《Rootkit:系统灰色地带的潜伏者计算机》[95M]百度网盘|pdf下载|亲测有效
《Rootkit:系统灰色地带的潜伏者计算机》[95M]百度网盘|pdf下载|亲测有效

Rootkit:系统灰色地带的潜伏者计算机 pdf下载

出版社 互动出版网图书专营店
出版年 2025
页数 390页
装帧 精装
评分 8.8(豆瓣)
限时特惠 00:00:00
活动结束后恢复原价
纸质书参考价 ¥23
电子版限时价 ¥5.99 省 18 元

选择版本

不满意全额退款
发货失败双倍赔偿
邮箱即时发送

内容简介

本篇主要提供Rootkit:系统灰色地带的潜伏者计算机电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com

 书名:  Rootkit:系统灰色地带的潜伏者(原书第2版)[图书]|3768716
 图书定价:  99元
 图书作者:  (美)Bill Blunden
 出版社:  机械工业出版社
 出版日期:  2013/10/1 0:00:00
 ISBN号:  9787111441786
 开本:  16开
 页数:  570
 版次:  2-1
 作者简介
Bill Blunden,资深计算机安全专家,从事相关研究10余年,对rootkit有非常深入的研究。目前从事网络安全设备代码和ERP中间件的相关工作。活跃于计算机安全类社区,常与计算机安全领域多名***安全专家交流探讨。在学术生涯中走过不少弯路,因此对计算机安全有异于常人的观察角度和体会。
 内容简介
五星级畅销书,rootkit领域的重要著作,计算机安全领域公认经典。从反取证角度,深入、系统解读rootkit的本质和核心技术,以及如何构建属于自己的rootkit武器。包含大量模块化示例,行文风趣幽默,颇具实战性和可读性。
《Rootkit:系统灰色地带的潜伏者(原书第2版)》共分四部分。第一部分(第1~6章),全新阐释rootkit 本质、rootkit与反取证关系、安全领域态势,以及反取证技术的策略、应对建议和攻击优势。之后,从硬件、软件(系统)、行业工具和内核空间方面介绍rootkit调查过程和利用反取证技术破坏调查过程的策略,使你对取证和反取证有全新了解。第二部分(第7~8章),主要介绍rootkit如何阻止磁盘分析和可执行文件的分析,而调查人员如何利用有效的工具和策略来分析辅助存储器(例如磁盘分析、卷分析、文件系统分析以及未知二进制分析)中可能留下的rootkit痕迹,并对内存驻留和多级释放器技术及用户态Exec(Userland Exec)理念进行了深入剖析。第三部分(第9~15章)主要详解攻击者利用rootkit破坏数据收集过程和造成“一切安好”的假象的前沿实用策略:阻止在线取证、内核模式策略、更改调用表、更改代码、更改内核对象、创建隐秘通道和部署带外rootkit。第四部分(第16章),高屋建瓴地重新总结了rootkit的核心策略,以及如何识别隐藏的rootkit、注意事项和如何处理感染等。
 目录

