搜索
高级检索
高级搜索
书       名 :
著       者 :
出  版  社 :
I  S  B  N:
文献来源:
出版时间 :
恶意软件、Rootkit和僵尸网络
0.00    
图书来源: 浙江图书馆(由图书馆配书)
  • 配送范围:
    全国(除港澳台地区)
  • ISBN:
    9787111436959
  • 作      者:
    (美)Christopher C. Elisan著
  • 出 版 社 :
    机械工业出版社
  • 出版日期:
    2013
收藏
编辑推荐
  

  恶意软件、Rootkit和僵尸网络领域经典入门书,译著双馨,10余家安全机构联袂推荐。
  《恶意软件、Rootkit和僵尸网络》既从攻击者的角度详细介绍了恶意软件的技术原理和攻击方法,又从防御者的角度深入讲解了恶意软件的分析方法以及应对各种威胁的解决方案和实践

  

海报:

 

展开
作者简介

  Christopher C. Elisan,资深逆向分析工程师和恶意软件研究专家,RSA NetWitness的首席恶意软件分析科学家。他经常为《今日美国》、《信息周刊》、《隐秘读物》(Dark Reading)等领导性出版物提供恶意软件、僵尸网络、高级持续性威胁方面的专家意见。

  译者简介
  郭涛,博士,中国信息安全测评中心副总工程师,软件安全实验室主任,主要研究方向为软件安全与漏洞分析技术。多次承担自然科学基金、863、核高基、电子发展基金等多项国家重大科研项目,负责多项国家标准的制定工作,获国家科技进步一等奖一次、省部级科技进步一等奖一次,出版专著、译著十余本,发表学术论文数十篇。

展开
内容介绍

  《恶意软件、Rootkit和僵尸网络》是恶意软件、rootkit和僵尸网络领域的经典入门书,也被誉为是该领域最好的一本书,10余家安全机构联袂推荐,Amazon五星畅销书。由国际知名的安全技术专家撰写,中国信息安全测评中心软件安全实验室主任领衔翻译,译著双馨。本书既从攻击者的角度详细介绍了恶意软件的技术原理、攻击流程和攻击方法,又从防御者的角度深入讲解了恶意软件的分析方法以及应对各种威胁的解决方案和最佳实践。书中包含大量案例,不仅实践性强,而且还颇有趣味。
  《恶意软件、Rootkit和僵尸网络》共分为四部分。第一部分(第1~4章)迅速导入“基础知识”,介绍当前面临的威胁、主要网络攻击手段,使读者能充分了解什么是恶意软件、rootkit和僵尸网络。第二部分(第5~8章),是本书核心部分,从更高的视角来讲解以下内容:攻击者的恶意软件操作形式;网络犯罪团体的组织形式;攻击者如何利用现有技术去创建、部署、管理可控的恶意软件和僵尸网络,涵盖整个威胁流程,使读者对恶意软件编写者的思维方式和操作方法有深入了解,极具参考价值。这部分还将阐明普通用户如何于不知不觉中成为网络犯罪组织的参与者,以及攻击者获益链条。第三部分(第9~11章),主要讲解“企业应对方案”,引导读者进一步了解威胁处理方法、提高系统安全性的秘技、了解现有系统安全性的实用性方法,以及识别和缓解潜在威胁的业界最佳实践。第四部分(第12章),此部分回顾本书所讲内容,并着重讨论了恶意软件、rootkit和僵尸网络今后的发展态势,使读者了解目前反恶意软件领域的前沿研究工作。

展开
精彩书评

  本书对于面临网络攻击巨大压力的现今世界来说是一个极大的鼓舞,该书是所有信息技术人员理解当今网络威胁环境的指南。
  ——张伟钦,趋势科技公司首席开发官

  如《孙子兵法》所说,“知己知彼,百战不殆”。Christopher Elisan的这本书系统地揭示了恶意软件编写者和反恶意软件解决方案供应商的思维过程。Christopher在书中非常慷慨地分享了他的安全知识和经验。他用自己的亲身经历解释了行业术语、常见的做法、恶意软件分析的各种方法,以及“好人”和“坏人”都会用到的工具和技术。阅读这本书能够帮助读者更好地了解自己和敌人。我认为,对于负责保护主机、应用、网络的安全,避免它们遭受已知和未知威胁的所有安全专家而言,这本书都是必读的材料。
  ——Chee Tan,Avira公司业务发展总监

