可以朗读 语音朗读
284千字 字数
2022-02-01 发行日期
展开全部

主编推荐语

本书探索恶意软件分析、取证的前沿技术,聚焦恶意软件逆向工程,阐述漏洞成因及利用方式,以及如何在现代计算机中实现信任。

内容简介

本书主要内容包括:Windows如何启动,在哪里找到漏洞;引导过程安全机制(如安全引导)的详细信息,包括虚拟安全模式(VSM)和设备保护的概述;如何通过逆向工程和取证技术分析真正的恶意软件;如何使用仿真和Bochs和IDA Pro等工具执行静态和动态分析;如何更好地了解BIOS和UEFI固件威胁的交付阶段,以创建检测功能;如何使用虚拟化工具,如VMware Workstation;深入分析逆向工程中的Bootkit和Intel Chipsec。

目录

  • 版权信息
  • 序言
  • 前言
  • 致谢
  • 关于作者
  • 关于技术审校
  • 译者简介
  • 第一部分 Rootkit
  • 第1章 Rootkit原理:TDL3案例研究
  • 1.1 TDL3在真实环境中的传播历史
  • 1.2 感染例程
  • 1.3 控制数据流
  • 1.4 隐藏的文件系统
  • 1.5 小结:TDL3也有“天敌”
  • 第2章 Festi Rootkit:先进的垃圾邮件和DDoS僵尸网络
  • 2.1 Festi僵尸网络的案例
  • 2.2 剖析Rootkit驱动程序
  • 2.3 Festi网络通信协议
  • 2.4 绕过安全和取证软件
  • 2.5 C&C故障的域名生成算法
  • 2.6 恶意的功能
  • 2.7 小结
  • 第3章 观察Rootkit感染
  • 3.1 拦截的方法
  • 3.2 恢复系统内核
  • 3.3 伟大的Rootkit军备竞赛:一个怀旧的笔记
  • 3.4 小结
  • 第二部分 Bootkit
  • 第4章 Bootkit的演变
  • 4.1 第一个Bootkit恶意程序
  • 4.2 Bootkit病毒的演变
  • 4.3 新一代Bootkit恶意软件
  • 4.4 小结
  • 第5章 操作系统启动过程要点
  • 5.1 Windows引导过程的高级概述
  • 5.2 传统引导过程
  • 5.3 Windows系统的引导过程
  • 5.4 小结
  • 第6章 引导过程安全性
  • 6.1 ELAM模块
  • 6.2 微软内核模式代码签名策略
  • 6.3 Secure Boot技术
  • 6.4 Windows 10中基于虚拟化的安全
  • 6.5 小结
  • 第7章 Bootkit感染技术
  • 7.1 MBR感染技术
  • 7.2 VBR / IPL感染技术
  • 7.3 小结
  • 第8章 使用IDA Pro对Bootkit进行静态分析
  • 8.1 分析Bootkit MBR
  • 8.2 VBR业务分析技术
  • 8.3 高级IDA Pro的使用:编写自定义MBR加载器
  • 8.4 小结
  • 8.5 练习
  • 第9章 Bootkit动态分析:仿真和虚拟化
  • 9.1 使用Bochs进行仿真
  • 9.2 使用VMware Workstation进行虚拟化
  • 9.3 微软Hyper-V和Oracle VirtualBox
  • 9.4 小结
  • 9.5 练习
  • 第10章 MBR和VBR感染技术的演变:Olmasco
  • 10.1 Dropper
  • 10.2 Bootkit的功能
  • 10.3 Rootkit的功能
  • 10.4 小结
  • 第11章 IPL Bootkit:Rovnix和Carberp
  • 11.1 Rovnix的演化
  • 11.2 Bootkit架构
  • 11.3 感染系统
  • 11.4 感染后的引导过程和IPL
  • 11.5 内核模式驱动程序的功能
  • 11.6 隐藏的文件系统
  • 11.7 隐藏的通信信道
  • 11.8 案例研究:与Carberp的联系
  • 11.9 小结
  • 第12章 Gapz:高级VBR感染
  • 12.1 Gapz Dropper
  • 12.2 使用Gapz Bootkit感染系统
  • 12.3 Gapz Rootkit的功能
  • 12.4 隐藏存储
  • 12.5 小结
  • 第13章 MBR勒索软件的兴起
  • 13.1 现代勒索软件简史
  • 13.2 勒索软件与Bootkit功能
  • 13.3 勒索软件的运作方式
  • 13.4 分析Petya勒索软件
  • 13.5 分析Satana勒索软件
  • 13.6 小结
  • 第14章 UEFI与MBR/VBR引导过程
  • 14.1 统一可扩展固件接口
  • 14.2 传统BIOS和UEFI引导过程之间的差异
  • 14.3 GUID分区表的细节
  • 14.4 UEFI固件的工作原理
  • 14.5 小结
  • 第15章 当代UEFI Bootkit
  • 15.1 传统BIOS威胁的概述
  • 15.2 所有硬件都有固件
  • 15.3 感染BIOS的方法
  • 15.4 理解Rootkit注入
  • 15.5 真实环境中的UEFI Rootkit
  • 15.6 小结
  • 第16章 UEFI固件漏洞
  • 16.1 固件易受攻击的原因
  • 16.2 对UEFI固件漏洞进行分类
  • 16.3 UEFI固件保护的历史
  • 16.4 Intel Boot Guard
  • 16.5 SMM模块中的漏洞
  • 16.6 S3引导脚本中的漏洞
  • 16.7 Intel管理引擎中的漏洞
  • 16.8 小结
  • 第三部分 防护和取证技术
  • 第17章 UEFI Secure Boot的工作方式
  • 17.1 什么是Secure Boot
  • 17.2 UEFI Secure Boot实现细节
  • 17.3 攻击Secure Boot
  • 17.4 通过验证和测量引导保护Secure Boot
  • 17.5 Intel Boot Guard
  • 17.6 ARM可信引导板
  • 17.7 验证引导与固件Rootkit
  • 17.8 小结
  • 第18章 分析隐藏文件系统的方法
  • 18.1 隐藏文件系统概述
  • 18.2 从隐藏的文件系统中检索Bootkit数据
  • 18.3 解析隐藏的文件系统映像
  • 18.4 HiddenFsReader工具
  • 18.5 小结
  • 第19章 BIOS/UEFI取证:固件获取和分析方法
  • 19.1 取证技术的局限性
  • 19.2 为什么固件取证很重要
  • 19.3 了解固件获取
  • 19.4 实现固件获取的软件方法
  • 19.5 实现固件获取的硬件方法
  • 19.6 使用UEFITool分析固件映像
  • 19.7 使用Chipsec分析固件映像
  • 19.8 小结
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

机械工业出版社有限公司

机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。