新書推薦:
《
俄国女皇:叶卡捷琳娜二世传(精装插图版)
》
售價:NT$
381.0
《
真想让我爱的人读读这本书
》
售價:NT$
269.0
《
解套基本逻辑与六大战法
》
售價:NT$
274.0
《
超级制造
》
售價:NT$
671.0
《
明朝270年:明朝的外交博弈和权力游戏
》
售價:NT$
325.0
《
禅之道(畅销全球60余年的一代经典,揭示禅对现代人的解脱意义)
》
售價:NT$
386.0
《
改变历史的意大利豪门 : 传奇家族美第奇
》
售價:NT$
420.0
《
Procreate插画手绘从新手到高手
》
售價:NT$
493.0
|
| 內容簡介: |
|
一本囊括灵活的技巧、操作系统架构观察以及攻击者和防御者创新所使用的设计模式的书,基于三位出色安全专家的大量案例研究和专业研究,主要内容包括:Windows如何启动,在哪里找到漏洞;引导过程安全机制(如安全引导)的详细信息,包括虚拟安全模式(VSM)和设备保护的概述;如何通过逆向工程和取证技术分析真正的恶意软件;如何使用仿真和Bochs和IDA Pro等工具执行静态和动态分析;如何更好地了解BIOS和UEFI固件威胁的交付阶段,以创建检测功能;如何使用虚拟化工具,如VMware Workstation;深入分析逆向工程中的Bootkit和Intel Chipsec。
|
| 目錄:
|
|
序言前言致谢关于作者关于技术审校部分 Rootkit第1章 Rootkit原理:TDL3案例研究21.1 TDL3在真实环境中的传播历史21.2 感染例程31.3 控制数据流51.4 隐藏的文件系统81.5 小结:TDL3也有“天敌”9第2章 Festi Rootkit:先进的垃圾邮件和DDoS僵尸网络102.1 Festi僵尸网络的案例102.2 剖析Rootkit驱动程序112.3 Festi网络通信协议202.4 绕过安全和取证软件222.5 C&C故障的域名生成算法242.6 恶意的功能252.7 小结28第3章 观察Rootkit感染293.1 拦截的方法293.2 恢复系统内核353.3 伟大的Rootkit军备竞赛:一个怀旧的笔记363.4 小结37第二部分 Bootkit第4章 Bootkit的演变404.1 个Bootkit恶意程序404.2 Bootkit病毒的演变424.3 新一代Bootkit恶意软件434.4 小结45第5章 操作系统启动过程要点465.1 Windows引导过程的高级概述475.2 传统引导过程475.3 Windows系统的引导过程485.4 小结55第6章 引导过程安全性566.1 ELAM模块566.2 微软内核模式代码签名策略596.3 Secure Boot技术646.4 Windows 10中基于虚拟化的安全656.5 小结66第7章 Bootkit感染技术687.1 MBR感染技术687.2 VBR / IPL感染技术757.3 小结76第8章 使用IDA Pro对Bootkit进行静态分析778.1 分析Bootkit MBR788.2 VBR业务分析技术868.3 高级IDA Pro的使用:编写自定义MBR加载器888.4 小结928.5 练习92第9章 Bootkit动态分析:仿真和虚拟化949.1 使用Bochs进行仿真949.2 使用VMware Workstation进行虚拟化1029.3 微软Hyper-V和Oracle VirtualBox1069.4 小结1079.5 练习107第10章 MBR和VBR感染技术的演变:Olmasco10910.1 Dropper10910.2 Bootkit的功能11310.3 Rootkit的功能11510.4 小结119第11章 IPL Bootkit:Rovnix和Carberp12011.1 Rovnix的演化12011.2 Bootkit架构12111.3 感染系统12211.4 感染后的引导过程和IPL12411.5 内核模式驱动程序的功能13411.6 隐藏的文件系统13711.7 