決戰(zhàn)惡意代碼

定　價(jià)：￥59.00

作　者：	（美）Ed Skoudis，（美）Lenny Zelter著；陳貴敏，侯曉慧等譯；陳貴敏譯
出版社：	電子工業(yè)出版社
叢編項(xiàng)：	安全技術(shù)大系
標(biāo)　簽：	網(wǎng)絡(luò)安全

購(gòu)買(mǎi)這本書(shū)可以去

ISBN：	9787121009921	出版時(shí)間：	2005-04-01	包裝：	膠版紙
開(kāi)本：	24cm	頁(yè)數(shù)：	480	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書(shū)旨在用預(yù)防、檢測(cè)和處理攻擊計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的惡意代碼所需的工具和技術(shù)來(lái)武裝你。書(shū)中討論了如何預(yù)先保證系統(tǒng)安全，以防止這樣的攻擊；如何發(fā)現(xiàn)滲透進(jìn)你的防御系統(tǒng)的惡意代碼；如何分析隨時(shí)都有可能遇到的 MALWARE 樣本等。本書(shū)突出強(qiáng)調(diào)實(shí)用性，書(shū)中詳細(xì)介紹了保證系統(tǒng)不受惡意代碼攻擊所能采取的措施，這些措施已經(jīng)過(guò)時(shí)間考驗(yàn)并且切實(shí)可行。按照書(shū)中的技巧，你完全可以構(gòu)建一個(gè)頂尖的防御工具包，用來(lái)對(duì)付隨處發(fā)現(xiàn)的惡意代碼。系統(tǒng)管理員、網(wǎng)絡(luò)工作者、家用計(jì)算機(jī)用戶(hù)，特別是安全從業(yè)者，都需要利用此書(shū)，以此為自己的網(wǎng)絡(luò)抵御那些隨時(shí)都在變得更加兇狠的攻擊。

作者簡(jiǎn)介

　　EdSkoudis，是有名的信息安全預(yù)測(cè)專(zhuān)家、克林頓安全辦公室的高級(jí)顧問(wèn)以及網(wǎng)絡(luò)安全研究會(huì)“TheHack-CounterHackTrainingCourse”的創(chuàng)始人，是多年來(lái)一直從事計(jì)算機(jī)安全工作。EdSkoudis的另外一部暢銷(xiāo)書(shū)——“CounterHack：AStep-by-StepGuidetoComputerAttacksandEffectiveDefenses”（中文版譯名為《反擊黑客》），詳細(xì)介紹防御各種黑客攻擊的技術(shù)與方法。而這本書(shū)所講述的Malware要比黑客攻擊工具具有更為廣泛的內(nèi)容。

