Markus Jakobsson 博士，帕洛阿尔托研究中心首席科学家和印第安纳大学助手副教授，与人合作发表了100多篇论文，联合发明了50多个专利。

　　《黑客新型攻击防范深入剖析犯罪软件》详细介绍了犯罪软件的概念、运作方式及发展趋势。书中每一章都由来自学术机构或高科技公司的作者撰写，大部分章节先以简单易懂的语言概括了相关主题，之后对细节进行深入分析，最终得出了安全研究人员感兴趣的技术结论。《黑客新型攻击防范深入剖析犯罪软件》以犯罪软件的基本原理和技术为中心，使用最新的攻击实例说明相关问题，对于针对新的技术漏洞和日益增强的网络依赖性开展的新型攻击，这些原理和技术仍然适用，可以为读者提供参考。
　　《黑客新型攻击防范深入剖析犯罪软件》适用于对研究网络安全和对安全问题感兴趣的读者。

　　“迄今为止对网络安全威胁最全面的介绍！它不仅讨论了当今的网络问题，而且还预测了未来几年可能出现的问题，这些都对深入理解目前的犯罪软件有非常重大的意义。每个相关人士都应该拥有此书，随时可以参考。” 
　　——Garth Bruen ， KnujOn 项目设计者 
    “Jakobsson 和 Ramzan 凭借此书为安全设置了一个新标准，内容实用且非常专业……不只是让你认清目前形势，还花了更多篇幅来谈论防御措施。参编此书的研究人员多达 50 位，真希望我能向每位合著者表达我的感谢。此书值得拥有，快去买吧！” 
　　——Stephen Northcutt ， GIAC （国际信息体系认证）的创立者 
    “最近5年里，网络安全最引人关注的动向是恶意分子开始利用安全漏洞从事经济犯罪。此书非常及时地揭露了犯罪分子目前用到的以及将来可能会用到各种犯罪软件工具。” 
　　——Ross Anderson ，技术作家、行业顾问、剑桥大学安全工程教授

　　Web浏览器是非常复杂的应用程序，因此它们不可避免地包含许多安全漏洞。犯罪软件常常利用这些漏洞进行传播。如果用户访问一个恶意的Web站点，Web浏览器中的漏洞就可能被该站点上的代码利用。这些漏洞可能与代码编写、解析、处理及显示内容有关，或者与任何其他能够令浏览器执行恶意代码的组件有关。有时候，在浏览器供应商发现某个漏洞前，攻击者已经利用这个漏洞实施了攻击。这种攻击叫做零天攻击（zeroday）。
　　并非所有对Web浏览器漏洞的利用都是通过恶意Web点来实施的。通过跨站点脚本（cross－sitescripting）等内容注入攻击，合法的Web站点也可用于传播犯罪软件。內容注入（contentinjection）是指在合法站点中插入恶意内容的过程。除进行欺骗活动（如将用户重定向到其他站点）外，恶意内容还可以通过Web浏览器漏洞或社交工程骗局（如要求用户下载并安装实际上包含犯罪软件的虚假防病毒软件）在用户的计算机上安装犯罪软件。有三类主要的内容注入攻击，每一类都有许多可能的变种。
　　攻击者可以通过安全漏洞攻破一台服务器，用恶意内容取代合法内容，或将恶意内容插入到合法内容之中。
　　犯罪软件可以通过跨站点脚本漏洞插入到站点中。跨站点脚本漏洞是一种编程缺陷，即代码中包含来自外界的内容，如博客、用户在电子商站点查看的一款产品、拍卖、公告牌中的消息、搜索词，或基于Web的电子邮件。这些外界提供的内容中可能包含一段恶意脚本，或其他站点服务器上安装的软件无法过滤或编码的内容。随后，如果访问者通过Web浏览器访问该站点，这些内容就会运行。用户可能认为这些内容是由站点的所有者创建的，因而很可能会信任它们。
　　利用SQL注入漏洞可对站点实施恶意行为。利用这种方法可以在远程服务器上执行数据库命令.执行数据库命令可能会导致信息泄露、故意破坏，或注入恶意内容并随后将其传送给受害者。与跨站点脚本漏洞一样，SQL注入漏洞也是由过滤不完全造成的。

