Rootkit：系统灰色地带的潜伏者+恶意软件、Rootkit和僵尸网络（京东套装共2册）

　　《Rootkit：系统灰色地带的潜伏者（原书第2版）》
　　译者序
　　献给“孙悟空”
　　前言
　　第一部分基础知识
　　第1章 清空思想 
　　1.1不速之客 
　　1.2提炼一个更确切的定义 
　　1.2.1攻击循环 
　　1.2.2rootkit在攻击循环中的角色 
　　1.2.3单级释放器与多级释放器 
　　1.2.4其他部署方法 
　　1.2.5确切的学术性定义 
　　1.2.6不要混淆设计目标与实现 
　　1.2.7rootkit技术--力量倍增器 
　　1.2.8金·费尔比式比喻：破坏与毁坏 
　　1.2.9为何使用隐身技术？rootkit不能被发现吗 
　　1.3rootkit不等于恶意软件 
　　1.3.1感染源 
　　1.3.2广告软件和间谍软件 
　　1.3.3僵尸网络的兴起 
　　1.3.4引入：愚人飞客病毒 
　　1.3.5恶意软件与rootkit 
　　1.4谁在开发和使用rootkit 
　　1.4.1市场营销 
　　1.4.2数字版权管理 
　　1.4.3不是rootkit，而是种功能 
　　1.4.4法律实施 
　　1.4.5商业间谍 
　　1.4.6政治间谍 
　　1.4.7网络犯罪 
　　1.4.8谁开发了颇具艺术感的rootkit 
　　1.4.9rootkit的道德性 
　　1.5慑魄惊魂：战场伤员分类 
　　1.6总结 
　　第2章 反取证综述 
　　2.1事件响应 
　　2.1.1入侵检测系统（和入侵防御系统） 
　　2.1.2异常行为 
　　2.1.3发生故障 
　　2.2计算机取证 
　　2.2.1rootkit不是隐身的吗？为什么还要进行反取证 
　　2.2.2假定最糟糕案例的场景 
　　2.2.3取证技术分类：第一种方法 
　　2.2.4取证技术分类：第二种方法 
　　2.2.5在线取证 
　　2.2.6当关机不再是种选择 
　　2.2.7关于拔掉电源插头的争论 
　　2.2.8崩溃转储或者不进行崩溃转储 
　　2.2.9事后检查分析 
　　2.2.10非本地数据 
　　2.3AF策略 
　　2.3.1数据销毁 
　　2.3.2数据隐藏 
　　2.3.3数据转换 
　　2.3.4数据伪造 
　　2.3.5数据源消除 
　　2.4AF技术的总体建议 
　　2.4.1使用定制工具 
　　2.4.2低且慢与焦土策略 
　　2.4.3避免特定实例攻击 
　　2.4.4使用分层防御 
　　2.5不明身份者具有优势 
　　2.5.1攻击者能够专注于攻击 
　　2.5.2防御者面临制度性挑战 
　　2.5.3安全是一种过程（而且还是一种令人讨厌的过程） 
　　2.5.4持续增加的复杂度 
　　2.6总结 
　　第3章 硬件概述 
　　3.1物理内存 
　　3.2IA-32内存模型 
　　3.2.1平面内存模型 
　　3.2.2分段内存模型 
　　3.2.3操作模式 
　　3.3实模式 
　　3.3.1案例研究：MS-DOS 
　　3.3.2这不是浪费时间吗？为什么学习实模式 
　　3.3.3实模式执行环境 
　　3.3.4实模式中断 
　　3.3.5分段和程序控制 
　　3.3.6案例研究：转储IVT 
　　3.3.7案例研究：用TSR记录击键 
　　3.3.8案例研究：隐藏TSR 
　　3.3.9案例研究：为TREE.COM命令打补丁 
　　3.3.10小结 
　　3.4保护模式 
　　3.4.1保护模式执行环境 
　　3.4.2保护模式分段 
　　3.4.3保护模式分页 
　　3.4.4地址扩展分页 
　　3.4.5进一步研究页表 
　　3.4.6进一步研究控制寄存器 
　　3.5实现内存保护 
　　3.5.1通过分段实现保护 
　　3.5.2界限检查 
　　3.5.3类型检查 