圖書(shū)目錄

第1章介紹 1
1.1 定義問(wèn)題 2
1.2 為什么惡意代碼如此普遍 3
1.2.1 混合的數(shù)據(jù)和可執(zhí)行指令：令人驚恐的組合 4
1.2.2 惡意的用戶(hù) 7
1.2.3 日益增加的同構(gòu)計(jì)算環(huán)境 8
1.2.4 空前的連通性 8
1.2.5 不斷擴(kuò)大的缺乏專(zhuān)業(yè)技能的用戶(hù)群 9
1.2.6 這個(gè)世界并不是個(gè)友善和平的地方 9
1.3 惡意代碼的類(lèi)型 10
1.4 惡意代碼的歷史 12
1.5 為什么寫(xiě)這本書(shū) 15
1.6 有哪些期望 16
1.7 參考文獻(xiàn) 18
第2章病毒 19
2.1 計(jì)算機(jī)病毒的早期歷史 21
2.2 感染機(jī)制和目標(biāo) 24
2.2.1 感染可執(zhí)行文件 24
2.2.2 感染引導(dǎo)區(qū) 28
2.2.3 感染文檔文件 31
2.2.4 病毒感染的其他目標(biāo) 35
2.3 病毒的傳播機(jī)制 37
2.3.1 移動(dòng)存儲(chǔ) 38
2.3.2 電子郵件及其下載 39
2.3.3 共享目錄 39
2.4 防御病毒 39
2.4.1 反病毒軟件 40
2.4.2 配置強(qiáng)化 45
2.4.3 用戶(hù)培訓(xùn) 48
2.5 Malware的自我保護(hù)技術(shù) 49
2.5.1 隱匿 49
2.5.2 多態(tài)和變異 50
2.5.3 惰化反病毒軟件 50
2.5.4 挫敗Malware的自我保護(hù)技術(shù) 51
2.6 結(jié)論 52
2.7 總結(jié) 52
2.8 參考文獻(xiàn) 53
第3章蠕蟲(chóng) 55
3.1 為什么使用蠕蟲(chóng) 57
3.1.1 接管大量的系統(tǒng) 57
3.1.2 使追蹤變得更困難 57
3.1.3 擴(kuò)大危害范圍 58
3.2 蠕蟲(chóng)簡(jiǎn)史 59
3.3 蠕蟲(chóng)的組成 61
3.3.1 蠕蟲(chóng)的“彈頭” 62
3.3.2 傳播引擎 63
3.3.3 目標(biāo)選擇算法 64
3.3.4 掃描引擎 66
3.3.5 有效載荷 66
3.3.6 組合各部分：Nimda案例研究 67
3.4 蠕蟲(chóng)傳播的障礙 69
3.4.1 目標(biāo)環(huán)境的多樣性 69
3.4.2 受害系統(tǒng)崩潰將限制蠕蟲(chóng)傳播 71
3.4.3 過(guò)量的傳播可能阻塞網(wǎng)絡(luò) 71
3.4.4 不要自己踩到自己 71
3.4.5 不要被別人踩到 72
3.5 即將到來(lái)的超級(jí)蠕蟲(chóng) 72
3.5.1 多平臺(tái)蠕蟲(chóng) 73
3.5.2 多探測(cè)蠕蟲(chóng) 73
3.5.3 Zero-Day探測(cè)蠕蟲(chóng) 74
3.5.4 快速傳播蠕蟲(chóng) 74
3.5.5 多態(tài)蠕蟲(chóng) 76
3.5.6 變形蠕蟲(chóng) 76
3.5.7 真正惡毒的蠕蟲(chóng) 77
3.6 大的并非總是好的：非超級(jí)蠕蟲(chóng) 78
3.7 防御蠕蟲(chóng) 79
3.7.1 Ethical蠕蟲(chóng) 80
3.7.2 反病毒軟件：一個(gè)很好的辦法，但需要和其他防御手段配合使用 82
3.7.3 配置銷(xiāo)售商補(bǔ)丁并加固公共訪(fǎng)問(wèn)系統(tǒng) 82
3.7.4 阻斷任意的輸出連接 83
3.7.5 建立事故響應(yīng)機(jī)制 83
3.7.6 不要擺弄蠕蟲(chóng)，甚至Ethical；除非…… 84
3.8 結(jié)論 85
3.9 總結(jié) 86
3.10 參考文獻(xiàn) 87
第4章惡意移動(dòng)代碼 89
4.1 瀏覽器腳本 91
4.1.1 資源枯竭 92
4.1.2 瀏覽器劫持 93
4.1.3 利用瀏覽器的漏洞竊取Cookie值 96
4.1.4 跨網(wǎng)站腳本攻擊 100
4.2 ActiveX控件 109
4.2.1 使用ActiveX控件 110
4.2.2 惡意ActiveX控件 112
4.2.3 利用非惡意ActiveX控件 115
4.2.4 防御ActiveX的威脅：Internet Explorer設(shè)置 118
4.3 Java Applets 120
4.3.1 使用Java Applets 121
4.3.2 Java Applet安全模型 123
4.3.3 惡意Java Applets 125
4.4 E-mail客戶(hù)程序中的移動(dòng)代碼 127