  如果在没有牺牲有关数据和系统的关键知识点的情况下,就很难对安全知识进行简化。而Christopher能够针对安全中最为复杂的主题进行阐述,并且在没有牺牲关键知识点的情况下进行简化。这本书不仅是初学者必读的,同时也会受到高级用户的喜爱。
  ——Richard Kohn,赛门铁克公司高级产品经理

  该书深入浅出地阐述了反恶意软件厂商的工作,以及他们在与恶意软件编写者之间永无止境的“猫捉老鼠”游戏中遇到的巨大挑战,宏观地展现了如今恶劣的恶意软件环境是多么普遍而又现实。
  ——David Monaco,Radialpoint公司信息安全总监

  在当今的信息驱动时代,计算机是我们日常使用的工具。智能手机、平板电脑或笔记本电脑能够提高我们的生活品质,我们的生活越来越依赖于这些设备的安全使用。如何确保我们的信息得到妥善保护?Christopher用通俗易懂的语言解释了IT领域中最令人激动的部分:反病毒世界。通过阅读这本书能够明白如何准备这场斗争。任何想要为自己的安全负责的人都必须阅读这本书。
  ——Vasco Duarte,Avira Operations有限责任公司敏捷开发培训教练

  这是如今关于恶意软件最好的图书之一。从攻击者和防护者两个角度,细致地阐述了恶意软件技术,并列举了大量的真实案例。如果你是一名初学者,该书可以帮你建立起坚实的知识基础;如果你是专业人士,它会让你相信,你之前实施的工作还不够好,还需要面对未来严峻的挑战;如果你是首席信息官或者IT安全经理,它让你更清楚地了解为什么恶意软件的战争很艰巨,为什么需要为它分配更多的预算。
  ——Lixin Lu,validEDGE公司首席技术官

  本书对于恶意软件以及如何保护你和你的组织免受恶意软件的侵害来说是一个非常好的引子。如果学习各种术语让你觉得疑惑或者担忧,剩余的部分会清晰地解释基础知识,帮助你从“好人”和“坏人”两个角度了解大局。之后,你将会准备评估你的安全状态,识别潜在的恶意软件威胁,并采取措施。
  ——Roger Harrison,Blue Coat Systems公司WebPulse高级研发总监

  如果你正在进入(或想要了解)计算机安全行业,本书是必读的,它能引导你快速地学习威胁环境的所有术语、概念和技术。它准确地阐述了恶意软件的发展历史,以及反恶意软件实验室为解决面临的计算机威胁所采取的努力。
  ——Jong Purisima,GFI-VIPRE公司反病毒实验室经理

  本书精彩地介绍了威胁智能感知和恶意代码分析的技术与科学。Chris Elisan通过真实、务实的方法来为读者(无论经验或水平)提供详细的方法论和用于加强读者理解、丰富读者专业知识的例子。随着威胁活动越来越普遍和复杂(威胁着全球越来越多的组织),迅速理解威胁环境的能力将变得不可或缺。
  ——Will Gragido,RSA公司威胁观察部门高级经理,《网络犯罪与间谍活动:破坏性多向量威胁的分析》作者