《Rootkit:系统灰色地带的潜伏者(原书第2版)》
译者序
献给“孙悟空”
前言
第一部分 基 础 知 识
第1章 清空思想 / 1
1.1 不速之客 / 1
1.2 提炼一个更确切的定义 / 2
1.2.1 攻击循环 / 3
1.2.2 rootkit在攻击循环中的角色 / 4
1.2.3 单级释放器与多级释放器 / 4
1.2.4 其他部署方法 / 5
1.2.5 确切的学术性定义 / 6
1.2.6 不要混淆设计目标与实现 / 7
1.2.7 rootkit技术——力量倍增器 / 7
1.2.8 金·费尔比式比喻:破坏与毁坏 / 8
1.2.9 为何使用隐身技术?rootkit不能被发现吗 / 8
1.3 rootkit不等于恶意软件 / 9
1.3.1 感染源 / 9
1.3.2 广告软件和**** / 10
1.3.3 僵尸网络的兴起 / 10
1.3.4 引入:愚人飞客病毒 / 11
1.3.5 恶意软件与rootkit / 11
1.4 谁在开发和使用rootkit / 12
1.4.1 市场营销 / 12
1.4.2 数字版权管理 / 12
1.4.3 不是rootkit,而是种功能 / 13
1.4.4 法律实施 / 13
1.4.5 商业间谍 / 14
1.4.6 政治间谍 / 14
1.4.7 网络犯罪 / 15
1.4.8 谁开发了颇具艺术感的rootkit / 16
1.4.9 rootkit的道德性 / 17
1.5 慑魄惊魂:战场伤员分类 / 17
1.6 总结 / 21
第2章 反取证综述 / 22
2.1 事件响应 / 23
2.1.1 入侵检测系统(和入侵防御系统) / 23
2.1.2 异常行为 / 23
2.1.3 发生故障 / 24
2.2 计算机取证 / 24
2.2.1 rootkit不是隐身的吗?为什么还要进行反取证 / 24
2.2.2 假定最糟糕案例的场景 / 25
2.2.3 取证技术分类:第一种方法 / 26
2.2.4 取证技术分类:第二种方法 / 26
2.2.5 在线取证 / 27
2.2.6 当关机不再是种选择 / 28
2.2.7 关于拔掉电源插头的争论 / 28
2.2.8 崩溃转储或者不进行崩溃转储 / 28
2.2.9 事后检查分析 / 28
2.2.10 非本地数据 / 29
2.3 AF策略 / 29
2.3.1 数据销毁 / 30
2.3.2 数据隐藏 / 30
2.3.3 数据转换 / 31
2.3.4 数据伪造 / 31
2.3.5 数据源消除 / 31
2.4 AF技术的总体建议 / 31
2.4.1 使用定制工具 / 31
2.4.2 低且慢与焦土策略 / 32
2.4.3 避免特定实例攻击 / 32
2.4.4 使用分层防御 / 33
2.5 不明身份者具有优势 / 33
2.5.1 攻击者能够专注于攻击 / 33
2.5.2 防御者面临制度性挑战 / 33
2.5.3 安全是一种过程(而且还是一种令人讨厌的过程) / 34
2.5.4 持续增加的复杂度 / 34
2.6 总结 / 35
第3章 硬件概述 / 36
3.1 物理内存 / 36
3.2 IA-32内存模型 / 38
3.2.1 平面内存模型 / 38
3.2.2 分段内存模型 / 38
3.2.3 操作模式 / 39
3.3 实模式 / 39
3.3.1 案例研究:MS-DOS / 40
3.3.2 这不是浪费时间吗?为什么学习实模式 / 42
3.3.3 实模式执行环境 / 42
3.3.4 实模式中断 / 44
3.3.5 分段和程序控制 / 46
3.3.6 案例研究:转储IVT / 47
3.3.7 案例研究:用TSR记录击键 / 48
3.3.8 案例研究:隐藏TSR / 52
3.3.9 案例研究:为TREE.COM命令打补丁 / 56
3.3.10 小结 / 58
3.4 保护模式 / 59
3.4.1 保护模式执行环境 / 59
3.4.2 保护模式分段 / 61
3.4.3 保护模式分页 / 64
3.4.4 地址扩展分页 / 66
3.4.5 进一步研究页表 / 67
3.4.6 进一步研究控制寄存器 / 68
3.5 实现内存保护 / 70
3.5.1 通过分段实现保护 / 70
3.5.2 界限检查 / 70
3.5.3 类型检查 / 70
3.5.4 特权检查 / 71
3.5.5 受限指令检查 / 72
3.5.6 门描述符 / 72
3.5.7 保护模式中断表 / 75
3.5.8 分页保护 / 76
3.5.9 总结 / 77
第4章 系统概述 / 79
4.1 Windows系统下的物理内存 / 80
4.1.1 失落的大陆(内存) / 80
4.1.2 Windows如何使用物理地址扩展 / 81