4.4.1 通過(guò)電子郵件提升訪(fǎng)問(wèn)權(quán)限 128
4.4.2 防止提高E-mail訪(fǎng)問(wèn)權(quán)限 129
4.4.3 Web Bugs與個(gè)人隱私 130
4.4.4 防御Web Bugs 131
4.5 分布式應(yīng)用軟件和移動(dòng)代碼 132
4.6 防御惡意移動(dòng)代碼的其他方法 134
4.6.1 反病毒軟件 135
4.6.2 行為監(jiān)視軟件 136
4.6.3 反間諜軟件工具 137
4.7 結(jié)論 140
4.8 總結(jié) 140
4.9 參考文獻(xiàn) 142
第5章后門(mén) 144
5.1 不同類(lèi)型的后門(mén)通路 145
5.2 安裝后門(mén) 146
5.3 自動(dòng)啟動(dòng)后門(mén) 147
5.3.1 設(shè)置Windows后門(mén)啟動(dòng) 147
5.3.2 防御：檢測(cè)Windows后門(mén)啟動(dòng)技術(shù) 152
5.3.3 啟動(dòng)UNIX后門(mén) 154
5.3.4 防御：檢測(cè)UNIX后門(mén)啟動(dòng)技術(shù) 158
5.4 通用的網(wǎng)絡(luò)連接工具：NetCat 158
5.4.1 NetCat處理標(biāo)準(zhǔn)輸入和標(biāo)準(zhǔn)輸出 159
5.4.2 NetCat后門(mén)命令行解釋器監(jiān)聽(tīng)程序 161
5.4.3 簡(jiǎn)單NetCat后門(mén)命令行解釋器監(jiān)聽(tīng)程序的局限性 163
5.4.4 利用NetCat后門(mén)客戶(hù)機(jī)程序“強(qiáng)制”命令行解釋器 164
5.4.5 Netcat + Crypto = Cryptcat 165
5.4.6 其他后門(mén)命令行解釋器監(jiān)聽(tīng)程序 165
5.4.7 防御后門(mén)命令行解釋器監(jiān)聽(tīng)程序 166
5.5 GUI越過(guò)網(wǎng)絡(luò)大量使用虛擬網(wǎng)絡(luò)計(jì)算 172
5.5.1 關(guān)注VNC 174
5.5.2 VNC網(wǎng)絡(luò)特征和服務(wù)器模式 175
5.5.3 用VNC“強(qiáng)制”GUI 176
5.5.4 遠(yuǎn)程安裝Windows VNC 177
5.5.5 遠(yuǎn)程GUI防御 179
5.6 無(wú)端口后門(mén) 179
5.6.1 ICMP后門(mén) 179
5.6.2 非混合型探測(cè)后門(mén) 180
5.6.3 混合型探測(cè)后門(mén) 183
5.6.4 防御無(wú)端口的后門(mén) 186
5.7 結(jié)論 189
5.8 總結(jié) 190
5.9 參考文獻(xiàn) 191
第6章特洛伊木馬 192
6.1 名字中有什么 193
6.1.1 與Windows擴(kuò)展名放在一起 193
6.1.2 模仿其他文件名 196
6.1.3 路徑中的“.”威脅 200
6.1.4 特洛伊命名游戲的防御 202
6.2 包裝明星 204
6.2.1 包裝工具的特點(diǎn) 205
6.2.2 防御包裝工具 206
6.3 特洛伊軟件發(fā)行站點(diǎn) 206
6.3.1 特洛伊軟件發(fā)行的老式路線(xiàn) 207
6.3.2 流行新趨勢(shì)：追隨Web站點(diǎn) 207
6.3.3 Tcpdump和Libpcap特洛伊木馬后門(mén) 208
6.3.4 針對(duì)特洛伊軟件發(fā)行的防御 211
6.4 給代碼“下毒” 212
6.4.1 代碼的復(fù)雜性使得攻擊更容易 213
6.4.2 測(cè)試？什么測(cè)試 214
6.4.3 軟件開(kāi)發(fā)的全球化趨勢(shì) 216
6.4.4 預(yù)防給代碼“下毒” 217
6.5 “指定”一個(gè)瀏覽器：Setiri 218
6.5.1 Setiri組件 218
6.5.2 Setiri通信 219
6.5.3 防御Setiri 221
6.6 將數(shù)據(jù)隱藏在可執(zhí)行文件中：隱藏和多態(tài) 223
6.6.1 Hydan和可執(zhí)行文件信息隱藏 224
6.6.2 Hydan在起作用 225
6.6.3 防御Hydan 228
6.7 結(jié)論 228
6.8 總結(jié) 229
6.9 參考文獻(xiàn) 230
第7章用戶(hù)模式RootKit 231
7.1 UNIX用戶(hù)模式RootKit 233