  这是一本新鲜而非常有见地的专著,概述了今天恶意软件分析过程的所有关键要素。必须拥有。
  ——Mario Vuksan,ReversingLabs公司首席执行官

展开
精彩书摘

  第一部分
  基 础 知 识
  第1章 背 景 知 识
  本章主要内容
  目前所面临的威胁概述
  恶意软件对国家安全的威胁
  本章首先简要介绍恶意软件、rootkit和僵尸网络,使读者对其有初步了解。作为一名逆向分析工程师和恶意软件研究者,我首先将介绍第一次遇到恶意软件的情形,那次经历激起了我的好奇心,并且这种好奇一直贯穿我的整个职业生涯。本章最后简要阐述人们面临的威胁,以及恶意软件对国家安全的威胁。
  1.1 一次恶意软件遭遇
  不知道从哪一天开始,我们的生活开始受到恶意软件的影响。我们中的每个人可能都记得第一次遭遇恶意软件时的场景。当时我有一台IBM兼容机,配置是80386SX架构、256MB硬盘和4MB内存,并且有两个5.25英寸和一个3.5英寸软盘驱动器,一台14英寸的黑白VGA显示器,一台爱普生点阵打印机。操作系统是DOS 6.22,在其上运行着Windows 3.11。这台机器对我来说很有用,我经常在这台机器上写一些Pascal、C和汇编语言程序。
  偶尔,我会和一些被病毒感染的软盘不期而遇,例如STONED、Jerusalem和Brain病毒。但是McAfee反病毒软件能够处理这些病毒,因此我的电脑还是可以正常工作,并且还能使用WordPerfect编辑文件和玩一些带有MIDI声效的游戏。但是有一天,当我使用Windows 3.11时,计算机突然死机,完全没了反应。我看到的是一系列软件错误信息,我重启了机器并用McAfee进行杀毒,但是没有检测到任何病毒信息。我接着运行了WIN.COM试图启动Windows 3.11,但是过了一分钟左右还是显示同样的错误信息。我用大约10张3.5英寸软盘又重新安装了Windows 3.11,但是问题仍然存在。我完全不知道下面该怎么办。第二天我将计算机带到一个朋友那里,他开了一家计算机商店。他使用升级过SCAN.DAT的McAfee杀毒软件扫描了整个系统,找到了一种名为DIE-HARD 2的病毒。它感染了Windows 3.11的可执行文件和相关组件。因为DIE-HARD 2是一种DOS病毒,它的格式与Windows 3.11的不同,该病毒实际上破坏的是Windows 3.11的相关组件,因此,系统会显示软件错误信息。
  术语 SCAN.DAT是McAfee的病毒特征文件,也就是第一代DAT文件。
  此次经历使我对病毒、病毒的本质以及病毒的工作原理产生了强烈的好奇心和浓厚兴趣。我以前修改DOS的COMMAND.COM文件使它显示一些有趣的错误信息、倒腾Norton组件的爱好逐渐被对病毒的好奇心所代替,直到它最终变成我的职业。在计算机工程系拿到学士学位后,由于具有汇编语言方面的专长,我进入了趋势科技公司,从此站在了与恶意软件斗争的第一线。
  加入趋势科技公司以后,我了解到病毒和恶意软件技术的发展和巨大影响,这使我大开眼界。它使我清醒地认识到病毒对个人、商业以及执法部门所带来的严重威胁。在这家公司我和一个专家组一起工作,致力于解决当前世界所面临的恶意软件问题,这是一件非常有意思的事情。我们面临的威胁发展得如此迅速,唯一解决的途径就是不断学习和适应,否则,终将会被淘汰。不断学习是必需的,熟悉这种威胁的发展趋势也是有必要的。
  1.2 目前所面临的威胁概述
  恶意软件仍然是一种不容小觑的力量,并且计算机技术的发展并没有使其消亡。相反,恶意软件不断充分利用各种新技术,不断发展壮大。例如,电子邮件彻底颠覆了人们在全世界范围内发送信息的方式,它被用来在全球范围内快速传播恶意软件。社交网络站点发布的某些信息会将用户导向一些恶意的网址,而这些网址会自动在用户不知情的情况下,在系统上安装恶意软件。在以前的会议演讲中,我曾经展示过利用Twitter来控制那些驻留在目标系统中的恶意软件。除此以外,恶意软件也在不断增强自身的保护能力。技术的发展使得恶意软件能够逃避检测和分析,并且使得它们在渗透进入高价值目标时变得几乎不可阻挡。我在以前的会议演讲中还谈到,一些新的自保护技术使得检测恶意软件越来越困难,每天产生的新恶意软件数量也令人难以置信。新技术的产生使得恶意软件产生呈流水线形式,并且旧版本的软件可以循环再利用。
  术语 协同攻击描述的是多台受感染机器共同执行某一条攻击指令的现象。
  同时,系统长期处于在线状态使得攻击者可能与那些潜伏在系统中的恶意软件进行通信。从一对一的通信开始,这种情形会辐射到一对多的通信。如今攻击者已经可以一次控制成百上千台受感染的主机,进而使这些主机进行协同攻击。这就是平常所说的僵尸网络,是高级持续性威胁的主要形式之一。在这些威胁的背后不是恶意软件团体的简单竞争,而是有强烈动机而且资金充裕的网络犯罪。而这些遭受高级持续性威胁的目标是经过认真挑选的,或者是由于这个目标本身的价值所在,或者是按照资助者的命令行事。
