决战恶意代码PDF|Epub|txt|kindle电子书版本网盘下载

决战恶意代码PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 介绍1

1.1 定义问题2

1.2 为什么恶意代码如此普遍3

1.2.1 混合的数据和可执行指令：令人惊恐的组合4

1.2.2 恶意的用户7

1.2.3 日益增加的同构计算环境8

1.2.4 空前的连通性8

1.2.5 不断扩大的缺乏专业技能的用户群9

1.2.6 这个世界并不是个友善和平的地方9

1.3 恶意代码的类型10

1.4 恶意代码的历史12

1.5 为什么写这本书15

1.6 有哪些期望16

1.7 参考文献18

第2章 病毒19

2.1 计算机病毒的早期历史21

2.2 感染机制和目标24

2.2.1 感染可执行文件24

2.2.2 感染引导区28

2.2.3 感染文档文件31

2.2.4 病毒感染的其他目标35

2.3 病毒的传播机制37

2.3.1 移动存储38

2.3.2 电子邮件及其下载39

2.3.3 共享目录39

2.4 防御病毒39

2.4.1 反病毒软件40

2.4.2 配置强化45

2.4.3 用户培训48

2.5.1 隐匿49

2.5 Malware的自我保护技术49

2.5.2 多态和变异50

2.5.3 惰化反病毒软件50

2.5.4 挫败Malware的自我保护技术51

2.6 结论52

2.7 总结52

2.8 参考文献53

第3章 蠕虫55

3.1 为什么使用蠕虫57

3.1.1 接管大量的系统57

3.1.2 使追踪变得更困难57

3.1.3 扩大危害范围58

3.2 蠕虫简史59

3.3 蠕虫的组成61

3.3.1 蠕虫的“弹头”62

3.3.2 传播引擎63

3.3.3 目标选择算法64

3.3.4 扫描引擎66

3.3.5 有效载荷66

3.3.6 组合各部分：Nimda案例研究67

3.4 蠕虫传播的障碍69

3.4.1 目标环境的多样性69

3.4.2 受害系统崩溃将限制蠕虫传播71

3.4.3 过量的传播可能阻塞网络71

3.4.4 不要自己踩到自己71

3.4.5 不要被别人踩到72

3.5 即将到来的超级蠕虫72

3.5.1 多平台蠕虫73

3.5.2 多探测蠕虫73

3.5.4 快速传播蠕虫74

3.5.3 Zero-Day探测蠕虫74

3.5.5 多态蠕虫76

3.5.6 变形蠕虫76

3.5.7 真正恶毒的蠕虫77

3.6 大的并非总是好的：非超级蠕虫78

3.7 防御蠕虫79

3.7.1 Ethical蠕虫80

3.7.2 反病毒软件：一个很好的办法，但需要和其他防御手段配合使用82

3.7.3 配置销售商补丁并加固公共访问系统82

3.7.4 阻断任意的输出连接83

3.7.5 建立事故响应机制83

3.7.6 不要摆弄蠕虫，甚至Ethical；除非84

3.8 结论85

3.9 总结86

3.10 参考文献87

第4章 恶意移动代码89

4.1 浏览器脚本91

4.1.1 资源枯竭92

4.1.2 浏览器劫持93

4.1.3 利用浏览器的漏洞窃取Cookie值96

4.1.4 跨网站脚本攻击100

4.2 ActiveX控件109

4.2.1 使用ActiveX控件110

4.2.2 恶意ActiveX控件112

4.2.3 利用非恶意ActiveX控件115

4.2.4 防御ActiveX的威胁：Internet Explorer设置118

4.3 Java Applets120

4.3.1 使用Java Applets121

4.3.2 Java Applet安全模型123

4.3.3 恶意Java Applets125

4.4 E-mail客户程序中的移动代码127

4.4.1 通过电子邮件提升访问权限128

4.4.2 防止提高E-mail访问权限129

4.4.3 Web Bugs与个人隐私130

4.4.4 防御Web Bugs131

4.5 分布式应用软件和移动代码132

4.6 防御恶意移动代码的其他方法134

4.6.1 反病毒软件135

4.6.2 行为监视软件136

4.6.3 反间谍软件工具137

4.7 结论140

4.8 总结140

4.9 参考文献142

第5章 后门144

5.1 不同类型的后门通路145

5.2 安装后门146

5.3 自动启动后门147

5.3.1 设置Windows后门启动147

5.3.2 防御：检测Windows后门启动技术152

5.3.3 启动UNIX后门154

5.3.4 防御：检测UNIX后门启动技术158

5.4 通用的网络连接工具：NetCat158

5.4.1 NetCat处理标准输入和标准输出159

5.4.2 NetCat后门命令行解释器监听程序161

5.4.3 简单NetCat后门命令行解释器监听程序的局限性163

5.4.4 利用NetCat后门客户机程序“强制”命令行解释器164

5.4.5 Netcat＋Crypto＝Cryptcat165

5.4.6 其他后门命令行解释器监听程序165

5.4.7 防御后门命令行解释器监听程序166

5.5 GUI越过网络大量使用虚拟网络计算172

5.5.1 关注VNC174

5.5.2 VNC网络特征和服务器模式175

5.5.3 用VNC“强制”GUI176

5.5.4 远程安装Windows VNC177

5.5.5 远程GUI防御179

5.6 无端口后门179

