抵御惡意軟件和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟件和Rootkit安全》用現實世界的案例研究和實例揭示了當前的黑客們是如何使用很容易得到的工具滲透和劫持繫統的，逐步深入的對策提供了經過證明的預防技術。本書介紹了檢測和消除惡意嵌入代碼、攔截彈出式窗口和網站、預防擊鍵記錄以及終止Rootkit的方法，詳細地介紹了*的入侵檢測、防火牆、蜜罐、防病毒、防Rootkit以及防間諜軟件技術。


    《黑客大曝光：惡意軟件和Rootkit安全》包括以下內容：

     理解惡意軟件感染、生存以及在整個企業中傳染的方法。

     了解黑客使用存檔文件、加密程序以及打包程序混淆代碼的方法。

     實施有效的入侵檢測和預防程序。

     防御擊鍵記錄、重定向、點擊欺詐以及身份盜竊威脅。

     檢測，殺死和刪除虛擬模式、用戶模式和內核模式Rootkit。

     預防惡意網站、仿冒、客戶端和嵌入式代碼攻擊。

     使用*的防病毒、彈出窗口攔截程序和防火牆軟件保護主機。

     使用HIPS和NIPS識別和終止惡意進程。

對本書的贊譽

譯者序

序言

前言

作者簡介

技術編輯簡介

部分   惡意軟件

  第1章   傳染方法

    1.1這種安全設施可能確實有用

    1.2為什麼他們想要你的工作站

    1.3難以發現的意圖

    1.4這是樁生意

    1.5重要的惡意軟件傳播技術

    1.6現代惡意軟件的傳播技術

    1.7惡意軟件傳播注入方向

    1.8本書配套網站上的實例

    1.9小結

  第2章惡意軟件功能

    2.1惡意軟件安裝後會做什麼

    2.2識別安裝的惡意軟件

    2.3小結

第二部分Rootkit

  第3章用戶模式Rootkit

    3.1維持訪問權

    3.2隱身：掩蓋存在

    3.3Rootkit的類型

    3.4時間軸

    3.5用戶模式Rootkit

    3.6小結

  第4章內核模式Rootkit

    4.1底層：x86體繫結構基礎

    4.2目標：Windows內核組件

    4.3內核驅動程序概念

    4.4內核模式Rootkit

    4.5內核模式Rootkit實例

    4.6小結

  第5章虛擬Rootkit

    5.1虛擬機技術概述

    5.2虛擬機Rootkit技術

    5.3虛擬Rootkit實例

    5.4小結

  第6章Rootkit的未來：如果你現在認為情況嚴重

    6.1復雜性和隱蔽性的改進

    6.2定制的Rootkit

    6.3小結

第三部分預防技術

  第7章防病毒

  第8章主機保護繫統

  第9章基於主機的入侵預防

  第10章Rootkit檢測

  第11章常規安全實踐

  附錄A繫統安全分析：建立你自己的Rootkit檢測程序  

推薦序

   
在我從事信息安全工作的將近15年中，惡意軟件（malware）已經成為網絡攻擊者武器庫中有力的工具。從窺探財務記錄和竊取擊鍵到對等（peer-to-peer）網絡和自動更新功能，惡意軟件幾乎成為所有成功攻擊的關鍵部件。情況並非從來如此，我記得1998年剛開始從事信息安全工作時，我部署了自己的隻蜜罐。這使我能夠看到攻擊者進入並且接管真實的計算機，由此我學到了關於他們的工具和技術的手資料。在那時候，攻擊者通過人工掃描整個網絡的各個部分來攻擊，他們的目標是建立一個在互聯網上能夠訪問到的IP地址列表。在花費數天的時間建立這個數據庫之後，攻擊者將會回來，在他們找到的每臺電腦上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服務器或者開放的Windows文件共享。一旦發現這些漏洞，攻擊者將利用該繫統。刺探和利用的整個過程可能花費幾個小時到幾周，在每個階段需要不同的工具。利用成功之後，攻擊者將會上傳更多的工具，每個工具都有各自的作用，並且通常人工運行。例如，一個工具能夠清除日志；另一個工具則保護繫統；別的工具則檢索密碼或者掃描其他脆弱的繫統。你往往可以通過攻擊者運行不同工具或者執行繫統命令時犯錯的數量來判斷其水平。觀察和學習攻擊者，並且識別其身份和動機是令人愉快和感興趣的，這時候你的感覺就像和闖入你的電腦的人有了私人關繫一樣。