4.1.3 页、页帧、页帧号 / 82
4.2 Windows下的分段和分页 / 82
4.2.1 分段 / 83
4.2.2 分页 / 84
4.2.3 线性地址到物理地址的转换 / 87
4.2.4 一个更快的方法 / 88
4.2.5 关于EPROCESS和KPROCESS的讨论 / 88
4.3 用户空间和内核空间 / 89
4.3.1 4GB调优(4GT) / 90
4.3.2 各得其所 / 91
4.3.3 跨越篱笆 / 91
4.3.4 用户空间剖析 / 92
4.3.5 内核空间动态分配 / 93
4.3.6 地址窗口化扩展 / 94
4.3.7 PAE、4GT和AWE的对比 / 94
4.4 用户模式和内核模式 / 94
4.4.1 执行方式与执行位置 / 95
4.4.2 内核模式组件 / 95
4.4.3 用户模式组件 / 98
4.5 其他内存保护特征 / 99
4.5.1 数据执行保护 / 100
4.5.2 地址空间布局随机化 / 103
4.5.3 /GS 编译选项 / 105
4.5.4 /SAFESEH链接器选项 / 107
4.6 本机API / 108
4.6.1 中断向量表的发展 / 108
4.6.2 进一步研究中断描述表 / 109
4.6.3 通过中断进行系统调用 / 110
4.6.4 SYSENTER指令 / 110
4.6.5 系统服务调度表 / 111
4.6.6 枚举本机API / 114
4.6.7 Nt*( )系统调用与Zw*( )系统调用 / 114
4.6.8 系统调用的生命周期 / 115
4.6.9 其他内核模式例程 / 117
4.6.10 内核模式API文档 / 119
4.7 引导过程 / 121
4.7.1 BIOS固件启动 / 121
4.7.2 EFI固件启动 / 122
4.7.3 Windows启动管理器 / 122
4.7.4 Windows启动加载器 / 124
4.7.5 初始化执行体 / 125
4.7.6 会话管理器 / 126
4.7.7 wininit.exe / 128
4.7.8 winlogon.exe / 128
4.7.9 启动过程概括 / 129
4.8 设计决策 / 130
4.8.1 藏在人群中:类型0 / 131
4.8.2 主动隐藏:类型1和类型2 / 131
4.8.3 跳出边界:类型3 / 132
4.8.4 前景展望 / 133
第5章 行业工具 / 134
5.1 开发工具 / 134
5.1.1 诊断工具 / 135
5.1.2 磁盘映像工具 / 135
5.1.3 更快速救灾:虚拟机 / 136
5.1.4 工具综述 / 137
5.2 调试器 / 138
5.2.1 配置CDB.exe / 139
5.2.2 符号文件 / 140
5.2.3 Windows符号 / 140
5.2.4 激活CDB.exe / 141
5.2.5 控制CDB.exe / 142
5.2.6 有用的调试器命令 / 143
5.2.7 检查符号命令(x) / 143
5.2.8 列举已加载的模块(lm和!lmi) / 144
5.2.9 显示类型命令(dt) / 146
5.2.10 反汇编命令(u) / 146
5.2.11 显示命令(d*) / 147
5.2.12 寄存器命令(r) / 148
5.3 KD.exe内核调试器 / 148
5.3.1 使用内核调试器的不同方法 / 148
5.3.2 物理宿主机–目标机配置 / 150
5.3.3 准备硬件 / 150
5.3.4 准备软件 / 152
5.3.5 启动内核调试会话 / 153
5.3.6 控制目标机 / 154
5.3.7 虚拟宿主机–目标机配置 / 155
5.3.8 有用的内核模式调试器命令 / 156
5.3.9 列举已加载模块命令 / 156
5.3.10 !process扩展命令 / 156
5.3.11 寄存器命令(r) / 158
5.3.12 使用崩溃转储 / 159
5.3.13 方法1:PS/2键盘技巧 / 159
5.3.14 方法2:KD.exe命令 / 160
5.3.15 方法3:NotMyFault.exe / 161
5.3.16 崩溃转储分析 / 161
第6章 内核空间中的玄机 / 162
6.1 KMD模板 / 162
6.1.1 内核模式驱动程序:全局概览 / 163
6.1.2 WDK框架 / 164
6.1.3 真正最小的KMD / 164
6.1.4 处理IRP / 167
6.1.5 与用户模式代码通信 / 171
6.1.6 从用户模式发送命令 / 174
6.2 加载内核模式驱动程序 / 177
6.3 服务控制管理器 / 177
...