Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁
全新正版 极速发货
¥ 92.33 7.2折 ¥ 129 全新
库存2件
广东广州
认证卖家担保交易快速发货售后保障
作者[美]亚历克斯·马特罗索夫(美)尤金·罗季奥诺夫(美)谢尔盖·布拉图斯
出版社机械工业出版社
ISBN9787111699392
出版时间2022-02
装帧平装
开本16开
定价129元
货号31366198
上书时间2024-07-01
商品详情
- 品相描述:全新
- 商品描述
-
前言
作者简介
安和博士,资深网络安全专家,不错工程师,曾长期在网络安全专业技术机构从事重量网络安全应急响应工作,深谙恶意代码的监测发现、逆向分析和应急处置工作,出版恶意代码研究领域的译著一部、移动安全领域的著作一部,参与发布多项网络安全领域的国家标准和行业标准,获得多项网络安全领域的国家发明授权。
目录
序言<br/>前言<br/>致谢<br/>关于作者<br/>关于技术审校<br/>第一部分 Rootkit<br/>第1章 Rootkit原理:TDL3案例研究2<br/>1.1 TDL3在真实环境中的传播历史2<br/>1.2 感染例程3<br/>1.3 控制数据流5<br/>1.4 隐藏的文件系统8<br/>1.5 小结:TDL3也有“天敌”9<br/>第2章 Festi Rootkit:先进的垃圾邮件和DDoS僵尸网络10<br/>2.1 Festi僵尸网络的案例10<br/>2.2 剖析Rootkit驱动程序11<br/>2.3 Festi网络通信协议20<br/>2.4 绕过安全和取证软件22<br/>2.5 C&C故障的域名生成算法24<br/>2.6 恶意的功能25<br/>2.7 小结28<br/>第3章 观察Rootkit感染29<br/>3.1 拦截的方法29<br/>3.2 恢复系统内核35<br/>3.3 伟大的Rootkit军备竞赛:一个怀旧的笔记36<br/>3.4 小结37<br/>第二部分 Bootkit<br/>第4章 Bootkit的演变40<br/>4.1 第一个Bootkit恶意程序40<br/>4.2 Bootkit病毒的演变42<br/>4.3 新一代Bootkit恶意软件43<br/>4.4 小结45<br/>第5章 操作系统启动过程要点46<br/>5.1 Windows引导过程的高级概述47<br/>5.2 传统引导过程47<br/>5.3 Windows系统的引导过程48<br/>5.4 小结55<br/>第6章 引导过程安全性56<br/>6.1 ELAM模块56<br/>6.2 微软内核模式代码签名策略59<br/>6.3 Secure Boot技术64<br/>6.4 Windows 10中基于虚拟化的安全65<br/>6.5 小结66<br/>第7章 Bootkit感染技术68<br/>7.1 MBR感染技术68<br/>7.2 VBR / IPL感染技术75<br/>7.3 小结76<br/>第8章 使用IDA Pro对Bootkit进行静态分析77<br/>8.1 分析Bootkit MBR78<br/>8.2 VBR业务分析技术86<br/>8.3 高级IDA Pro的使用:编写自定义MBR加载器88<br/>8.4 小结92<br/>8.5 练习92<br/>第9章 Bootkit动态分析:仿真和虚拟化94<br/>9.1 使用Bochs进行仿真94<br/>9.2 使用VMware Workstation进行虚拟化102<br/>9.3 微软Hyper-V和Oracle VirtualBox106<br/>9.4 小结107<br/>9.5 练习107<br/>第10章 MBR和VBR感染技术的演变:Olmasco109<br/>10.1 Dropper109<br/>10.2 Bootkit的功能113<br/>10.3 Rootkit的功能115<br/>10.4 小结119<br/>第11章 IPL Bootkit:Rovnix和Carberp120<br/>11.1 Rovnix的演化120<br/>11.2 Bootkit架构121<br/>11.3 感染系统122<br/>11.4 感染后的引导过程和IPL124<br/>11.5 