隐藏的通信信道13911.8 案例研究:与Carberp的联系14011.9 小结143第12章 Gapz:高级VBR感染14412.1 Gapz Dropper14512.2 使用Gapz Bootkit感染系统15212.3 Gapz Rootkit的功能15612.4 隐藏存储15812.5 小结170第13章 MBR勒索软件的兴起17113.1 现代勒索软件简史17113.2 勒索软件与Bootkit功能17213.3 勒索软件的运作方式17313.4 分析Petya勒索软件17413.5 分析Satana勒索软件18713.6 小结191第14章 UEFI与MBR/VBR 引导过程19314.1 统一可扩展固件接口19314.2 传统BIOS和UEFI引导过程之间的差异19414.3 GUID分区表的细节19714.4 UEFI固件的工作原理20014.5 小结211第15章 当代UEFI Bootkit21215.1 传统BIOS威胁的概述21315.2 所有硬件都有固件21815.3 感染BIOS的方法22115.4 理解Rootkit注入22415.5 真实环境中的UEFI Rootkit22915.6 小结238第16章 UEFI固件漏洞23916.1 固件易受攻击的原因23916.2 对UEFI固件漏洞进行分类24216.3 UEFI固件保护的历史24416.4 Intel Boot Guard24916.5 SMM模块中的漏洞25216.6 S3引导脚本中的漏洞25616.7 Intel管理引擎中的漏洞26016.8 小结263第三部分 防护和取证技术第17章 UEFI Secure Boot的工作方式26617.1 什么是Secure Boot26617.2 UEFI Secure Boot实现细节26717.3 攻击Secure Boot27917.4 通过验证和测量引导保护Secure Boot28217.5 Intel Boot Guard28317.6 ARM可信引导板28817.7 验证引导与固件Rootkit29217.8 小结293第18章 分析隐藏文件系统的方法29418.1 隐藏文件系统概述29418.2 从隐藏的文件系统中检索Bootkit数据29518.3 解析隐藏的文件系统映像30118.4 HiddenFsReader工具30218.5 小结303第19章 BIOS/UEFI取证:固件获取和分析方法30419.1 取证技术的局限性30419.2 为什么固件取证很重要30519.3 了解固件获取30619.4 实现固件获取的软件方法30719.5 实现固件获取的硬件方法31319.6 使用UEFITool分析固件映像31819.7 使用Chipsec分析固件映像32319.8 小结327
|
| 內容試閱:
|
|
在发表了一系列关于Rootkit和Bootkit的文章和博客文章后,我们意识到这个主题并没有得到应有的关注,因此产生了写这本书的想法。我们觉得需要有一个宏观的视角,想要一本能够涵盖所有这些内容的书—一本集成了高明的技巧、操作系统架构视图,由攻击者和防御者使用的创新设计模式的书。我们寻找过这样的书,但并没有找到,于是我们就开始自己写。这花费了我们四年半的时间,比计划的时间要长。如果你是抢先版的支持者之一,并且仍在阅读这本书,我们会非常感激你的持续关注!在此期间,我们观察到了攻击和防御的共同演进。特别值得注意的是,我们看到了微软Windows操作系统的防御能力演进,使得Rootkit和Bootkit设计的几个主要分支陷入了死胡同。你可以在本书中找到更多与此相关的内容。我们还看到了以BIOS和芯片组固件为攻击目标的新型恶意软件的出现,这已经超出了当前Windows安全防护软件的能力范围。我们将解释这种共同演进是如何发展起来的,以及我们期望下一步它将把我们带到哪里。本书的另一个主题是针对操作系统启动引导过程的早期阶段的逆向工程技术的开发。一般来说,在PC启动引导过程的长链条中,一段代码运行的时间越早,它就越不容易被观察到。