　　3.5.4特权检查 
　　3.5.5受限指令检查 
　　3.5.6门描述符 
　　3.5.7保护模式中断表 
　　3.5.8分页保护 
　　3.5.9总结 
　　第4章 系统概述 
　　4.1Windows系统下的物理内存 
　　4.1.1失落的大陆（内存） 
　　4.1.2Windows如何使用物理地址扩展 
　　4.1.3页、页帧、页帧号 
　　4.2Windows下的分段和分页 
　　4.2.1分段 
　　4.2.2分页 
　　4.2.3线性地址到物理地址的转换 
　　4.2.4一个更快的方法 
　　4.2.5关于EPROCESS和KPROCESS的讨论 
　　4.3用户空间和内核空间 
　　4.3.14GB调优（4GT） 
　　4.3.2各得其所 
　　4.3.3跨越篱笆 
　　4.3.4用户空间剖析 
　　4.3.5内核空间动态分配 
　　4.3.6地址窗口化扩展 
　　4.3.7PAE、4GT和AWE的对比 
　　4.4用户模式和内核模式 
　　4.4.1执行方式与执行位置 
　　4.4.2内核模式组件 
　　4.4.3用户模式组件 
　　4.5其他内存保护特征 
　　4.5.1数据执行保护 
　　4.5.2地址空间布局随机化 
　　4.5.3GS 编译选项 
　　4.5.4SAFESEH链接器选项 
　　4.6本机API 
　　4.6.1中断向量表的发展 
　　4.6.2进一步研究中断描述表 
　　4.6.3通过中断进行系统调用 
　　4.6.4SYSENTER指令 
　　4.6.5系统服务调度表 
　　4.6.6枚举本机API 
　　4.6.7Nt*( )系统调用与Zw*( )系统调用 
　　4.6.8系统调用的生命周期 
　　4.6.9其他内核模式例程 
　　4.6.10内核模式API文档 
　　4.7引导过程 
　　4.7.1BIOS固件启动 
　　4.7.2EFI固件启动 
　　4.7.3Windows启动管理器 
　　4.7.4Windows启动加载器 
　　4.7.5初始化执行体 
　　4.7.6会话管理器 
　　4.7.7wininit.exe 
　　4.7.8winlogon.exe 
　　4.7.9启动过程概括 
　　4.8设计决策 
　　4.8.1藏在人群中：类型0 
　　4.8.2主动隐藏：类型1和类型2 
　　4.8.3跳出边界：类型3 
　　4.8.4前景展望 
　　第5章 行业工具 
　　5.1开发工具 
　　5.1.1诊断工具 
　　5.1.2磁盘映像工具 
　　5.1.3更快速救灾：虚拟机 
　　5.1.4工具综述 
　　5.2调试器 
　　5.2.1配置CDB.exe 
　　5.2.2符号文件 
　　5.2.3Windows符号 
　　5.2.4激活CDB.exe 
　　5.2.5控制CDB.exe 
　　5.2.6有用的调试器命令 
　　5.2.7检查符号命令（x） 
　　5.2.8列举已加载的模块（lm和！lmi） 
　　5.2.9显示类型命令（dt） 
　　5.2.10反汇编命令（u） 
　　5.2.11显示命令（d*） 
　　5.2.12寄存器命令（r） 
　　5.3KD.exe内核调试器 
　　5.3.1使用内核调试器的不同方法 
　　5.3.2物理宿主机-目标机配置 
　　5.3.3准备硬件 
　　5.3.4准备软件 
　　5.3.5启动内核调试会话 
　　5.3.6控制目标机 
　　5.3.7虚拟宿主机-目标机配置 
　　5.3.8 有用的内核模式调试器命令 
　　5.3.9列举已加载模块命令 
　　5.3.10！process扩展命令 
　　5.3.11寄存器命令（r） 
　　5.3.12使用崩溃转储 
　　5.3.13方法1：PS2键盘技巧 
　　5.3.14方法2：KD.exe命令 
　　5.3.15方法3：NotMyFault.exe 
