Rootkit:系统灰色地带的潜伏者计算机 pdf下载
限时特惠
00:00:00
活动结束后恢复原价
纸质书参考价
¥23
电子版限时价
¥5.99
省 18 元
选择版本
内容简介
本篇主要提供Rootkit:系统灰色地带的潜伏者计算机电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 书名: | Rootkit:系统灰色地带的潜伏者(原书第2版)[图书]|3768716 |
| 图书定价: | 99元 |
| 图书作者: | (美)Bill Blunden |
| 出版社: | 机械工业出版社 |
| 出版日期: | 2013/10/1 0:00:00 |
| ISBN号: | 9787111441786 |
| 开本: | 16开 |
| 页数: | 570 |
| 版次: | 2-1 |
| 作者简介 |
| Bill Blunden,资深计算机安全专家,从事相关研究10余年,对rootkit有非常深入的研究。目前从事网络安全设备代码和ERP中间件的相关工作。活跃于计算机安全类社区,常与计算机安全领域多名***安全专家交流探讨。在学术生涯中走过不少弯路,因此对计算机安全有异于常人的观察角度和体会。 |
| 内容简介 |
| 五星级畅销书,rootkit领域的重要著作,计算机安全领域公认经典。从反取证角度,深入、系统解读rootkit的本质和核心技术,以及如何构建属于自己的rootkit武器。包含大量模块化示例,行文风趣幽默,颇具实战性和可读性。 《Rootkit:系统灰色地带的潜伏者(原书第2版)》共分四部分。第一部分(第1~6章),全新阐释rootkit 本质、rootkit与反取证关系、安全领域态势,以及反取证技术的策略、应对建议和攻击优势。之后,从硬件、软件(系统)、行业工具和内核空间方面介绍rootkit调查过程和利用反取证技术破坏调查过程的策略,使你对取证和反取证有全新了解。第二部分(第7~8章),主要介绍rootkit如何阻止磁盘分析和可执行文件的分析,而调查人员如何利用有效的工具和策略来分析辅助存储器(例如磁盘分析、卷分析、文件系统分析以及未知二进制分析)中可能留下的rootkit痕迹,并对内存驻留和多级释放器技术及用户态Exec(Userland Exec)理念进行了深入剖析。第三部分(第9~15章)主要详解攻击者利用rootkit破坏数据收集过程和造成“一切安好”的假象的前沿实用策略:阻止在线取证、内核模式策略、更改调用表、更改代码、更改内核对象、创建隐秘通道和部署带外rootkit。第四部分(第16章),高屋建瓴地重新总结了rootkit的核心策略,以及如何识别隐藏的rootkit、注意事项和如何处理感染等。 |
| 目录 |
《Rootkit:系统灰色地带的潜伏者(原书第2版)》 译者序 献给“孙悟空” 前言 第一部分 基 础 知 识 第1章 清空思想 / 1 1.1 不速之客 / 1 1.2 提炼一个更确切的定义 / 2 1.2.1 攻击循环 / 3 1.2.2 rootkit在攻击循环中的角色 / 4 1.2.3 单级释放器与多级释放器 / 4 1.2.4 其他部署方法 / 5 1.2.5 确切的学术性定义 / 6 1.2.6 不要混淆设计目标与实现 / 7 1.2.7 rootkit技术——力量倍增器 / 7 1.2.8 金·费尔比式比喻:破坏与毁坏 / 8 1.2.9 为何使用隐身技术?rootkit不能被发现吗 / 8 1.3 rootkit不等于恶意软件 / 9 1.3.1 感染源 / 9 1.3.2 广告软件和**** / 10 1.3.3 僵尸网络的兴起 / 10 1.3.4 引入:愚人飞客病毒 / 11 1.3.5 恶意软件与rootkit / 11 1.4 谁在开发和使用rootkit / 12 1.4.1 市场营销 / 12 1.4.2 数字版权管理 / 12 1.4.3 不是rootkit,而是种功能 / 13 1.4.4 法律实施 / 13 1.4.5 商业间谍 / 14 1.4.6 政治间谍 / 14 1.4.7 网络犯罪 / 15 1.4.8 谁开发了颇具艺术感的rootkit / 16 1.4.9 rootkit的道德性 / 17 1.5 慑魄惊魂:战场伤员分类 / 17 1.6 总结 / 21 第2章 反取证综述 / 22 2.1 事件响应 / 23 2.1.1 入侵检测系统(和入侵防御系统) / 23 2.1.2 异常行为 / 23 2.1.3 发生故障 / 24 2.2 计算机取证 / 24 2.2.1 rootkit不是隐身的吗?