内核模式驱动程序的功能134<br/>11.6 隐藏的文件系统137<br/>11.7 隐藏的通信信道139<br/>11.8 案例研究:与Carberp的联系140<br/>11.9 小结143<br/>第12章 Gapz:高级VBR感染144<br/>12.1 Gapz Dropper145<br/>12.2 使用Gapz Bootkit感染系统152<br/>12.3 Gapz Rootkit的功能156<br/>12.4 隐藏存储158<br/>12.5 小结170<br/>第13章 MBR勒索软件的兴起171<br/>13.1 现代勒索软件简史171<br/>13.2 勒索软件与Bootkit功能172<br/>13.3 勒索软件的运作方式173<br/>13.4 分析Petya勒索软件174<br/>13.5 分析Satana勒索软件187<br/>13.6 小结191<br/>第14章 UEFI与MBR/VBR 引导过程193<br/>14.1 统一可扩展固件接口193<br/>14.2 传统BIOS和UEFI引导过程之间的差异194<br/>14.3 GUID分区表的细节197<br/>14.4 UEFI固件的工作原理200<br/>14.5 小结211<br/>第15章 当代UEFI Bootkit212<br/>15.1 传统BIOS威胁的概述213<br/>15.2 所有硬件都有固件218<br/>15.3 感染BIOS的方法221<br/>15.4 理解Rootkit注入224<br/>15.5 真实环境中的UEFI Rootkit229<br/>15.6 小结238<br/>第16章 UEFI固件漏洞239<br/>16.1 固件易受攻击的原因239<br/>16.2 对UEFI固件漏洞进行分类242<br/>16.3 UEFI固件保护的历史244<br/>16.4 Intel Boot Guard249<br/>16.5 SMM模块中的漏洞252<br/>16.6 S3引导脚本中的漏洞256<br/>16.7 Intel管理引擎中的漏洞260<br/>16.8 小结263<br/>第三部分 防护和取证技术<br/>第17章 UEFI Secure Boot的工作方式266<br/>17.1 什么是Secure Boot266<br/>17.2 UEFI Secure Boot实现细节267<br/>17.3 攻击Secure Boot279<br/>17.4 通过验证和测量引导保护Secure Boot282<br/>17.5 Intel Boot Guard283<br/>17.6 ARM可信引导板288<br/>17.7 验证引导与固件Rootkit292<br/>17.8 小结293<br/>第18章 分析隐藏文件系统的方法294<br/>18.1 隐藏文件系统概述294<br/>18.2 从隐藏的文件系统中检索Bootkit数据295<br/>18.3 解析隐藏的文件系统映像301<br/>18.4 HiddenFsReader工具302<br/>18.5 小结303<br/>第19章 BIOS/UEFI取证:固件获取和分析方法304<br/>19.1 取证技术的局限性304<br/>19.2 为什么固件取证很重要305<br/>19.3 了解固件获取306<br/>19.4 实现固件获取的软件方法307<br/>19.5 实现固件获取的硬件方法313<br/>19.6 使用UEFITool分析固件映像318<br/>19.7 使用Chipsec分析固件映像323<br/>19.8 小结327
内容摘要
一本囊括灵活的技巧、操作系统架构观察以及攻击者和防御者创新所使用的设计模式的书,基于三位出色安全专家的大量案例研究和专业研究,主要内容包括:Windows如何启动,在哪里找到漏洞;引导过程安全机制(如安全引导)的详细信息,包括虚拟安全模式(VSM)和设备保护的概述;如何通过逆向工程和取证技术分析真正的恶意软件;如何使用仿真和Bochs和IDAPro等工具执行静态和动态分析;如何更好地了解BIOS和UEFI固件威胁的交付阶段,以创建检测功能;如何使用虚拟化工具,如VMwareWorkstation;深入分析逆向工程中的Bootkit和IntelChipsec。
— 没有更多了 —
以下为对购买帮助不大的评价