Craig A．Schiller（CISSP-ISSMP，ISSAP），波特兰州立大学首席信息安全官；鹰眼安全培训有限公司总裁；最早的公认系统安全准则（GASSP）的主要作者，与他人合著Handbook o，jnformation Security Management，Data Security Management的特约作者。Craig先生也参与编写了Combating Spyure in the Enterprise（Syngress，ISBN：1597490644）和Winternals Defragmentation，Recovery，and AdministrationField Guide（Syngress，ISBN：1597490792）。他是高级网络安全工程师并负责美国宇航局航空情报服务处信息安全组。他负责美国俄勒冈州hillisboro警察局警察储备专家部门。<br>    Jim Binkley，波特兰州立大学高级网络工程师和网络安全研究人员、Ourmon软件的制作者。Jim Binkley有20多年的TCP／IP经验和25年的UNIX操作系统经验，在波特兰州立大学从事网络管理、网络安全和UNIX操作系统的教学工作，为大学提供各种网络监测手段，并提供网络设计的咨询工作。曾与John McHugh一起参与了波特兰州立大学的“安全移动网络”项目（美国国防高级研究计划局资助）。Jim Binkley获得华盛顿州立大学计算机专业硕士，专门从事无线网络技术及网络异常监测包括开源Ourmon网络监测和异常监测系统。

    网络技术飞速发展．病毒、蠕虫、木马等不断涌现，而僵尸网络则是“网络程序杀手”，其危害远远高于以前的恶意脚本，已经成为网络社会所面临的最大威胁。<br>    本书从一个真实的僵尸网络攻击案例开始，随后结合实例介绍僵尸网络的基础知识，包括僵尸网络的概念、运行方式和环境、生命周期等。紧接着介绍僵尸网络的检测、跟踪工具和技术，以及0urmon和沙盒工具的使用，最后讲解了如何获取情报资源及如何应对僵尸网络。<br>    本书特色<br>    ·第一本专门介绍最新网络威胁——僵尸网络的作品<br>    ·介绍了什么是僵尸网络、它们如何传播、利用何种工具来对抗等问题<br>    ·全面覆盖Ourmon和其他开放资源工具<br>    ·由多位富有丰富实践经验的专家编写

    整个2006年，科技安全大会都在讨论最新的“网络程序杀手”。不幸的是，这种技术主要是为一些不法分子服务的。新一代高智商而缺乏道德责任感的黑客们，在一些有组织的犯罪集团以及垃圾邮件制造商的资助下，创造了一种致命的摧毁性病毒——僵尸网络。来自威廉玛丽学院的Norman Elton和Matt Keel在2005年“谁拥有你的网络?”的报告中称，僵尸网络是“人类面对的一个最大的威胁”。这似乎有些夸张，但是说僵尸网络是网络社会所面临的最大威胁却是有据可依的。John Canavan在名为“恶意IRC的进化”的白皮书中提到，僵尸网络是“最危险和最广为传播的Win32病毒威胁”。 <br>    2006年10月16日e-Week杂志封面称，我们“正在输掉”与僵尸网络的战争。Ryan Naraine在“与僵尸网络的战争已经失败?”一文中介绍了僵尸网络环境现状：僵尸网络是“组织严谨的全球犯罪链中的关键核心。它利用僵尸工具盗用带宽，并通过非法网络活动谋取利益”。而与之形成鲜明对比的是，相应的安全措施刚刚起步，少数安全软件厂商发行了与僵尸网络相关的产品（第一版）。紧缺急需的情报信息被封锁起来，仅传递给需要它的安全专家，只有信息安全专家清楚地了解安全问题。有安全专家宣称：“这（指僵尸网络）是不存在的”。一位供货商告诉我们，他们产品的质量取决于他们情报资源的质量，然而接下来却说，他们不能给我们确保情报资源质量的任何信息。