为什么还要进行反取证 / 24 2.2.2 假定最糟糕案例的场景 / 25 2.2.3 取证技术分类:第一种方法 / 26 2.2.4 取证技术分类:第二种方法 / 26 2.2.5 在线取证 / 27 2.2.6 当关机不再是种选择 / 28 2.2.7 关于拔掉电源插头的争论 / 28 2.2.8 崩溃转储或者不进行崩溃转储 / 28 2.2.9 事后检查分析 / 28 2.2.10 非本地数据 / 29 2.3 AF策略 / 29 2.3.1 数据销毁 / 30 2.3.2 数据隐藏 / 30 2.3.3 数据转换 / 31 2.3.4 数据伪造 / 31 2.3.5 数据源消除 / 31 2.4 AF技术的总体建议 / 31 2.4.1 使用定制工具 / 31 2.4.2 低且慢与焦土策略 / 32 2.4.3 避免特定实例攻击 / 32 2.4.4 使用分层防御 / 33 2.5 不明身份者具有优势 / 33 2.5.1 攻击者能够专注于攻击 / 33 2.5.2 防御者面临制度性挑战 / 33 2.5.3 安全是一种过程(而且还是一种令人讨厌的过程) / 34 2.5.4 持续增加的复杂度 / 34 2.6 总结 / 35 第3章 硬件概述 / 36 3.1 物理内存 / 36 3.2 IA-32内存模型 / 38 3.2.1 平面内存模型 / 38 3.2.2 分段内存模型 / 38 3.2.3 操作模式 / 39 3.3 实模式 / 39 3.3.1 案例研究:MS-DOS / 40 3.3.2 这不是浪费时间吗?为什么学习实模式 / 42 3.3.3 实模式执行环境 / 42 3.3.4 实模式中断 / 44 3.3.5 分段和程序控制 / 46 3.3.6 案例研究:转储IVT / 47 3.3.7 案例研究:用TSR记录击键 / 48 3.3.8 案例研究:隐藏TSR / 52 3.3.9 案例研究:为TREE.COM命令打补丁 / 56 3.3.10 小结 / 58 3.4 保护模式 / 59 3.4.1 保护模式执行环境 / 59 3.4.2 保护模式分段 / 61 3.4.3 保护模式分页 / 64 3.4.4 地址扩展分页 / 66 3.4.5 进一步研究页表 / 67 3.4.6 进一步研究控制寄存器 / 68 3.5 实现内存保护 / 70 3.5.1 通过分段实现保护 / 70 3.5.2 界限检查 / 70 3.5.3 类型检查 / 70 3.5.4 特权检查 / 71 3.5.5 受限指令检查 / 72 3.5.6 门描述符 / 72 3.5.7 保护模式中断表 / 75 3.5.8 分页保护 / 76 3.5.9 总结 / 77 第4章 系统概述 / 79 4.1 Windows系统下的物理内存 / 80 4.1.1 失落的大陆(内存) / 80 4.1.2 Windows如何使用物理地址扩展 / 81 4.1.3 页、页帧、页帧号 / 82 4.2 Windows下的分段和分页 / 82 4.2.1 分段 / 83 4.2.2 分页 / 84 4.2.3 线性地址到物理地址的转换 / 87 4.2.4 一个更快的方法 / 88 4.2.5 关于EPROCESS和KPROCESS的讨论 / 88 4.3 用户空间和内核空间 / 89 4.3.1 4GB调优(4GT) / 90 4.3.2 各得其所 / 91 4.3.3 跨越篱笆 / 91 4.3.4 用户空间剖析 / 92 4.3.5 内核空间动态分配 / 93 4.3.6 地址窗口化扩展 / 94 