  网络犯罪者认识到恶意软件的高利润;对这方面的投资催生了地下恶意软件市场。恶意软件从过去的滋扰行为过渡到成为一种真正的威胁,它用一种非常邪恶的方式重新定义了什么是威胁。现在,美国政府以及世界其他国家执法部门都很重视恶意软件问题。
  恶意软件的威胁范畴并不单单限定在个人计算机,凡是可以运行软件的设备都是恶意软件的潜在受害者。移动电话就是其中之一。移动电话具有很强的计算能力和灵活的移动性,它们实际上就是一款迷你个人计算机。但是移动电话吸引攻击者的原因是,几乎人人都至少拥有一部,此外,移动电话中的某些数据对攻击者来说很有价值,这就是移动恶意软件迅速发展起来的原因。
  更为糟糕的是,反恶意软件产品跟不上恶意软件的发展步伐,一些反恶意软件技术仍然停留在起步阶段。那些依赖于特征的“陈旧”手法注定要受到恶意软件的欢迎,一些方法甚至给用户传递了一种错误的安全观念。一些人认为如果他们的安全产品没有发现危险信息,那么就意味着已经是安全的,并且没有必要研究当前的最新威胁形式。但是不得不说的是恶意软件相比于以前诸多版本而言更加隐秘。不像以前,恶意软件总是宣称自己的存在和在受感染系统中的统治地位。今天,恶意软件比以前更加会隐藏自身,就像魔鬼一样,极力试图让它的受害者认为它不存在。
  目前恶意软件威胁问题越来越严重。我们可以看到它频繁地出现在新闻中,商业界也从未如此严肃地看待恶意软件问题,并且将安全作为预算分配的重要部分,甚至政府部门也考虑将恶意软件看作对国家安全的威胁。
  1.3 对国家安全构成的威胁
  美国联邦调查局(FBI)局长罗伯特·米勒在旧金山举行[1]的2012年RSA国际会议上谈到,网络犯罪将使得恐怖主义黯然失色。尽管恐怖主义仍然是当前FBI的首要处理对象,但是他们承认并且预计在不久以后,网络犯罪将会成为美国国家安全的最大威胁,尤其是现在实施网络犯罪的并不是竞争对手的恶意软件编写团队,而是一批有着明确的目标,并且有着雄厚的资金支持的犯罪分子,其中一些犯罪行为甚至得到某些国家的背后支持。
  有一些国家有意图、也有能力在冲突发生时对美国进行网络袭击。我们也相信其中一部分国家正在对美国进行网络间谍战,从中获取情报和商业机密以为其所用,包括获取预期目标(像智能电网等关键基础设施)的相关信息。想象一下对这些关键基础设施的网络袭击将产生的损害。例如,对美国国家电网的袭击可能影响到成千上百万的居民,也可能导致高额的经济损失和电力中断,并由此导致一系列需要连续电力供应的关键系统和基础设施的失效。
  因为今天我们大部分的基础设施都是联网的并且有许多可能遭受攻击的地方,所以安全比以往任何时候更加重要。其中任意一个地方遭到损坏都可能引起混乱甚至是灾难性后果。针对支撑华尔街交易的计算机基础设施发起的攻击可能导致金融系统的混乱。针对全美数千架客机飞行控制系统发动的攻击将会威胁到无数乘客的生命安全。网络攻击产生的关键系统故障可能导致灾难性的影响,这在几十年前看似遥不可及的事情现在就有可能发生。
  但是这些并不仅仅是今天我们面临的唯一威胁。由于近来对政府和商业部门进行了一些备受关注的网络袭击,一些松散的黑客组织如Anonymous和Lulzsec受到一定的关注。这些黑客有着自己的价值观,如果任何对象违反了他们的观念,就会遭受攻击。
  为了应对这种不断增加的威胁,FBI在56个地方办事处成立了网络安全专业团队,组织了1000人的专业特工和分析人员队伍来监控网络,他们主要关注三个方面:恐怖分子、有组织犯罪团伙以及受某些国家支持的网络间谍[1]。
  1.4 开启旅程
  显而易见,如今恶意软件不会自动消亡,反而会不断进化和发展。新的威胁将会层出不穷,新的技术将会出现来阻止这种不断产生的威胁。有时这种方法有效有时却不行,整个社会的不同行业将会花费很大精力面对这些威胁。研究团体、安全部门、私人和公有实体、执法部门会有自己的一套方法来处理恶意软件。有些团体积极与其他团体合作而有些团体则是独立工作。但是有一点是肯定的:我们有适合自己的工作,富有挑战性,但是很有趣。作为一个以自学为主的专业人员,有一件事情可以做,并且你自己正在做:那就是自我学习。这本书将会引导你学习更多关于恶意软件、rootkit和僵尸网络的知识。
  1.5 本章小结
  目前所面临的威胁概述
  恶意软件技术的发展和对技术变革的适应
  恶意软件从单点攻击向协同攻击转变
  攻击是利益驱动的
  恶意软件威胁是多设备和多平台的
  反病毒方法仍然依赖于基于特征的检测
  恶意软件对国家安全的威胁
  网络基础设施有遭受攻击的危险
  其他国家有能力对美国进行网络攻击
  FBI意识到该问题的存在并采取了相应的措施
  ……

