決戰(zhàn)惡意代碼

第1章 介紹 1
1.1 定義問題 2
1.2 為什么惡意代碼如此普遍 3
1.2.1 混合的數據和可執(zhí)行指令：令人驚恐的組合 4
1.2.2 惡意的用戶 7
1.2.3 日益增加的同構計算環(huán)境 8
1.2.4 空前的連通性 8
1.2.5 不斷擴大的缺乏專業(yè)技能的用戶群 9
1.2.6 這個世界并不是個友善和平的地方 9
1.3 惡意代碼的類型 10
1.4 惡意代碼的歷史 12
1.5 為什么寫這本書 15
1.6 有哪些期望 16
1.7 參考文獻 18
第2章 病毒 19
2.1 計算機病毒的早期歷史 21
2.2 感染機制和目標 24
2.2.1 感染可執(zhí)行文件 24
2.2.2 感染引導區(qū) 28
2.2.3 感染文檔文件 31
2.2.4 病毒感染的其他目標 35
2.3 病毒的傳播機制 37
2.3.1 移動存儲 38
2.3.2 電子郵件及其下載 39
2.3.3 共享目錄 39
2.4 防御病毒 39
2.4.1 反病毒軟件 40
2.4.2 配置強化 45
2.4.3 用戶培訓 48
2.5 Malware的自我保護技術 49
2.5.1 隱匿 49
2.5.2 多態(tài)和變異 50
2.5.3 惰化反病毒軟件 50
2.5.4 挫敗Malware的自我保護技術 51
2.6 結論 52
2.7 總結 52
2.8 參考文獻 53
第3章 蠕蟲 55
3.1 為什么使用蠕蟲 57
3.1.1 接管大量的系統(tǒng) 57
3.1.2 使追蹤變得更困難 57
3.1.3 擴大危害范圍 58
3.2 蠕蟲簡史 59
3.3 蠕蟲的組成 61
3.3.1 蠕蟲的“彈頭” 62
3.3.2 傳播引擎 63
3.3.3 目標選擇算法 64
3.3.4 掃描引擎 66
3.3.5 有效載荷 66
3.3.6 組合各部分：Nimda案例研究 67
3.4 蠕蟲傳播的障礙 69
3.4.1 目標環(huán)境的多樣性 69
3.4.2 受害系統(tǒng)崩潰將限制蠕蟲傳播 71
3.4.3 過量的傳播可能阻塞網絡 71
3.4.4 不要自己踩到自己 71
3.4.5 不要被別人踩到 72
3.5 即將到來的超級蠕蟲 72
3.5.1 多平臺蠕蟲 73
3.5.2 多探測蠕蟲 73
3.5.3 Zero-Day探測蠕蟲 74
3.5.4 快速傳播蠕蟲 74
3.5.5 多態(tài)蠕蟲 76
3.5.6 變形蠕蟲 76
3.5.7 真正惡毒的蠕蟲 77
3.6 大的并非總是好的：非超級蠕蟲 78
3.7 防御蠕蟲 79
3.7.1 Ethical蠕蟲 80
3.7.2 反病毒軟件：一個很好的辦法，但需要和其他防御手段配合使用 82
3.7.3 配置銷售商補丁并加固公共訪問系統(tǒng) 82
3.7.4 阻斷任意的輸出連接 83
3.7.5 建立事故響應機制 83
3.7.6 不要擺弄蠕蟲，甚至Ethical；除非…… 84
3.8 結論 85
3.9 總結 86
3.10 參考文獻 87
第4章 惡意移動代碼 89
4.1 瀏覽器腳本 91
4.1.1 資源枯竭 92
4.1.2 瀏覽器劫持 93
4.1.3 利用瀏覽器的漏洞竊取Cookie值 96
4.1.4 跨網站腳本攻擊 100
4.2 ActiveX控件 109
4.2.1 使用ActiveX控件 110
4.2.2 惡意ActiveX控件 112
4.2.3 利用非惡意ActiveX控件 115
4.2.4 防御ActiveX的威脅：Internet Explorer設置 118
4.3 Java Applets 120
4.3.1 使用Java Applets 121
4.3.2 Java Applet安全模型 123
4.3.3 惡意Java Applets 125
4.4 E-mail客戶程序中的移動代碼 127
4.4.1 通過電子郵件提升訪問權限 128
4.4.2 防止提高E-mail訪問權限 129
4.4.3 Web Bugs與個人隱私 130
4.4.4 防御Web Bugs 131
4.5 分布式應用軟件和移動代碼 132
4.6 防御惡意移動代碼的其他方法 134
4.6.1 反病毒軟件 135
4.6.2 行為監(jiān)視軟件 136
4.6.3 反間諜軟件工具 137
4.7 結論 140
4.8 總結 140
4.9 參考文獻 142
第5章 后門 144
5.1 不同類型的后門通路 145
5.2 安裝后門 146
5.3 自動啟動后門 147
5.3.1 設置Windows后門啟動 147
5.3.2 防御：檢測Windows后門啟動技術 152
5.3.3 啟動UNIX后門 154
5.3.4 防御：檢測UNIX后門啟動技術 158
5.4 通用的網絡連接工具：NetCat 158
5.4.1 NetCat處理標準輸入和標準輸出 159
5.4.2 NetCat后門命令行解釋器監(jiān)聽程序 161
5.4.3 簡單NetCat后門命令行解釋器監(jiān)聽程序的局限性 163
5.4.4 利用NetCat后門客戶機程序“強制”命令行解釋器 164
5.4.5 Netcat + Crypto = Cryptcat 165
5.4.6 其他后門命令行解釋器監(jiān)聽程序 165
5.4.7 防御后門命令行解釋器監(jiān)聽程序 166
5.5 GUI越過網絡大量使用虛擬網絡計算 172
5.5.1 關注VNC 174
5.5.2 VNC網絡特征和服務器模式 175
5.5.3 用VNC“強制”GUI 176
5.5.4 遠程安裝Windows VNC 177
5.5.5 遠程GUI防御 179
5.6 無端口后門 179
5.6.1 ICMP后門 179
5.6.2 非混合型探測后門 180