4.3.7 PAE、4GT和AWE的对比 / 94 4.4 用户模式和内核模式 / 94 4.4.1 执行方式与执行位置 / 95 4.4.2 内核模式组件 / 95 4.4.3 用户模式组件 / 98 4.5 其他内存保护特征 / 99 4.5.1 数据执行保护 / 100 4.5.2 地址空间布局随机化 / 103 4.5.3 /GS 编译选项 / 105 4.5.4 /SAFESEH链接器选项 / 107 4.6 本机API / 108 4.6.1 中断向量表的发展 / 108 4.6.2 进一步研究中断描述表 / 109 4.6.3 通过中断进行系统调用 / 110 4.6.4 SYSENTER指令 / 110 4.6.5 系统服务调度表 / 111 4.6.6 枚举本机API / 114 4.6.7 Nt*( )系统调用与Zw*( )系统调用 / 114 4.6.8 系统调用的生命周期 / 115 4.6.9 其他内核模式例程 / 117 4.6.10 内核模式API文档 / 119 4.7 引导过程 / 121 4.7.1 BIOS固件启动 / 121 4.7.2 EFI固件启动 / 122 4.7.3 Windows启动管理器 / 122 4.7.4 Windows启动加载器 / 124 4.7.5 初始化执行体 / 125 4.7.6 会话管理器 / 126 4.7.7 wininit.exe / 128 4.7.8 winlogon.exe / 128 4.7.9 启动过程概括 / 129 4.8 设计决策 / 130 4.8.1 藏在人群中:类型0 / 131 4.8.2 主动隐藏:类型1和类型2 / 131 4.8.3 跳出边界:类型3 / 132 4.8.4 前景展望 / 133 第5章 行业工具 / 134 5.1 开发工具 / 134 5.1.1 诊断工具 / 135 5.1.2 磁盘映像工具 / 135 5.1.3 更快速救灾:虚拟机 / 136 5.1.4 工具综述 / 137 5.2 调试器 / 138 5.2.1 配置CDB.exe / 139 5.2.2 符号文件 / 140 5.2.3 Windows符号 / 140 5.2.4 激活CDB.exe / 141 5.2.5 控制CDB.exe / 142 5.2.6 有用的调试器命令 / 143 5.2.7 检查符号命令(x) / 143 5.2.8 列举已加载的模块(lm和!lmi) / 144 5.2.9 显示类型命令(dt) / 146 5.2.10 反汇编命令(u) / 146 5.2.11 显示命令(d*) / 147 5.2.12 寄存器命令(r) / 148 5.3 KD.exe内核调试器 / 148 5.3.1 使用内核调试器的不同方法 / 148 5.3.2 物理宿主机–目标机配置 / 150 5.3.3 准备硬件 / 150 5.3.4 准备软件 / 152 5.3.5 启动内核调试会话 / 153 5.3.6 控制目标机 / 154 5.3.7 虚拟宿主机–目标机配置 / 155 5.3.8 有用的内核模式调试器命令 / 156 5.3.9 列举已加载模块命令 / 156 5.3.10 !process扩展命令 / 156 5.3.11 寄存器命令(r) / 158 5.3.12 使用崩溃转储 / 159 5.3.13 方法1:PS/2键盘技巧 / 159 5.3.14 方法2:KD.exe命令 / 160 5.3.15 方法3:NotMyFault.exe / 161 5.3.16 崩溃转储分析 / 161 第6章 内核空间中的玄机 / 162 6.1 KMD模板 / 162 6.1.1 内核模式驱动程序:全局概览 / 163 6.1.2 WDK框架 / 164 6.1.3 真正最小的KMD / 164 6.1.4 处理IRP / 167 6.1.5 与用户模式代码通信 / 171 6.1.6 从用户模式发送命令 / 174 6.2 加载内核模式驱动程序 / 177 6.3 服务控制管理器 / 177 ... |