第1章 犯罪软件概述 1
1.1 简介 1
1.1.1 盗窃敏感信息 1
1.1.2 犯罪软件及其规模 2
1.1.3 犯罪软件的传播 2
1.2 日渐猖獗的犯罪软件 3
1.3 犯罪软件威胁模型及分类 4
1.4 犯罪软件“大观园” 6
1.4.1 键击记录器和屏幕搜刮器 6
1.4.2 电子邮件和即时通信重定向器 8
1.4.3 会话劫持器 9
1.4.4 Web木马 9
1.4.5 交易生成器 10
1.4.6 系统重新配置攻击 10
1.4.7 数据盗窃 12
1.4.8 中间人攻击 13
1.4.9 rootkit 14
1.5 犯罪软件的传播 14
1.5.1 附件 15
1.5.2 对等网络 15
1.5.3 寄生术 16
1.5.4 因特网蠕虫 16
1.5.5 利用Web浏览器漏洞 17
1.5.6 攻破服务器 18
1.5.7 联属网络营销 18
1.6 感染点和攻破点、阻塞点以及应对措施 19
1.7 犯罪软件的安装 22
1.8 犯罪软件的用途 23
1.8.1 信息盗窃 24
1.8.2 传送垃圾邮件 25
1.8.3 拒绝服务攻击 25
1.8.4 点击欺诈 26
1.8.5 数据勒索 26
1.8.6 信息合并 26
1.9 其他章节的组织原则 27

第2章 编码错误分类法 28
2.1 三大要素 28
2.1.1 连通性 29
2.1.2 复杂性 29
2.1.3 扩展性 30
2.2 七个有害界 30
2.3 门 35
2.4 需要更多门 39
2.4.1 一个完整的例子 39
2.4.2 了解并深入分析(分类法) 39

第3章 犯罪软件与对等网络 42
3.1 对等网络中的恶意软件 42
3.1.1 简介 42
3.1.2 数据收集 44
3.1.3 恶意软件的蔓延 45
3.1.4 过滤恶意软件 47
3.1.5 单一标准的过滤器 48
3.1.6 单一标准过滤器在各种网络中的应用 55
3.1.7 复合过滤器 56
3.1.8 结论 57
3.2 人为传播的犯罪软件 58
3.2.1 相关问题 58
3.2.2 感染向量 59
3.2.3 个案研究：签名Applet 59

第4章 小型设备中的犯罪软件 64
4.1 通过USB驱动器传播犯罪软件 64
4.1.1 实例：盗窃Windows密码 65
4.1.2 实例：深入分析 66
4.1.3 DMA漏洞 67
4.1.4 评估风险 67
4.1.5 应对措施 68
4.2 无线射频识别犯罪软件 69
4.2.1 无线射频识别 69
4.2.2 RFID的安全问题 71
4.2.3 RFID犯罪软件的类型 72
4.2.4 应对措施与其他注意事项 75
4.3 移动设备 76

第5章 固件中的犯罪软件 79
5.1 通过固件更新传播 79
5.1.1 嵌入式控制系统：无处不在、易于变化 80
5.1.2 家庭无线接入点 82
5.1.3 配置与更新路由器固件 83
5.1.4 标准安全措施 84
5.1.5 脆弱的安全配置成为惯例 86
5.1.6 各种攻击 88
5.1.7 攻击向量 93
5.1.8 防御措施 96
5.1.9 结论 99
5.2 WiFi恶意软件流行感染建模 99
5.2.1 基本方法 100
5.2.2 路线图 101
5.2.3 感染路由器 101
5.2.4 感染网络 103
5.2.5 感染模型 106
5.2.6 人为流行感染的传播 110
5.2.7 深入讨论 115

