 防病毒业界的领先者
7.4.3 防病毒的难题
7.5 防病毒曝光:你的防病毒产品是个Rootkit吗
7.5.1 在运行时修补系统服务
7.5.2 对用户模式隐藏线程
7.5.3 是一个缺陷吗
7.6 防病毒业界的未来
7.6.1 为生存而战斗
7.6.2 是行业的毁灭吗
7.6.3 可能替换防病毒的技术
7.7 小结和对策
8 主机保护系统
8.1 个人防火墙功能
8.1.1 McAfee
8.1.2 Symantec
8.1.3 Checkpoint
8.1.4 个人防火墙的局限性
8.2 弹出窗口拦截程序
8.2.1 Internet Explorer
8.2.2 Firefox
8.2.3 Opera
8.2.4 Safari
8.2.5 Chrome
8.2.6 一般的弹出式窗口拦截程序代码实例
8.3 小结
9 基于主机的入侵预防
9.1 HIPS体系结构
9.2 超过入侵检测的增长
9.3 行为与特征码
9.3.1 基于行为的系统
9.3.2 基于特征码的系统
9.4 反检测躲避技术
9.5 如何检测意图
9.6 HIPS和安全的未来
9.7 小结
10 Rootkit检测
10.1 Rootkit作者的悖论
10.2 Rootkit检测简史
10.3 检测方法详解
10.3.1 系统服务描述符表钩子
10.3.2 IRP钩子
10.3.3 嵌入钩子
10.3.4 中断描述符表钩子
10.3.5 直接内核对象操纵
10.3.6 IAT钩子
10.4 Windows防Rootkit特性
10.5 基于软件的Rootkit检测
10.5.1 实时检测与脱机检测
10.5.2 System Virginity Verifier
10.5.3 IceSword和DarkSpy
10.5.4 RootkitRevealer
10.5.5 F-Secure的Blacklight
10.5.6 Rootkit Unhooker
10.5.7 GMER
10.5.8 Helios和Helios Lite
10.5.9 McAfee Rootkit Detective
10.5.10 商业Rootkit检测工具
10.5.11 使用内存分析的脱机检测:内存取证的革新
10.6 虚拟Rootkit检测
10.7 基于硬件的Rootkit检测
10.8 小结
11 常规安全实践
11.1 最终用户教育
11.2 纵深防御
11.3 系统加固
11.4 自动更新
11.5 虚拟化
11.6 固有的安全(从一开始)
11.7 小结
附录A 系统安全分析:建立你自己的Rootkit检测程序
A.1 什么是系统完整性分析
A.2 完整性分析中的两个“P”
A.2.1 指针验证:检测SSDT钩子
A.2.2 SSDT中的修补/detour检测
A.3 检测IRP钩子的两个P
A.4 检测IAT钩子的两个“P”
A.5 我们的第三种技术:检测DKOM
A.6 Rootkit检测工具样例
对本书的赞誉
导航
关于网站
技术编辑简介
0 条评论
下一页