5.6.1 ICMP后门179

5.6.2 非混合型探测后门180

5.6.3 混合型探测后门183

5.6.4 防御无端口的后门186

5.7 结论189

5.8 总结190

5.9 参考文献191

第6章 特洛伊木马192

6.1.1 与Windows扩展名放在一起193

6.1 名字中有什么193

6.1.2 模仿其他文件名196

6.1.3 路径中的“．”威胁200

6.1.4 特洛伊命名游戏的防御202

6.2 包装明星204

6.2.1 包装工具的特点205

6.2.2 防御包装工具206

6.3 特洛伊软件发行站点206

6.3.1 特洛伊软件发行的老式路线207

6.3.2 流行新趋势：追随Web站点207

6.3.3 Tcpdump和Libpcap特洛伊木马后门208

6.3.4 针对特洛伊软件发行的防御211

6.4 给代码“下毒”212

6.4.1 代码的复杂性使得攻击更容易213

6.4.2 测试？什么测试214

6.4.3 软件开发的全球化趋势216

6.4.4 预防给代码“下毒”217

6.5 “指定”一个浏览器：Setiri218

6.5.1 Setiri组件218

6.5.2 Setiri通信219

6.5.3 防御Setiri221

6.6 将数据隐藏在可执行文件中：隐藏和多态223

6.6.1 Hydan和可执行文件信息隐藏224

6.6.2 Hydan在起作用225

6.6.3 防御Hydan228

6.7 结论228

6.8 总结229

6.9 参考文献230

第7章 用户模式RootKit231

7.1 UNIX用户模式RootKit233

7.1.1 LRK家族235

7.1.2 Universal RootKit（URK）244

7.1.3 使用RunEFS和Defiler'sToolkit控制文件系统247

7.1.4 ext2文件系统概述248

7.1.5 UNIXRootKit的防御254

7.2 Windows用户模式RootKit261

7.2.1 使用FakeGINA控制Windows登录263

7.2.2 运行中的WFP266

7.2.3 DLL注入、API挂钩和AFX WindowsRootKit273

7.2.4 防御Windows系统中的用户模式RootKit280

7.3 结论284

7.4 总结284

7.5 参考文献286

第8章 内核模式RootKit287

8.1 内核是什么287

8.2 内核控制的影响290

8.3 Linux内核293

8.3.1 Linux内核探险294

8.3.2 控制Linux内核的方法301

8.3.3 防御Linux内核318

8.3.4 检测Linux中的内核模式RootKit322

8.3.5 应对Linux中的内核模式RootKit324

8.4 Windows内核324

8.4.1 Windows内核之旅325

8.4.2 控制Windows内核的方法337

8.4.3 内核模式Windows？或许某一天……很快344

8.4.4 保卫Windows内核345

8.5 结论347

8.6 总结348

8.7 参考文献350

第9章 进一步深入353

9.1 设置舞台：Malware的不同层次354

9.2 更深层次：BIOS的可能性和Malware微代码356

9.2.1 BIOS Malware的可能性357

9.2.2 微代码Malware366

9.3 组合Malware379

9.3.1 Lion：Linux中蠕虫／RootKit组合380

9.3.2 Bugbear：Windows中蠕虫／病毒／后门的组合383

9.3.3 并不是全部387

9.3.4 防御Malware组合体388

9.4 结论388

9.5 总结388

9.6 参考文献391

第1 0章 情节392

10.1 情节1：白璧微瑕393

10.2 情节2：内核偷盗者的入侵399

10.3 情节3：沉默的蠕虫408

10.4 结论417

10.5 总结417

第11章 恶意代码分析420

11.1 建立一个恶意代码分析实验室420

11.1.1 警告：使用没有工作目的的系统并远离Internet421

11.1.2 全面的实验室体系结构421

11.1.3 虚拟化任何事物423

11.2 恶意代码分析过程426

11.2.1 恶意代码分析和合法软件427

11.2.2 准备和确认428

11.2.3 安装实例并做好分析准备432

11.2.4 静态分析434

11.2.5 动态分析448

11.2.6 用Burneye阻止恶意代码分析463

11.3 结论466

11.4 总结467

11.5 参考文献469

第12章 结论470

12.1 跟上技术发展的有用站点470

12.1.1 Packet Storm Security471

12.1.2 Security Focus471

12.1.3 Global Information Assurance Certification472

12.1.4 Phrack Electronic Magazine472

12.1.5 The Honeynet Project473

12.1.6 Mega Security474

12.1.7 Infosec Writers474

12.1.8 Counterhack474

12.2 临别思考475

12.2.1 临别思考：悲观主义版475

12.2.2 临别思考：乐观主义版477