　　5.3.16崩溃转储分析 
　　第6章 内核空间中的玄机 
　　6.1KMD模板 
　　6.1.1内核模式驱动程序：全局概览 
　　6.1.2WDK框架 
　　6.1.3真正最小的KMD 
　　6.1.4处理IRP 
　　6.1.5与用户模式代码通信 
　　6.1.6从用户模式发送命令 
　　6.2加载内核模式驱动程序 
　　6.3服务控制管理器 
　　6.3.1在命令行使用sc.exe 
　　6.3.2编程使用SCM 
　　6.3.3注册表踪迹 
　　6.4使用导出驱动程序 
　　6.5综合利用内核中的漏洞 
　　6.6Windows内核模式安全 
　　6.6.1内核模式代码签名 
　　6.6.2KMCS的应对措施 
　　6.6.3内核补丁保护 
　　6.6.4KPP的应对措施 
　　6.7同步 
　　6.7.1中断请求级 
　　6.7.2延迟过程调用 
　　6.7.3实现 
　　6.8总结 
　　……
　　第二部分事 后 分 析
　　第7章 阻止磁盘分析 
　　第8章 阻止可执行文件分析 
　　第三部分在 线 取 证
　　第9章 阻止在线取证 
　　第10章 用C语言创建shellcode 
　　第11章 更改调用表 
　　第12章 更改代码 
　　第13章 更改内核对象 
　　第14章 隐秘通道 
　　第15章 转到带外 
　　第四部分结 束 语
　　第16章 rootkit之道 
　　《恶意软件、Rootkit和僵尸网络》
　　本书赞誉
　　译者序
　　序
　　前言
　　第一部分　基础知识
　　第1章　背景知识
　　1.1　一次恶意软件遭遇
　　1.2　目前所面临的威胁概述
　　1.3　对国家安全构成的威胁
　　1.4　开启旅程
　　1.5　本章小结
　　参考文献
　　第2章　恶意软件简史
　　2.1　计算机病毒
　　2.1.1　计算机病毒的分类
　　2.1.2　早期挑战
　　2.2　恶意软件
　　2.2.1　恶意软件分类
　　2.2.2　恶意软件的发展
　　2.3　风险软件
　　2.4　恶意软件开发套件
　　2.5　恶意软件的影响
　　2.6　本章小结
　　第3章　rootkit的隐藏
　　3.1　什么是rootkit
　　3.2　环境的结构
　　3.2.1　操作系统内核
　　3.2.2　用户态和内核态
　　3.2.3　ring
　　3.2.4　从用户态转换到内核态
　　3.3　rootkit的类型
　　3.3.1　用户态rootkit
　　3.3.2　内核态rootkit
　　3.4　rootkit技术
　　3.4.1　hooking
　　3.4.2　DLL注入
　　3.4.3　直接内核对象操纵
　　3.5　应对rootkit
　　3.6　本章小结
　　第4章　僵尸网络的兴起
　　4.1　什么是僵尸网络
　　4.1.1　主要特点
　　4.1.2　关键组件
　　4.1.3　C&C结构
　　4.2　僵尸网络的使用
　　4.2.1　分布式拒绝服务攻击
　　4.2.2　点击欺诈
　　4.2.3　垃圾邮件转发
　　4.2.4　单次安装付费代理
　　4.2.5　大规模信息获取
　　4.2.6　信息处理
　　4.3　僵尸网络的保护机制
　　4.3.1　防弹主机
　　4.3.2　动态DNS
　　4.3.3　Fast-Fluxing技术
　　4.3.4　域名变化地址
　　4.4　对抗僵尸网络
　　4.4.1　技术战线
　　4.4.2　法律战线
　　4.5　本章小结
　　4.6　参考文献
　　第二部分　恶劣的现状
　　第5章　威胁生态系统
　　5.1　威胁生态系统组成
　　5.1.1　技术因素
　　5.1.2　人为因素
　　5.1.3　威胁生态系统的演进
　　5.2　高级持续性威胁
　　5.2.1　攻击方法
　　5.2.2　攻击的收益
　　5.3　恶意软件经济
　　5.4　本章小结
　　第6章　恶意软件工厂