第1章 僵尸网络：呼吁行动<br>前言<br>网络程序杀手<br>问题有多大？<br>僵尸网络的概念史<br>僵尸病毒的新闻案例<br>业界反响<br>小结<br>快速回顾<br>常见问题<br><br>第2章 僵尸网络概述<br>什么是僵尸网络？<br>僵尸网络的生命周期<br>漏洞利用<br>召集和保护僵尸网络客户端<br>等候命令并接受payload<br>僵尸网络究竟做什么？<br>吸收新成员<br>DDoS<br>广告软件（Adware）和Clicks4Hire的安装<br>僵尸网络垃圾邮件和网络钓鱼连接<br>存储和分配偷窃或非法（侵犯）知识产权的信息资料<br>勒索软件（Ransomware）<br>数据挖掘<br>汇报结果<br>销毁证据，放弃（僵尸）客户端<br>僵尸网络经济<br>垃圾邮件和网络钓鱼攻击<br>恶意广告插件和Clicks4Hire阴谋<br>Ransomware勒索软件<br>小结<br>快速回顾<br>常见问题<br><br>第3章 僵尸网络C＆C的替换技术<br>简介：为什么会有C8LC的替换技术？<br>追溯C&C的发展历史<br>DNS和C&C技术<br>域名技术<br>多宿（Multihoming）<br>可替换控制信道<br>基于Web的C＆C服务器<br>基于回声的僵尸网络<br>P2P僵尸网络<br>即时消息（IM）C&C<br>远程管理工具<br>降落区（drop zone）和基于FTP的C&C<br>基于DNS的高级僵尸网络<br>小结<br>快速回顾<br>常见问题<br><br>第4章 僵尸网络<br>简介<br>SDBot<br>别名<br>感染途径<br>被感染的标志<br>注册表项<br>新生成的文件<br>病毒传播<br>RBot<br>别名<br>感染途径<br>被感染的标志<br>Agobot<br>别名<br>感染途径<br>被感染的标志<br>传播<br>Spybot<br>别名<br>感染途径<br>被感染的标志<br>注册表项<br>不正常的流量<br>传播<br>Mytob<br>别名<br>感染途径<br>被感染的标志<br>系统文件夹<br>不正常的流量<br>传播<br>小结<br>快速回顾<br>常见问题<br><br>第5章 僵尸网络检测：工具和技术<br>简介<br>滥用<br>垃圾邮件和滥用<br>网络设施：工具和技术<br>SNMP和网络流：网络监控工具<br>防火墙和日志<br>第二层的交换机和隔离技术<br>入侵检测<br>主机的病毒检测<br>作为IDS例子的Snort<br>Tripwire<br>暗网、蜜罐和其他陷阱<br>僵尸网络检测中的取证技术和工具<br>过程<br>事件日志<br>防火墙日志<br>反病毒软件日志<br>小结<br>快蘧回顾<br>常见问题<br><br>第6章 Ourmon：概述和安装<br>简介<br>案例分析：在黑暗中跌撞前行的事情<br>案例1：DDoS（分布式拒绝服务）<br>案例2外部并行扫描<br>案例3僵尸客户端<br>案例4僵尸服务器<br>Ourmon如何工作<br>Ourmon的安装<br>Ourmon安装提示和窍门<br>小结<br>快速回顾<br>常见问题<br><br>第7章 Ourmon：异常检测工具<br>简介<br>Ourmon网页接口<br>原理简介<br>TCP异常检测<br>TCP端口报告：30秒视图<br>TcP蠕虫图表<br>TCP每小时摘要<br>UDP异常检测<br>E_mail异常检测<br>小结<br>快速回顾<br>常见问题<br><br>第8章 IRC和僵尸网络<br>简介<br>IRC协议<br>Ourmon的RRDT00L统计与IRC报告<br>IRC报告的格式<br>检测IRC僵尸网络客户端<br>检测IRC僵尸网络服务器<br>小结<br>快速回顾<br>常见问题<br><br>第9章 ourmon高级技术<br>简介<br>自动包捕获<br>异常检测触发器<br>触发器应用实例<br>Ourmon事件日志<br>搜索Ourmon日志的技巧<br>嗅探IRC消息<br>优化系统<br>买一个双核（Dual—Core）CPU<br>使用不同的电脑，分开前端与后端<br>买一个双核，双CPU的主板<br>扩大内核的环缓存<br>减少中断<br>小结<br>快速回顾<br>常见问题<br><br>第10章 使用沙盒工具应对僵尸网络<br>简介<br>CWSandbox介绍<br>组件介绍<br>检查分析报告的样本<br>部分<br>分析82f78a89bde09a71ef99b3ced b991bcc．exe<br>分析Arman．exe<br>解释分析报告<br>僵尸病毒是如何安装的?<br>病毒如何感染新主机<br>僵尸病毒如何保护本地主机和自己?<br>联系哪个C&C服务器以及如何联系<br>僵尸病毒如何更新?<br>进行了什么样的恶意操作?<br>在线沙盒对僵尸病毒的监测结果<br>小结<br>快速回顾<br>常见问题<br><br>第11章 情报资源<br>简介<br>辨别企业／大学应该尽力收集的信息<br>反汇编<br>可找到公用信息的地方／组织<br>反病毒、反间谍软件、反恶意软件的网页<br>专家和志愿者组织<br>邮件列表和讨论团体<br>会员组织以及如何获得资格<br>审查成员<br>保密协议<br>什么可以共享<br>什么不能共享<br>违背协议的潜在影响<br>利益冲突<br>获取信息时如何处理<br>情报收集在法律相关的执行方面扮演的角色<br>小结<br>快速回顾<br>常见问题<br><br>第12章 应对僵尸网络<br>简介<br>放弃不是一个选项<br>为什么会有这个问题?<br>刺激需求：金钱，垃圾邮件，以及网络钓鱼<br>法律实施问题<br>软件工程的棘手问题<br>缺乏有效的安全策略或者过程<br>执行过程中的挑战<br>我们应该做什么?<br>有效的方法<br>如何应对僵尸网络?<br>报告僵尸网络<br>绝地反击<br>法律的实施<br>暗网、蜜罐和僵尸网络颠覆<br>战斗的号角<br>小结<br>快速回顾<br>常见问题