长期以来,这种可观察性的缺乏一直与安全性在概念上有所混淆。然而,当我们深入探究这些突破底层操作系统技术(如Secure Boot)的Bootkit和BIOS注入威胁的取证方法时,我们发现在这里通过隐匿实现的安全性并不比计算机科学的其他领域更好。短时间后(在互联网时间范围内越来越短),相对于防御者而言,通过隐匿实现安全的方法对攻击者更有利。这一观点在其他有关这一主题的书籍中还没有得到充分的阐述,所以我们试图填补这一空白。为什么要读这本书我们为众多信息安全研究人员撰写文章,他们对高级可持续恶意软件威胁如何绕过操作系统级别的安全机制很感兴趣。我们主要关注如何发现并逆向、有效分析这些高级威胁。书中的每一部分都反映了高级威胁发展演进的不同新阶段,包括从它们一开始仅作为概念证明出现的阶段,到威胁发动者展开投递传播的阶段,后到它们在更隐蔽且有针对性攻击中被利用的阶段。在写这本书的时候,我们希望本书不仅仅面向计算机恶意软件分析师,而是能使更广泛的读者获益。更进一步,我们希望嵌入式系统开发人员和云安全专家同样能够发现这本书的作用,因为Rootkit及其所注入的威胁对这些生态系统所产生的影响同样非常突出。这本书有什么干货在部分中,我们将探索Rootkit,还将介绍Windows内核的内部机理—内核向来是Rootkit运行的场所。在第二部分中,我们将重点转向操作系统的引导过程和在Windows加强其内核模式后开发的Bootkit。我们将从攻击者的角度剖析系统引导过程的各个阶段,特别关注新的UEFI固件方案及其漏洞。后,在第三部分中,我们将重点讨论针对BIOS和固件的经典操作系统Rootkit攻击和现代Bootkit攻击的取证工作。部分 Rootkit此部分主要介绍全盛时期的经典操作系统级Rootkit。这些历史上的Rootkit案例提供了有价值的视角,让我们了解攻击者如何理解操作系统的运行机制,并找到使用操作系统自身结构,可靠地将攻击负载注入系统内核的方法。第1章 通过讲述当时一个有趣的Rootkit的故事,并基于我们自己所遇到的各个Rootkit变种以及对这些威胁的分析,探索Rootkit是如何工作的。第2章 分析备受关注的Festi Rootkit,它使用了当时的隐匿技术来发送垃圾邮件和发起DDoS攻击。这些技术包含自带的自定义内核级TCP/IP协议栈。第3章 带我们深入操作系统内核,重点介绍攻击者用来争夺内核底层控制权的技巧,例如拦截系统事件和调用。第二部分 Bootkit此部分将重点转移到Bootkit的演进、刺激演进的条件,以及针对这些威胁的逆向工程技术。我们将看到Bootkit是如何开发的,以至于可以将其自身植入BIOS并利用UEFI固件漏洞进行攻击。第4章 深入探讨共同演化的作用,这使Bootkit得以存在并指导了它们的开发。我们来看一看批被发现的Bootkit,比如臭名昭著的Elk Cloner。第5章 介绍Windows系统引导过程的内部原理,以及它们是如何随时间变化的。我们将深入研究主引导记录、分区表、配置数据和bootmgr模块等细节。第6章 带你了解Windows引导进程防护技术,如早期启动反恶意软件(ELAM)模块、内核模式代码签名策略及其漏洞,以及较新的基于虚拟化的安全机制。第7章 剖析感染引导扇区的方法,并介绍这些方法如何随着时间的推移而演变。我们将使用一些熟悉的Bootkit作为示例,比如TDL4、Gapz和Rovnix。第8章 介绍静态分析Bootkit感染的方法和工具。我们将以TDL4 Bootkit为例介绍分析过程,并为读者自己分析提供相关材料,包括要下载的磁盘映像。第9章 将重点转移到动态分析方法上,包括使用Bochs仿真器和VMware的内置GDB调试器,还会介绍动态分析MBR和VBR Bootkit的步骤。第10章 回顾隐匿技术的发展,这些技术用于将Bootkit带到引导过程的更低层级。我们将以Olmasco为例,
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