7.1.1 LRK家族 235
7.1.2 Universal RootKit(URK) 244
7.1.3 使用RunEFS和Defiler’s Toolkit控制文件系統(tǒng) 247
7.1.4 ext2文件系統(tǒng)概述 248
7.1.5 UNIX RootKit的防御 254
7.2 Windows用戶(hù)模式RootKit 261
7.2.1 使用FakeGINA控制Windows登錄 263
7.2.2 運(yùn)行中的WFP 266
7.2.3 DLL注入、API掛鉤和AFX Windows RootKit 273
7.2.4 防御Windows系統(tǒng)中的用戶(hù)模式RootKit 280
7.3 結(jié)論 284
7.4 總結(jié) 284
7.5 參考文獻(xiàn) 286
第8章內(nèi)核模式RootKit 287
8.1 內(nèi)核是什么 287
8.2 內(nèi)核控制的影響 290
8.3 Linux內(nèi)核 293
8.3.1 Linux內(nèi)核探險(xiǎn) 294
8.3.2 控制Linux內(nèi)核的方法 301
8.3.3 防御Linux內(nèi)核 318
8.3.4 檢測(cè)Linux中的內(nèi)核模式RootKit 322
8.3.5 應(yīng)對(duì)Linux中的內(nèi)核模式RootKit 324
8.4 Windows內(nèi)核 324
8.4.1 Windows內(nèi)核之旅 325
8.4.2 控制Windows內(nèi)核的方法 337
8.4.3 內(nèi)核模式Windows？或許某一天……很快 344
8.4.4 保衛(wèi)Windows內(nèi)核 345
8.5 結(jié)論 347
8.6 總結(jié) 348
8.7 參考文獻(xiàn) 350
第9章進(jìn)一步深入 353
9.1 設(shè)置舞臺(tái)：Malware的不同層次 354
9.2 更深層次：BIOS的可能性和Malware微代碼 356
9.2.1 BIOS Malware的可能性 357
9.2.2 微代碼Malware 366
9.3 組合Malware 379
9.3.1 Lion：Linux中蠕蟲(chóng)/RootKit組合 380
9.3.2 Bugbear：Windows中蠕蟲(chóng)/病毒/后門(mén)的組合 383
9.3.3 并不是全部 387
9.3.4 防御Malware組合體 388
9.4 結(jié)論 388
9.5 總結(jié) 388
9.6 參考文獻(xiàn) 391
第10章情節(jié) 392
10.1 情節(jié)1：白璧微瑕 393
10.2 情節(jié)2：內(nèi)核偷盜者的入侵 399
10.3 情節(jié)3：沉默的蠕蟲(chóng) 408
10.4 結(jié)論 417
10.5 總結(jié) 417
第11章惡意代碼分析 420
11.1 建立一個(gè)惡意代碼分析實(shí)驗(yàn)室 420
11.1.1 警告：使用沒(méi)有工作目的的系統(tǒng)并遠(yuǎn)離Internet 421
11.1.2 全面的實(shí)驗(yàn)室體系結(jié)構(gòu) 421
11.1.3 虛擬化任何事物 423
11.2 惡意代碼分析過(guò)程 426
11.2.1 惡意代碼分析和合法軟件 427
11.2.2 準(zhǔn)備和確認(rèn) 428
11.2.3 安裝實(shí)例并做好分析準(zhǔn)備 432
11.2.4 靜態(tài)分析 434
11.2.5 動(dòng)態(tài)分析 448
11.2.6 用Burneye阻止惡意代碼分析 463
11.3 結(jié)論 466
11.4 總結(jié) 467
11.5 參考文獻(xiàn) 469
第12章結(jié)論 470
12.1 跟上技術(shù)發(fā)展的有用站點(diǎn) 470
12.1.1 Packet Storm Security 471
12.1.2 Security Focus 471
12.1.3 Global Information Assurance Certification 472
12.1.4 Phrack Electronic Magazine 472
12.1.5 The Honeynet Project 473
12.1.6 Mega Security 474
12.1.7 Infosec Writers 474
12.1.8 Counterhack 474
12.2 臨別思考 475
12.2.1 臨別思考：悲觀主義版 475
12.2.2 臨別思考：樂(lè)觀主義版 477