{正版现货新书} EDR逃逸的艺术:终端防御规避技术全解 9787115675590 (美) 马特·汉德 (Matt Hand) , 著
全新正版现货,以书名为准,放心购买,购书咨询18515909251朱老师
¥ 59.03 5.9折 ¥ 99.8 全新
库存68件
北京丰台
作者(美) 马特·汉德 (Matt Hand) , 著
出版社人民邮电出版社
ISBN9787115675590
出版时间2024-03
装帧平装
开本16开
定价99.8元
货号18362232
上书时间2025-12-11
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
马特·汉德(Matt Hand)是资深的进攻型安全专家,专攻规避技术与漏洞研究,擅长 攻防演练的设计和执行。他的安全领域职业生涯是从一家小型托管公司的安全运营中心开始的。此后,他主要担任红队工程师,主导针对全球多家顶级机构的攻击演练。
目录
目录 第 1 章 EDR 架构 1 11 EDR 的组件 1 111 代理 1 112 遥测数据 2 113 传感器 3 114 检测 3 12 规避 EDR 的挑战 4 13 识别恶意活动 5 131 考虑上下文 5 132 脆弱检测与鲁棒检测的应用 6 133 探索弹性检测规则 7 14 代理设计 9 141 基础设计 9 142 中级设计 10 143 高级设计 11 15 绕过类型 12 16 关联规避技术:一次攻击示例 13 17 总结 15 第 2 章 函数挂钩 DLL 16 21 函数挂钩的工作原理 16 211 使用 Microsoft Detours 实现挂钩 18 目录 2 212 注入 DLL 21 22 检测函数挂钩 22 23 规避函数挂钩 24 231 直接系统调用 24 232 动态解析系统调用编号 27 233 重新映射 ntdlldll 28 24 总结 32 第 3 章 进程与线程创建通知 33 31 通知回调例程的工作原理 33 32 进程通知 34 321 注册进程回调例程 35 322 查看系统上注册的回调例程 36 323 收集进程创建信息 37 33 线程通知 39 331 注册线程回调例程 39 332 检测远程线程创建 40 34 规避进程和线程创建回调 42 341 命令行篡改 42 342 伪造父进程 ID 46 343 进程镜像修改 50 35 一个进程注入案例研究:fork&run 60 36 结论 62 第 4 章 对象通知 63 41 对象通知的工作原理 63 411 注册新的回调 63 目录 3 412 监视新的和重复的进程句柄请求 65 42 检测 EDR 正在监视的对象 67 43 检测驱动程序触发后的行为 69 44 绕过认证攻击中的对象回调 71 441 执行句柄窃取 72 442 竞速回调例程 77 45 结论 82 第 5 章 镜像加载与注册表通知 83 51 镜像加载通知的工作原理 83 511 注册回调例程 83 512 查看系统上注册的回调例程 84 513 收集镜像加载信息 85 52 使用隧道工具规避镜像加载通知 88 53 使用镜像加载通知触发 KAPC 注入 90 531 理解 KAPC 注入 90 532 获取 DLL 加载函数指针 91 533 准备注入 92 534 创建 KAPC 结构体 93 535 APC 队列 94 54 防止 KAPC 注入 95 55 注册表通知的工作原理 96 551 注册注册表通知 98 552 缓解性能挑战 100 56 规避注册表回调 102 57 使用回调条目覆盖规避 EDR 驱动程序 106 58 结论 107 目录 4 第 6 章 文件系统微筛选器驱动程序 108 61 传统过滤器和过滤器管理器 108 62 微筛选器架构 110 63 编写微筛选器 113 631 开始注册 113 632 定义前操作回调 115 633 定义后操作回调 118 634 定义可选回调 119 635 激活微筛选器 119 64 管理微筛选器 120 65 使用微筛选器检测对手的战术 121 651 文件检测 121 652 命名管道检测 122 66 规避微筛选器 124 661 卸载 124 662 预防 126 663 干扰 127 67 结论 127 第 7 章 网络过滤驱动程序 128 71 基于网络与终端的监控 128 72 传统网络驱动接口规范驱动程序 130 73 Windows 过滤平台 131 731 过滤引擎 132 732 过滤仲裁 132 733 回调驱动程序 133 74 使用网络过滤器检测对手的战术 133 741 打开过滤引擎会话 134 目录 5 742 注册回调 134 743 将回调函数添加到过滤引擎 135 744 添加新过滤器对象 136 745 分配权重和子层 139 746 添加安全描述符 140 75 通过网络过滤器检测对手战术 141 751 基础网络数据 142 752 元数据 144 753 层数据 145 76 绕过网络过滤 146 77 小结 150 第 8 章 Windows 事件追踪 151 81 架构 151 811 提供者 151 812 控制器 157 813 消费者 159 82 创建消费者以识别恶意的NET 程序集 159 821 创建追踪会话 160 822 启用提供者 162 823 启动追踪会话 164 824 停止追踪会话 