恶意软件分析诀窍与工具箱
¥ 17.86 2.6折 ¥ 69.8 九五品
仅1件
天津武清
认证卖家担保交易快速发货售后保障
作者(美)莱 等著,胡乔林,钟读航 译
出版社清华大学出版社
ISBN9787302274407
出版时间2012-01
版次1
装帧平装
开本16开
纸张胶版纸
页数584页
字数99999千字
定价69.8元
上书时间2024-04-24
商品详情
- 品相描述:九五品
- 商品描述
-
基本信息
书名:恶意软件分析诀窍与工具箱
定价:69.8元
作者:(美)莱 等著,胡乔林,钟读航 译
出版社:清华大学出版社
出版日期:2012-01-01
ISBN:9787302274407
字数:925000
页码:584
版次:1
装帧:平装
开本:16开
商品重量:
编辑推荐
内容提要
针对多种常见威胁的强大而循序渐进的解决方案 我们将《恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器》称为工具箱,是因为每个诀窍都给出了解决某个特定问题或研究某个给定威胁的原理和详细的步骤。在配书光盘中提供了补充资源,您可以找到相关的支持文件和原始程序。您将学习如何使用这些工具分析恶意软件,有些工具是作者自己开发的,另外数百个工具则是可以公开下载的。如果您的工作涉及紧急事件响应、计算机取证、系统安全或者反病毒研究,那么本书将会为您提供极大的帮助。 学习如何在不暴露身份的前提下进行在线调查 使用蜜罐收集由僵尸和蠕虫分布的恶意软件 分析javascript、pdf文件以及office文档中的可疑内容 使用虚拟或基础硬件建立一个低预算的恶意软件实验室 通用编码和加密算法的逆向工程 建立恶意软件分析的高级内存取证平台 研究主流的威胁,如zeus、silentbanker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
目录
《恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器》章 行为隐匿1.1 洋葱路由器(tor)1.2 使用tor研究恶意软件1.3 tor缺陷1.3.1 速度1.3.2 不可信赖的tor操作员1.3.3 tor阻止列表1.4 代理服务器和协议1.4.1 超文本传输协议(http)1.4.2 socks41.4.3 socks51.5 基于web的匿名代理1.6 保持匿名的替代方法1.6.1 蜂窝internet连接1.6.2 虚拟专用网1.7 且匿名第2章 蜜罐2.1 nepenthes蜜罐2.1.1 利用nepenthes收集恶意软件样本2.1.2 使用irc日志进行实时攻击监视2.1.3 使用基于python的 http接收nepenthes提交的文件2.2 使用dionaea蜜罐2.2.1 使用dionaea收集恶意软件样本2.2.2 使用基于python的http接收dionaea提交的文件2.2.3 实时事件通告以及使用xmpp共享二进制文件2.2.4 分析重放dionea记录的攻击2.2.5 使用p0f工具被动识别远程主机操作系统2.2.6 使用sqlite 和gnuplot绘制dionaea记录的攻击模式图第3章 恶意软件分类3.1 使用clamav分类3.1.1 检查现有clamav特征码3.1.2 创建自定义clamav特征码数据库3.2 使用yara分类3.2.1 将clamav特征码转换到yara格式特征码3.2.2 使用yara和peid识别加壳文件3.2.3 使用yara检测恶意软件的能力3.3 工具集成3.3.1 使用python识别文件类型及哈希算法3.3.2 编写python多杀毒扫描软件3.3.3 python中检测恶意pe文件3.3.4 使用ssdeep查找相似恶意软件3.3.5 使用ssdeep检测自修改代码3.3.6 使用ida和bindiff检测自修改代码第4章 沙箱和多杀毒扫描软件4.1 公用杀毒扫描软件4.1.1 使用virus total扫描文件4.1.2 使用jotti扫描文件4.1.3 使用novirusthanks扫描文件4.1.4 启用数据库的python多杀毒上传程序4.2 多杀毒扫描软件的比较4.3 公用沙箱分析4.3.1 使用threatexpert分析恶意软件4.3.2 使用cwsandbox分析恶意软件4.3.3 使用anubis分析恶意软件4.3.4 编写joebox autoit脚本4.3.5 使用joebox应对路径依赖型恶意软件4.3.6 使用joebox应对进程依赖型动态链接库4.3.7 使用joebox设置主动型http代理4.3.8 使用沙箱结果扫描项目第5章 域名与ip地址5.1 研究可疑域名5.1.1 利用whois研究域5.1.2 解析dns主机名5.2 研究ip地址5.3 使用被动dns和其他工具进行研究5.3.1 使用bfk查询被动dns5.3.2 使用robtex检查dns记录5.3.3 使用domaintools执行反向ip搜索5.3.4 