   
現在，網絡防御的形勢已經有了根本的變化。過去，要攻擊和危害一臺計算機，每一步幾乎都包含著人工交互。現在，幾乎所有的攻擊都是高度自動化的，使用的工具和技術。過去，你可以看到威脅並從中學習，記錄攻擊者采取的每個步驟。現在，整個過程都是有預謀的，發生在幾秒鐘之內，沒有任何可觀察和學習的東西。從開始的刺探到洩密再到數據收集，攻擊的每個步驟都預先封裝到我們所看到的的技術—惡意軟件之中。病毒剛剛問世時，隻不過是修改繫統上的幾個文件以及竊取一些文檔，或者試圖破解繫統密碼的簡單工具。現在，惡意軟件已經變得極其成熟，它們能夠讀取受害者的存儲器，並且感染啟動扇區、BIOS，此外還有基於內核的Rootkit。


   
更有趣的是，惡意軟件利用僵尸網絡（botnet）建立和維護對洩密繫統的整個網絡的控制能力。這些僵尸網絡是網絡犯罪分子控制下的有高度組織性的網絡。網絡犯罪分子使用這些網絡來獲取數據並且發送垃圾郵件，攻擊其他網絡或者部署仿冒站點。現代的惡意軟件使這些僵尸網絡成為可能。更糟糕的是，網絡攻擊者從全世界獲得惡意軟件，並且不斷地創建和改進惡意軟件。在我寫這篇序的時候，全世界正在從一個有史以來的惡意軟件Conficker的攻擊中恢復。數百萬臺電腦受到一群有組織的犯罪分子的侵害和控制。這次攻擊非常成功，以至於整個政府組織（包括美國國防部）都禁止移動媒體的使用，以減緩攻擊的蔓延。Conficker還引入了我們所見過的的惡意軟件功能，使用的加密技術來進行隨機域名生成和自治點對點通信。不幸的是，這一威脅越來越嚴重。防病毒公司每天差不多要對付數千種新的惡意軟件變種，這個數字還會不斷增長。


   
我們所看到的惡意軟件的改變不隻是技術，還有這些技術背後的攻擊者，以及他們開發惡意軟件的動機。我原來所監控的大部分攻擊者都可以歸類為腳本小孩，即一些沒有熟練技能，隻能使用從別處拷貝的工具的孩子。他們為了娛樂或者給朋友們留下印像而進行攻擊。還有一小部分人開發和使用自己的工具，但是動機往往是好奇心，以及對自己的工具或者侵害繫統能力的測試，或者是為了出名。今天我們所面對的威脅與此大不相同，這些威脅正在變得更有組織，更有效率，也更致命。


    今天，我們面對著有組織的犯罪分子，他們關注投資回報率（Return On
Investment，ROI），擁有研究和開發團隊，開發有利可圖的攻擊。和任何具有利益中心的企業一樣，這些犯罪分子關注效率和經濟性，試圖在全球範圍獲得盡可能多的利益。此外，這些犯罪分子已經發展了自己的惡意軟件黑市。和其他經濟體一樣，你能找到一個完整的黑市，犯罪分子在這個黑市中進行交易並且銷售的惡意軟件工具，惡意軟件已經成為一種服務。犯罪分子為客戶開發定制的惡意軟件或者將惡意軟件作為服務進行租賃，服務包括支持、更新，甚至性能的約定。例如，犯罪分子可以開發定制的惡意軟件，並且保證避開大部分防病毒軟件，或者設計軟件來利用未知的漏洞。


   
一些國家機構也在開發的網絡戰工具。這些機構具有幾乎無限的預算，並且擁有世界上的技能。它們所開發的惡意軟件用來悄悄地滲透和侵入其他國家，並且盡可能地收集情報，就像我們在近的美國政府網絡攻擊案中所看到的那樣。使用惡意軟件的攻擊還會擾亂其他國家的網絡活動，例如，對一些國家的網絡分布式拒絕服務攻擊就是有組織並由惡意軟件發起的。惡意軟件已經成為今天所見的幾乎所有攻擊的共有因素。為了保護你的網絡，你必須理解和防御惡意軟件。


    我很高興看到Michael
Davis牽頭寫作了這本關於Windows惡意軟件的書籍：《黑客大曝光：惡意軟件和Rootkit安全》。我無法想到更適合這一任務的人。從Mike加入Honeynet項目成為Windows的主要研究者開始，我認識他將近10年了。Mike開發了我們強有力的數據捕捉工具sebek，這是一個高級的Windows內核工具。除此之外，Mike在McAfee公司的經歷使他擁有了關於惡意軟件和防病毒技術的豐富經驗，他還有很多幫助提高世界各地客戶安全的經驗，並理解各種組織所面對的挑戰。他也親眼目睹了惡意軟件成為目前各種組織所面臨的威脅的過程。


   
《黑客大曝光：惡意軟件和Rootkit安全》為我們提供了令人驚嘆的資源，它很及時，關注我們所面臨的網絡威脅和防御。我強烈推薦閱讀本書。

    ……