　　6.1　逃避反病毒检测的必要性
　　6.1.1　恶意软件事件处理过程
　　6.1.2　恶意软件检测
　　6.1.3　反病毒产品绕过技术
　　6.2　建立恶意软件军队的必要性
　　6.2.1　下一代恶意软件工具套件
　　6.2.2　独立的防护工具
　　6.2.3　恶意软件装甲军队的作用
　　6.3　恶意软件工厂
　　6.3.1　恶意软件流水线
　　6.3.2　攻击者工具的获得
　　6.3.3　恶意软件日益泛滥
　　6.4　本章小结
　　第7章　感染载体
　　7.1　感染载体概述
　　7.1.1　物理媒介
　　7.1.2　电子邮件
　　7.1.3　即时通信和聊天软件
　　7.1.4　社交网络
　　7.1.5　URL链接
　　7.1.6　文件共享
　　7.1.7　软件漏洞
　　7.2　变成感染载体的可能性
　　7.3　本章小结
　　第8章　受感染系统
　　8.1　恶意软件感染过程
　　8.1.1　安装恶意软件文件
　　8.1.2　设置恶意软件的持久性
　　8.1.3　移除恶意软件安装证据
　　8.1.4　向恶意软件传递控制权
　　8.2　活跃的恶意软件
　　8.2.1　在系统中长期潜伏
　　8.2.2　和攻击者通信
　　8.2.3　执行有效载荷
　　8.3　本章小结
　　第三部分　企业的应对
　　第9章　组织保护
　　9.1　威胁事件响应者
　　9.2　理解系统的价值
　　9.2.1　系统对于组织的价值
　　9.2.2　系统对于攻击者的价值
　　9.3　理解系统的特征
　　9.3.1　系统类型
　　9.3.2　运营影响
　　9.3.3　主机数据的敏感度
　　9.3.4　系统用户
　　9.3.5　网络位置
　　9.3.6　资产的可访问性
　　9.3.7　资产访问权限
　　9.3.8　系统恢复
　　9.3.9　系统状态
　　9.4　设置系统优先级
　　9.5　企业安全态势
　　9.6　了解遭受攻击的代价
　　9.6.1　直接损失
　　9.6.2　间接损失
　　9.7　系统保护
　　9.7.1　威胁建模
　　9.7.2　识别合适的解决方案
　　9.7.3　前置式威胁检测
　　9.8　建立事件响应计划
　　9.8.1　识别不同的受害场景
　　9.8.2　识别解决方案模式
　　9.8.3　定义角色和职责
　　9.8.4　建立草案
　　9.8.5　定期演习
　　9.8.6　评审和改进
　　9.9　把一切付诸行动
　　9.10　保护之外
　　9.11　本章小结
　　第10章　检测威胁
　　10.1　建立基准
　　10.1.1　建立网络基准
　　10.1.2　建立主机基准
　　10.2　检测异常
　　10.2.1　检测网络异常
　　10.2.2　检测主机异常
　　10.3　隔离异常源
　　10.4　深入分析受感染资产
　　10.4.1　精确定位恶意软件
　　10.4.2　基于攻击意图对恶意软件进行分类
　　10.5　本章小结
　　第11章　缓解威胁
　　11.1　威胁缓解
　　11.2　立即式响应
　　11.2.1　隔离
　　11.2.2　验证
　　11.2.3　威胁的检测和分类
　　11.2.4　修复和恢复
　　11.3　先应式响应
　　11.3.1　预防措施
　　11.3.2　定期进行安全审计
　　11.4　内部威胁
　　11.4.1　什么是内部威胁
　　11.4.2　缓解内部威胁
　　11.5　保持警惕
　　11.6　本章小结
　　第四部分　结束语
　　第12章　永不停歇的战斗
　　12.1　本书回顾
　　12.2　未来展望
　　12.2.1　恶意软件的未来
　　12.2.2　rootkit展望
　　12.2.3　僵尸网络的未来
　　12.3　好人们也很忙
　　12.4　冒险才刚刚开始
　　12.5　本章小结
　　附录A　系统启动过程
　　附录B　有用的网络链接
　　词汇表