使用dig启动区域传送5.3.5 使用dnsmap暴力攻击子域5.3.6 通过shadowserver将ip地址映射到as5.3.7 使用rbl检查ip信誉5.4 fast flux域名5.4.1 使用被动dns和ttl检测fast flux网络5.4.2 跟踪fast flux域名5.5 ip地址地理映射第6章 文档、shellcode和url6.1 分析javascript6.1.1 使用spidermonkey分析javascript6.1.2 使用jsunpack自动解码javascript6.1.3 优化jsunpack-n的解码速度和完整性6.1.4 通过模拟浏览器dom元素触发漏洞利用6.2 分析pdf文档6.2.1 使用pdf.py从pdf文件中提取javascript6.2.2 伪造pdf软件版本触发漏洞利用6.2.3 利用didier stevens的pdf工具集6.2.4 确定利用pdf文件中的哪些漏洞6.2.5 使用distorm反汇编shellcode6.2.6 使用iibemu模拟shellcode6.3 分析恶意office文档6.3.1 使用officemalscanner分析microsoft office文件6.3.2 使用disview和malhost-setup调试office shellcode6.4 分析网络流量6.4.1 使用jsunpack从报文捕获文件中提取http文件6.4.2 使用jsunpack绘制url关系图第7章 恶意软件实验室7.1 网络互联7.1.1 实验室中tcp/ip路由连接7.1.2 捕获、分析网络流量7.1.3 使用inetsim模拟internet7.1.4 使用burp套件操作http/https7.2 物理目标机7.2.1 使用joe stewart开发的truma7.2.2 使用deep freeze保护物理系统7.2.3 使用fog克隆和映像磁盘7.2.4 使用mysql数据库自动调度fog任务第8章 自动化操作8.1 恶意软件分析周期8.2 使用python实现自动化操作8.2.1 使用virtualbox执行自动化恶意软件分析8.2.2 分析virtualbox磁盘以及内存映像8.2.3 使用vmware执行自动化恶意软件分析8.3 添加分析模块8.3.1 在python中使用tshark捕获报文8.3.2 在python中使用inetsim收集网络日志8.3.3 使用volatility分析内存转储8.3.4 组合所有的沙箱块8.4 杂项系统8.4.1 使用zerowine和qemu执行自动化分析8.4.2 使用sandboxie和buster执行自动化分析第9章 动态分析9.1 变化检测9.1.1 使用process monitor记录api调用9.1.2 使用regshot进行变化检测9.1.3 接收文件系统变化通知9.1.4 接收注册表变化通知9.1.5 句柄表的差异比较9.1.6 使用handlediff研究代码注入9.1.7 观察bankpatch.c禁用windows文件保护的活动9.2 api监视/钩子9.2.1 使用microsoft detours构建api监视器9.2.2 使用api监视器追踪子进程9.2.3 捕获进程、线程和映像加载事件9.3 数据保护9.3.1 阻止进程终止9.3.2 阻止恶意软件删除文件9.3.3 阻止加载驱动程序9.3.4 使用数据保护模块9.3.5 使用reactos创建定制命令shell0章 恶意软件取证10.1 the sleuth kit(tsk)10.1.1 使用tsk发现备用数据流10.1.2 使用tsk检测隐藏文件和目录10.1.3 使用microsoft脱机api查找隐藏注册表数据10.2 取证/事件响应混合10.2.1 绕开poison ivy锁定的文件10.2.2 绕开conficker文件系统的acl限制10.2.3 使用gmer扫描rootkit10.2.4 通过检查ie的dom检测html注入10.3 注册表分析10.3.1 使用regripper插件对注册表取证10.3.2 检测恶意安装的pki证书10.3.3 检查泄露数据到注册表的恶意软件1章 调试恶意软件11.1 使用调试器11.1.1 打开和附加到进程11.1.2 为shellcode分析配置jit调试器11.1.3 熟悉调试器的图形用户界面11.1.4 检查进程内存和资源11.1.5 控制程序执行11.1.6 设置和捕获断点11.1.7 使用有条件的日志记录断点11.2 immunity debugger的python api接口11.2.1 使用python脚本和pycommand调试11.2.2 在二进制文件中检测shellcode11.2.3 调查silentbanker木马的api钩子11.3 winappdbg python调试器11.3.1 使用winappdbg工具操作进程内存11.3.2 使用winappdbg工具设计一个python api监视器2章 反混淆12.1 解码常见算法12.1.1 python中的逆向xor算法12.1.2 