166 825 处理事件 167 826 测试消费者 175 83 规避基于 ETW 的检测 175 831 补丁 176 832 配置修改 176 833 追踪会话篡改 176 目录 6 834 追踪会话干扰 177 84 绕过NET 消费者 177 85 结论 181 第 9 章 扫描器 182 91 防病毒扫描器简史 182 92 扫描模式 183 921 按需扫描 183 922 按访问扫描 184 93 规则集 185 94 案例研究:YARA 186 941 理解 YARA 规则 186 942 逆向工程规则 189 95 规避扫描器签名 190 96 结论 193 第 10 章 反恶意软件扫描接口 194 101 脚本恶意软件的挑战 194 102 AMSI 的工作原理 196 1021 探索 PowerShell 的 AMSI 实现 197 1022 理解 AMSI 的底层工作机制 200 1023 实现自定义 AMSI 提供者 205 103 规避 AMSI 209 1031 字符串混淆 209 1032 AMSI 修补 210 1033 无补丁 AMSI 绕过 211 104 结论 212 目录 7 第 11 章 早期启动反恶意软件驱动程序 213 111 ELAM 驱动程序如何保护启动过程 214 112 开发 ELAM 驱动程序 215 1121 注册回调例程 215 1122 应用检测逻辑 218 113 驱动程序示例:阻止 Mimidrv 加载 219 114 加载 ELAM 驱动程序 220 1141 签署驱动程序 221 1142 设置加载顺序 223 115 规避 ELAM 驱动程序 225 116 令人遗憾的现实 226 117 结论 227 第 12 章 微软 Windows 威胁情报 228 121 对提供者进行逆向工程 228 1211 检查提供者和事件是否已启用 229 1212 确定触发的事件 231 122 确定事件的来源 234 1221 使用 Neo4j 发现传感器触发点 235 1222 获取可与 Neo4j 配合使用的数据集 236 1223 查看调用树 237 123 消费 EtwTi 事件 240 1231 理解受保护进程 241 1232 创建受保护的进程 243 1233 处理事件 248 124 规避 EtwTi 249 1241 并存 249 1242 追踪句柄覆盖 249 目录 8 125 结论 253 第 13 章 案例研究:面向检测的攻击 254 131 作战规则 254 132 初始访问 255 1321 编写载荷 255 1322 传递载荷 257 1323 执行载荷 258 1324 建立命令与控制 259 1325 规避内存扫描 261 133 持久化 261 134 侦察 264 135 权限提升 266 1351 获取频繁用户列表 266 1352 劫持文件处理器 267 136 横向移动 274 1361 查找目标 274 1362 枚举共享 275 137 文件外传 278 138 结论 279
内容摘要
端点检测与响应(endpoint detection and response,EDR)是一种网络安全技术,专注于监控、检测和应对终端设备上的可疑活动。通过持续收集和分析端点行为数据,帮助组织及时发现潜在威胁,并提供调查和响应工具,以防止攻击扩散和数据泄露。
本书聚焦 EDR 在 Windows 操作系统上的工作原理,围绕 EDR 攻防展开,深入探讨EDR 传感器或用于收集特定类型数据的组件。本书共 13 章,具体内容包括 EDR 架构、函数挂钩 DLL、进程与线程创建通知、对象通知、镜像加载与注册表通知、文件系统微筛选器驱动程序、网络过滤驱动程序、Windows 事件追踪、扫描器、反恶意软件扫描接口、早期启动反恶意软件驱动程序、微软 Windows 威胁情报,以及案例研究等。
本书适合对终端检测技术感兴趣,尤其是掌握基础渗透测试技术、了解 Windows 内部机制和基础知识的读者阅读。
主编推荐
作者实力:SpecterOps 前服务架构师执笔,传授实战经验。 内容多维:覆盖 EDR 架构到威胁情报 13 大核心模块,解析 Windows 平台工作原理。 实战赋能:海量代码示例 + 真实案例,手把手指导 EDR 攻防技术落地应用。 口碑认证:亚马逊 4.8 高分好评,专业读者认可的终端安全读物。 稀缺优势:契合高级网安技能需求,同类书籍少,竞争优势显著。
精彩内容
端点检测与响应(endpoint detection and response,EDR)是一种网络安全技术,专注于监控、检测和应对终端设备上的可疑活动。通过持续收集和分析端点行为数据,帮助组织及时发现潜在威胁,并提供调查和响应工具,以防止攻击扩散和数据泄露。 本书聚焦 EDR 在 Windows 操作系统上的工作原理,围绕 EDR 攻防展开,深入探讨EDR 传感器或用于收集特定类型数据的组件。本书共 13 章,具体内容包括 EDR 架构、函数挂钩 DLL、进程与线程创建通知、对象通知、镜像加载与注册表通知、文件系统微筛选器驱动程序、网络过滤驱动程序、Windows 事件追踪、扫描器、反恶意软件扫描接口、早期启动反恶意软件驱动程序、微软 Windows 威胁情报,以及案例研究等。 本书适合对终端检测技术感兴趣,尤其是掌握基础渗透测试技术、了解 Windows 内部机制和基础知识的读者阅读。
以下为对购买帮助不大的评价