　　Bill Blunden，资深计算机安全专家，从事相关研究10余年，对rootkit有非常深入的研究。目前从事网络安全设备代码和ERP中间件的相关工作。活跃于计算机安全类社区，常与计算机安全领域多名世界级安全专家交流探讨。在学术生涯中走过不少弯路，因此对计算机安全有异于常人的观察角度和体会。
　　Christopher C. Elisan，资深逆向分析工程师和恶意软件研究专家，RSA NetWitness的首席恶意软件分析科学家。他经常为《今日美国》、《信息周刊》、《隐秘读物》（Dark Reading）等领导性出版物提供恶意软件、僵尸网络、高级持续性威胁方面的专家意见。
　　译者简介
　　郭涛，博士，中国信息安全测评中心副总工程师，软件安全实验室主任，主要研究方向为软件安全与漏洞分析技术。多次承担自然科学基金、863、核高基、电子发展基金等多项国家重大科研项目，负责多项国家标准的制定工作，获国家科技进步一等奖一次、省部级科技进步一等奖一次，出版专著、译著十余本，发表学术论文数十篇。

　　《Rootkit：系统灰色地带的潜伏者》
　　《Rootkit：系统灰色地带的潜伏者》共分四部分。第一部分（第1～6章），全新阐释rootkit本质、rootkit与反取证关系、安全领域态势，以及反取证技术的策略、应对建议和攻击优势。之后，从硬件、软件（系统）、行业工具和内核空间方面介绍rootkit调查过程和利用反取证技术破坏调查过程的策略，使你对取证和反取证有全新了解。第二部分（第7～8章），主要介绍rootkit如何阻止磁盘分析和可执行文件的分析，而调查人员如何利用有效的工具和策略来分析辅助存储器（例如磁盘分析、卷分析、文件系统分析以及未知二进制分析）中可能留下的rootkit痕迹，并对内存驻留和多级释放器技术及用户态Exec（UserlandExec）理念进行了深入剖析。第三部分（第9～15章）主要详解攻击者利用rootkit破坏数据收集过程和造成“一切安好”的假象的前沿实用策略：阻止在线取证、内核模式策略、更改调用表、更改代码、更改内核对象、创建隐秘通道和部署带外rootkit。第四部分（第16章），高屋建瓴地重新总结了rootkit的核心策略，以及如何识别隐藏的rootkit、注意事项和如何处理感染等。
　　《恶意软件、Rootkit和僵尸网络》
　　《恶意软件、Rootkit和僵尸网络》是恶意软件、rootkit和僵尸网络领域的经典入门书，也被誉为是该领域好的一本书，10余家安全机构联袂推荐，五星热销书。由国际知名的安全技术专家撰写，中国信息安全测评中心软件安全实验室主任领衔翻译，译著双馨。本书既从攻击者的角度详细介绍了恶意软件的技术原理、攻击流程和攻击方法，又从防御者的角度深入讲解了恶意软件的分析方法以及应对各种威胁的解决方案和实践。书中包含大量案例，不仅实践性强，而且还颇有趣味。
　　《恶意软件、Rootkit和僵尸网络》共分为四部分。第一部分（第1～4章）迅速导入“基础知识”，介绍当前面临的威胁、主要网络攻击手段，使读者能充分了解什么是恶意软件、rootkit和僵尸网络。第二部分（第5～8章），是本书核心部分，从更高的视角来讲解以下内容：攻击者的恶意软件操作形式；网络犯罪团体的组织形式；攻击者如何利用现有技术去创建、部署、管理可控的恶意软件和僵尸网络，涵盖整个威胁流程，使读者对恶意软件编写者的思维方式和操作方法有深入了解，极具参考价值。这部分还将阐明普通用户如何于不知不觉中成为网络犯罪组织的参与者，以及攻击者获益链条。第三部分（第9～11章），主要讲解“企业应对方案”，引导读者进一步了解威胁处理方法、提高系统安全性的秘技、了解现有系统安全性的实用性方法，以及识别和缓解潜在威胁的业界实践。第四部分（第12章），此部分回顾本书所讲内容，并着重讨论了恶意软件、rootkit和僵尸网络今后的发展态势，使读者了解目前反恶意软件领域的前沿研究工作。