5.6.3 混合型探測后門 183
5.6.4 防御無端口的后門 186
5.7 結論 189
5.8 總結 190
5.9 參考文獻 191
第6章 特洛伊木馬 192
6.1 名字中有什么 193
6.1.1 與Windows擴展名放在一起 193
6.1.2 模仿其他文件名 196
6.1.3 路徑中的“.”威脅 200
6.1.4 特洛伊命名游戲的防御 202
6.2 包裝明星 204
6.2.1 包裝工具的特點 205
6.2.2 防御包裝工具 206
6.3 特洛伊軟件發(fā)行站點 206
6.3.1 特洛伊軟件發(fā)行的老式路線 207
6.3.2 流行新趨勢：追隨Web站點 207
6.3.3 Tcpdump和Libpcap特洛伊木馬后門 208
6.3.4 針對特洛伊軟件發(fā)行的防御 211
6.4 給代碼“下毒” 212
6.4.1 代碼的復雜性使得攻擊更容易 213
6.4.2 測試？什么測試 214
6.4.3 軟件開發(fā)的全球化趨勢 216
6.4.4 預防給代碼“下毒” 217
6.5 “指定”一個瀏覽器：Setiri 218
6.5.1 Setiri組件 218
6.5.2 Setiri通信 219
6.5.3 防御Setiri 221
6.6 將數據隱藏在可執(zhí)行文件中：隱藏和多態(tài) 223
6.6.1 Hydan和可執(zhí)行文件信息隱藏 224
6.6.2 Hydan在起作用 225
6.6.3 防御Hydan 228
6.7 結論 228
6.8 總結 229
6.9 參考文獻 230
第7章 用戶模式RootKit 231
7.1 UNIX用戶模式RootKit 233
7.1.1 LRK家族 235
7.1.2 Universal RootKit(URK) 244
7.1.3 使用RunEFS和Defiler’s Toolkit控制文件系統(tǒng) 247
7.1.4 ext2文件系統(tǒng)概述 248
7.1.5 UNIX RootKit的防御 254
7.2 Windows用戶模式RootKit 261
7.2.1 使用FakeGINA控制Windows登錄 263
7.2.2 運行中的WFP 266
7.2.3 DLL注入、API掛鉤和AFX Windows RootKit 273
7.2.4 防御Windows系統(tǒng)中的用戶模式RootKit 280
7.3 結論 284
7.4 總結 284
7.5 參考文獻 286
第8章 內核模式RootKit 287
8.1 內核是什么 287
8.2 內核控制的影響 290
8.3 Linux內核 293
8.3.1 Linux內核探險 294
8.3.2 控制Linux內核的方法 301
8.3.3 防御Linux內核 318
8.3.4 檢測Linux中的內核模式RootKit 322
8.3.5 應對Linux中的內核模式RootKit 324
8.4 Windows內核 324
8.4.1 Windows內核之旅 325
8.4.2 控制Windows內核的方法 337
8.4.3 內核模式Windows？或許某一天……很快 344
8.4.4 保衛(wèi)Windows內核 345
8.5 結論 347
8.6 總結 348
8.7 參考文獻 350
第9章 進一步深入 353
9.1 設置舞臺：Malware的不同層次 354
9.2 更深層次：BIOS的可能性和Malware微代碼 356
9.2.1 BIOS Malware的可能性 357
9.2.2 微代碼Malware 366
9.3 組合Malware 379
9.3.1 Lion：Linux中蠕蟲/RootKit組合 380
9.3.2 Bugbear：Windows中蠕蟲/病毒/后門的組合 383
9.3.3 并不是全部 387
9.3.4 防御Malware組合體 388
9.4 結論 388
9.5 總結 388
9.6 參考文獻 391
第10章 情節(jié) 392
10.1 情節(jié)1：白璧微瑕 393
10.2 情節(jié)2：內核偷盜者的入侵 399
10.3 情節(jié)3：沉默的蠕蟲 408
10.4 結論 417
10.5 總結 417
第11章 惡意代碼分析 420
11.1 建立一個惡意代碼分析實驗室 420
11.1.1 警告：使用沒有工作目的的系統(tǒng)并遠離Internet 421
11.1.2 全面的實驗室體系結構 421
11.1.3 虛擬化任何事物 423
11.2 惡意代碼分析過程 426
11.2.1 惡意代碼分析和合法軟件 427
11.2.2 準備和確認 428
11.2.3 安裝實例并做好分析準備 432
11.2.4 靜態(tài)分析 434
11.2.5 動態(tài)分析 448
11.2.6 用Burneye阻止惡意代碼分析 463
11.3 結論 466
11.4 總結 467
11.5 參考文獻 469
第12章 結論 470
12.1 跟上技術發(fā)展的有用站點 470
12.1.1 Packet Storm Security 471
12.1.2 Security Focus 471
12.1.3 Global Information Assurance Certification 472
12.1.4 Phrack Electronic Magazine 472
12.1.5 The Honeynet Project 473
12.1.6 Mega Security 474
12.1.7 Infosec Writers 474
12.1.8 Counterhack 474
12.2 臨別思考 475
12.2.1 臨別思考：悲觀主義版 475
12.2.2 臨別思考：樂觀主義版 477