展开
目录

本书赞誉
译者序

前言

第一部分 基础知识

第1章 背景知识
1.1 一次恶意软件遭遇
1.2 目前所面临的威胁概述
1.3 对国家安全构成的威胁
1.4 开启旅程
1.5 本章小结
参考文献

第2章 恶意软件简史
2.1 计算机病毒
2.1.1 计算机病毒的分类
2.1.2 早期挑战
2.2 恶意软件
2.2.1 恶意软件分类
2.2.2 恶意软件的发展
2.3 风险软件
2.4 恶意软件开发套件
2.5 恶意软件的影响
2.6 本章小结

第3章 rootkit的隐藏
3.1 什么是rootkit
3.2 环境的结构
3.2.1 操作系统内核
3.2.2 用户态和内核态
3.2.3 ring
3.2.4 从用户态转换到内核态
3.3 rootkit的类型
3.3.1 用户态rootkit
3.3.2 内核态rootkit
3.4 rootkit技术
3.4.1 hooking
3.4.2 DLL注入
3.4.3 直接内核对象操纵
3.5 应对rootkit
3.6 本章小结

第4章 僵尸网络的兴起
4.1 什么是僵尸网络
4.1.1 主要特点
4.1.2 关键组件
4.1.3 C&C结构
4.2 僵尸网络的使用
4.2.1 分布式拒绝服务攻击
4.2.2 点击欺诈
4.2.3 垃圾邮件转发
4.2.4 单次安装付费代理
4.2.5 大规模信息获取
4.2.6 信息处理
4.3 僵尸网络的保护机制
4.3.1 防弹主机
4.3.2 动态DNS
4.3.3 Fast-Fluxing技术
4.3.4 域名变化地址
4.4 对抗僵尸网络
4.4.1 技术战线
4.4.2 法律战线
4.5 本章小结
4.6 参考文献