第6章 浏览器中的犯罪软件 118
6.1 交易生成器：Web rootkit 118
6.1.1 构建交易生成器 119
6.1.2 隐密型交易生成器 120
6.1.3 防御措施 120
6.1.4 结论 122
6.2 偷渡式域欺骗 122
6.2.1 偷渡式域欺骗攻击流程 122
6.2.2 前期的相关研究 123
6.2.3 攻击细节 124
6.2.4 其他组件 126
6.2.5 防范措施 127
6.2.6 结论 127
6.3 利用JavaScript进行点击欺诈 128
6.3.1 术语及定义 128
6.3.2 构成要素 129
6.3.3 制作恶意广告 130
6.3.4 隐藏攻击 134
6.3.5 用户为何访问相关站点 136
6.3.6 检测及防止滥用 137
6.3.7 简要经济学分析 138
6.3.8 结论 139

第7章 bot网络 141
7.1 简介 141
7.1.1 评估bot网络问题所面临的挑战 142
7.1.2 bot网络规模衡量标准 143
7.2 bot网络面向网络的特性 144
7.2.1 bot网络的通信特点 144
7.2.2 通信协议 148
7.2.3 网络级适应性 157
7.3 bot的软件特性 159
7.3.1 bot的一般软件特性 159
7.3.2 保持适应性的技巧 159
7.3.3 bot网络的应用 162
7.4 Web bot及bot网络的一般发展趋势 166
7.4.1 bot网络2.0：基于浏览器的bot 166
7.4.2 bot网络的发展趋势 170
7.5 防范措施 172
7.6 结论 174

第8章 rootkit 175
8.1 简介 175
8.2 rootkit的进化过程 176
8.3 用户模式Windows rootkit 178
8.3.1 将rootkit加载到目标进程中 178
8.3.2 修改执行路径 181
8.4 内核模式rootkit技术 183
8.4.1 中断描述符表钩子 184
8.4.2 系统调用钩子 185
8.4.3 系统服务描述符表钩子 186
8.4.4 基于线程的SSDT钩子 187
8.4.5 系统调用代码补丁 189
8.4.6 分层设备 189
8.4.7 IRP补丁 192
8.4.8 内核对象直接操作 194
8.4.9 向调度程序隐藏线程 195
8.4.10 重定向虚拟内存访问 195
8.4.11 不使用SCM加载内核驱动程序 198
8.5 Linux rootkit 200
8.5.1 可执行程序替换rootkit 200
8.5.2 可加载内核模块rootkit 200
8.5.3 运行时间内核补丁rootkit 201
8.5.4 VFS rootkit 202
8.6 BIOS rootkit 203
8.7 PCI rootkit 204
8.8 基于虚拟机的rootkit 205
8.8.1 基于软件的VMBR 205
8.8.2 硬件辅助的VMBR 206
8.9 rootkit防御 208
8.9.1 阻止rootkit 208
8.9.2 rootkit检测 209

第９章 虚拟世界与欺诈 211
9.1 简介 211
9.1.1 欺诈与游戏 211
9.1.2 作弊与游戏 212
9.2 以MMOG作为欺诈领域 213
9.2.1 MMOG的功能性概述 213
9.2.2 MMOG的体系架构概述 215
9.3 电子欺诈 217
9.3.1 网络钓鱼和域欺骗 217
9.3.2 误导型应用程序 218
9.4 MMOG中的欺诈 218
9.4.1 MMOG的扩展安全模型 219
9.4.2 MMOG安全指导原则 219
9.4.3 防范措施 223
9.5 结论 224

第10章 网络犯罪与政治 225
10.1 域名滥用 226
10.1.1 背景 227
10.1.2 2008年联邦选举中的域名投机 228
10.1.3 域名停放 232
10.1.4 恶意意图 233
10.2 针对竞选的网络钓鱼 236
10.3 恶意代码与安全风险软件 239
10.3.1 广告软件 240
10.3.2 间谍软件 240
10.3.3 恶意代码：键击记录器与犯罪软件 241
10.4 拒绝服务攻击 242
10.5 认知性选举攻击 242
10.6 公用选民信息来源：FEC数据库 244
10.7 拦截语音通信 245
10.8 结论 247