使用yaratize检测xor编码的数据12.1.3 使用特殊字母解码base6412.2 解密12.2.1 从捕获的数据包中隔离加密数据12.2.2 使用snd反向工具、findcrypt和kanal搜索加密机制12.2.3 使用zynamicindiff移植open ssl的符号12.2.4 在python中使用pycrypto解密数据12.3 恶意软件脱壳12.3.1 查找加壳恶意软件的oep12.3.2 使用lordpe转储进程内存12.3.3 使用imprec重建导入表12.4 与脱壳有关的资源12.5 调试器脚本12.5.1 破解域名生成算法12.5.2 使用x86emu和python解码字符串3章 处理dll13.1 枚举dll的导出函数13.1.1 cff explorer13.1.2 pefile13.1.3 ida pro13.1.4 常见和不常见的导出名13.2 使用rundll32.exe执行dll13.3 绕过宿主进程的限制13.4 使用rundll32ex远程调用dll导出函数13.4.1 创建新工具的原因13.4.2 使用rundll32ex13.5 使用loaddll.exe调试dll13.5.1 将dll加载到调试器中13.5.2 找到dll的入口点13.6 捕获dll入口点处的断点13.7 执行作为windows服务的dll13.7.1 服务dll的入口点13.7.2 服务初始化13.7.3 安装服务dll13.7.4 传递参数给服务13.8 将dll转换成独立的可执行文件4章 内核调试14.1 远程内核调试14.2 本地内核调试14.3 软件需求14.3.1 使用livekd进行本地调试14.3.2 启用内核调试启动开关14.3.3 调试vmware工作站客户机(在windows系统中)14.3.4 调试parallels客户机(在mac os x上)14.3.5 windbg命令和控制简介14.3.6 探索进程和进程上下文14.3.7 探索内核内存14.3.8 在驱动程序加载时捕捉断点14.3.9 脱壳驱动程序14.3.10 转储和重建驱动程序14.3.11 使用windbg脚本检测rootkit14.3.12 使用ida pro进行内核调试5章 使用volatility进行内存取证15.1 内存获取15.1.1 使用moonsols windows内存工具箱转储内存15.1.2 使用f-response获取远程、只读内存15.1.3 访问虚拟机的内存文件15.2 准备安装volatility15.2.1 volatility概览15.2.2 在内存转储中研究进程15.2.3 使用psscan检测dkom攻击15.2.4 研究csrss.exe的备用进程列表15.2.5 识别进程上下文的技巧6章 内存取证:代码注入与提取16.1 深入研究dll16.1.1 搜寻已加载的可疑dll16.1.2 使用ldr_modules检测未链接的dll16.2 代码注入和vad16.2.1 研究vad16.2.2 转换页面保护16.2.3 在进程内存中搜索证据16.2.4 使用malfind和yara识别注入代码16.3 重建二进制文件16.3.1 从内存中重建可执行文件的映像16.3.2 使用impscan扫描导入函数16.3.3 转储可疑的内核模块7章 内存取证:rootkit17.1 检测iat钩子17.2 检测eat钩子17.3 检测内联api钩子17.4 检测idt钩子17.5 检测驱动程序的irp钩子17.6 检测ssdt钩子17.6.1 ssdt的角色17.6.2 钩子和钩子检测17.7 使用ssdt_ex自动研究17.8 根据附加的内核线程搜索rootkit17.8.1 使用线程在内核中隐藏17.8.2 在内存转储中检测分离线程17.9 识别系统范围的通知例程17.9.1 找出检查的位置17.9.2 使用notifyroutines插件17.10 使用svscan定位恶意的服务进程17.10.1 恶意软件如何滥用服务17.10.2 scm的服务记录结构17.10.3 枚举进程内存中的服务17.10.4 blazgel木马的例子17.10.5 使用volatility的svcscan插件17.11 使用mutantscan扫描互斥体对象8章 内存取证:网络和注册表18.1 探索套接字和连接对象18.1.1 套接字和连接证据18.1.2 套接字和连接对象18.2 分析zeus留下的网络证据18.3 检测企图隐藏tcp/ip的活动18.3.1 扫描套接字和连接对象18.3.2 其他项目18.4 检测原始套接字和混杂模式的网络接口18.4.1 混杂模式的套接字18.4.2 检测混杂模式18.5 注册表分析18.5.1 使用内存注册表工具分析注册表证据18.5.2 通过最后写入时间戳排序注册表项18.5.3 使用volatility和reg-ripper
作者介绍
序言
-
【封面】
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价