第二部分 恶劣的现状

第5章 威胁生态系统
5.1 威胁生态系统组成
5.1.1 技术因素
5.1.2 人为因素
5.1.3 威胁生态系统的演进
5.2 高级持续性威胁
5.2.1 攻击方法
5.2.2 攻击的收益
5.3 恶意软件经济
5.4 本章小结

第6章 恶意软件工厂
6.1 逃避反病毒检测的必要性
6.1.1 恶意软件事件处理过程
6.1.2 恶意软件检测
6.1.3 反病毒产品绕过技术
6.2 建立恶意软件军队的必要性
6.2.1 下一代恶意软件工具套件
6.2.2 独立的防护工具
6.2.3 恶意软件装甲军队的作用
6.3 恶意软件工厂
6.3.1 恶意软件流水线
6.3.2 攻击者工具的获得
6.3.3 恶意软件日益泛滥
6.4 本章小结

第7章 感染载体
7.1 感染载体概述
7.1.1 物理媒介
7.1.2 电子邮件
7.1.3 即时通信和聊天软件
7.1.4 社交网络
7.1.5 URL链接
7.1.6 文件共享
7.1.7 软件漏洞
7.2 变成感染载体的可能性
7.3 本章小结

第8章 受感染系统
8.1 恶意软件感染过程
8.1.1 安装恶意软件文件
8.1.2 设置恶意软件的持久性
8.1.3 移除恶意软件安装证据
8.1.4 向恶意软件传递控制权
8.2 活跃的恶意软件
8.2.1 在系统中长期潜伏
8.2.2 和攻击者通信
8.2.3 执行有效载荷
8.3 本章小结

第三部分 企业的应对

第9章 组织保护
9.1 威胁事件响应者
9.2 理解系统的价值
9.2.1 系统对于组织的价值
9.2.2 系统对于攻击者的价值
9.3 理解系统的特征
9.3.1 系统类型
9.3.2 运营影响
9.3.3 主机数据的敏感度
9.3.4 系统用户
9.3.5 网络位置
9.3.6 资产的可访问性
9.3.7 资产访问权限
9.3.8 系统恢复
9.3.9 系统状态
9.4 设置系统优先级
9.5 企业安全态势
9.6 了解遭受攻击的代价
9.6.1 直接损失
9.6.2 间接损失
9.7 系统保护
9.7.1 威胁建模
9.7.2 识别合适的解决方案
9.7.3 前置式威胁检测
9.8 建立事件响应计划
9.8.1 识别不同的受害场景
9.8.2 识别解决方案模式
9.8.3 定义角色和职责
9.8.4 建立草案
9.8.5 定期演习
9.8.6 评审和改进
9.9 把一切付诸行动
9.10 保护之外
9.11 本章小结

第10章 检测威胁
10.1 建立基准
10.1.1 建立网络基准
10.1.2 建立主机基准
10.2 检测异常
10.2.1 检测网络异常
10.2.2 检测主机异常
10.3 隔离异常源
10.4 深入分析受感染资产
10.4.1 精确定位恶意软件
10.4.2 基于攻击意图对恶意软件进行分类
10.5 本章小结

第11章 缓解威胁
11.1 威胁缓解
11.2 立即式响应
11.2.1 隔离
11.2.2 验证
11.2.3 威胁的检测和分类
11.2.4 修复和恢复
11.3 先应式响应
11.3.1 预防措施
11.3.2 定期进行安全审计
11.4 内部威胁
11.4.1 什么是内部威胁
11.4.2 缓解内部威胁
11.5 保持警惕
11.6 本章小结

第四部分 结束语

第12章 永不停歇的战斗
12.1 本书回顾
12.2 未来展望
12.2.1 恶意软件的未来
12.2.2 rootkit展望
12.2.3 僵尸网络的未来
12.3 好人们也很忙
12.4 冒险才刚刚开始
12.5 本章小结
附录A 系统启动过程
附录B 有用的网络链接
词汇表

展开
加入书架成功!
收藏图书成功!
我知道了(3)
发表书评
读者登录

请选择您读者所在的图书馆

选择图书馆
浙江图书馆
点击获取验证码
登录
没有读者证?在线办证