第11章 在线广告欺诈 249
11.1 历史 249
11.2 收入模式 250
11.2.1 基于印象的模式 250
11.2.2 基于点击的模式 251
11.2.3 基于行动的模式 252
11.2.4 辛迪加 253
11.2.5 推荐交易 253
11.3 垃圾类型 254
11.3.1 印象垃圾 254
11.3.2 点击垃圾 255
11.3.3 转换垃圾 256
11.4 攻击形式 256
11.4.1 人为点击 256
11.4.2 机器人点击 260
11.5 防范措施 262
11.5.1 预防 263
11.5.2 检测 263
11.5.3 遏制 265
11.6 点击欺诈审计 266
11.6.1 征兆的机密性 266
11.6.2 数据限制 267
11.6.3 隐私 269
11.7 点击欺诈经济学 269
11.8 结论 270

第12章 犯罪软件商业模式 271
12.1 犯罪软件分类 271
12.1.1 简介 271
12.1.2 广告软件 273
12.1.3 间谍软件和木马 279
12.1.4 bot与bot网络 288
12.1.5 结论 293
12.2 深入研究广告软件 294
12.2.1 在线广告平台 295
12.2.2 广告的恶意面 297

第13章 安全培训 301
13.1 培训的重要性 301
13.1.1 培训的作用 301
13.1.2 进行安全培训为何困难重重 302
13.1.3 一些现有的培训方法 305
13.1.4 现行方法存在的一些问题 306
13.1.5 培训目标 308
13.2 个案研究：漫画式培训方法 309
13.3 结论 313

第14章 秘密代码与法律 314
14.1 简介 314
14.2 秘密代码的特点 315
14.2.1 秘密下载、安装或运行 315
14.2.2 欺骗与假冒 315
14.2.3 收集并传送个人信息 316
14.2.4 干扰计算机运行 316
14.2.5 秘密软件的顽固性 316
14.2.6 秘密软件造成的其他破坏 317
14.2.7 利用拦截到的信息 317
14.3 主要的可适用法律 317
14.3.1 《计算机欺诈与滥用法案》 327
14.3.2 《联邦贸易委员会法案》 328
14.3.3 侵犯动产 330
14.3.4 州反间谍软件法律 332
14.4 次要的可适用法律 335
14.4.1 《电子通信隐私法案》 335
14.4.2 《禁止垃圾邮件法案》(CAN-SPAM法案) 338
14.4.3 知识产权法律 339
14.4.4 身份盗窃与欺诈法律 339
14.4.5 假托法律 341
14.4.6 州盗窃法律 342
14.5 结论 342

第15章 犯罪软件与可信计算 344
15.1 简介 344
15.2 攻击分析 345
15.3 用可信计算打击犯罪软件 346
15.3.1 完整性度量与存储 346
15.3.2 证明 347
15.3.3 保护存储：绑定与密封 348
15.3.4 安全引导 348
15.3.5 硬件强制的隔离 349
15.3.6 可信计算：万能解决方案 349
15.4 个案研究 350
15.4.1 确保信用卡交易安全 350
15.4.2 内容保护 352
15.5 结论 354

第16章 技术防御手段 355
16.1 个案研究：间谍软件深层防御 356
16.1.1 简介 356
16.1.2 数据包疫苗 359
16.1.3 AGIS 360
16.1.4 SpyShield 361
16.1.5 结论 363
16.2 防范间谍软件的鉴别机制 363
16.2.1 简介 363
16.2.2 使用现有的方法防范犯罪软件 364
16.2.3 基于喜好的生活问题 370
16.2.4 适用的生活问题的特点 372
16.2.5 搜寻适用的生活问题 373
16.2.6 确定出错率 374
16.2.7 问题及其熵 376
16.2.8 结论 383
16.3 以虚拟机作为一种犯罪软件防御机制 383

第17章 犯罪软件的发展趋势 388
17.1 犯罪软件、恐怖软件、故意破坏软件与勒索软件 388
17.2 新的应用程序与平台 389
17.2.1 信誉系统、拍卖站点与赌博应用程序 389
17.2.2 电话、汽车与可穿戴计算机 391
17.3 利用社交网络完成攻击 391
17.4 传播方式的改变 392
17.5 第三方应用程序 392
17.6 电子社会的兴起：我们更易于受到攻击吗 392
17.7 总体发展趋势 393