编辑推荐
本书探索恶意软件分析、取证的前沿技术,聚焦恶意软件逆向工程,阐述漏洞成因及利用方式,以及如何在现代计算机中实现信任。
内容简介
本书主要内容包括:Windows如何启动,在哪里找到漏洞;引导过程安全机制(如安全引导)的详细信息,包括虚拟安全模式(VSM)和设备保护的概述;如何通过逆向工程和取证技术分析真正的恶意软件;如何使用仿真和Bochs和IDA Pro等工具执行静态和动态分析;如何更好地了解BIOS和UEFI固件威胁的交付阶段,以创建检测功能;如何使用虚拟化工具,如VMware Workstation;深入分析逆向工程中的Bootkit和Intel Chipsec。
作者简介
作者亚历克斯·马特罗索夫,英伟达公司攻击安全研究负责人,拥有20多年的逆向工程、高级恶意软件分析、固件安全和开发技术经验。
章节目录
版权信息
序言
前言
致谢
关于作者
关于技术审校
译者简介
第一部分 Rootkit
第1章 Rootkit原理:TDL3案例研究
1.1 TDL3在真实环境中的传播历史
1.2 感染例程
1.3 控制数据流
1.4 隐藏的文件系统
1.5 小结:TDL3也有“天敌”
第2章 Festi Rootkit:先进的垃圾邮件和DDoS僵尸网络
2.1 Festi僵尸网络的案例
2.2 剖析Rootkit驱动程序
2.3 Festi网络通信协议
2.4 绕过安全和取证软件
2.5 C&C故障的域名生成算法
2.6 恶意的功能
2.7 小结
第3章 观察Rootkit感染
3.1 拦截的方法
3.2 恢复系统内核
3.3 伟大的Rootkit军备竞赛:一个怀旧的笔记
3.4 小结
第二部分 Bootkit
第4章 Bootkit的演变
4.1 第一个Bootkit恶意程序
4.2 Bootkit病毒的演变
4.3 新一代Bootkit恶意软件
4.4 小结
第5章 操作系统启动过程要点
5.1 Windows引导过程的高级概述
5.2 传统引导过程
5.3 Windows系统的引导过程
5.4 小结
第6章 引导过程安全性
6.1 ELAM模块
6.2 微软内核模式代码签名策略
6.3 Secure Boot技术
6.4 Windows 10中基于虚拟化的安全
6.5 小结
第7章 Bootkit感染技术
7.1 MBR感染技术
7.2 VBR / IPL感染技术
7.3 小结
第8章 使用IDA Pro对Bootkit进行静态分析
8.1 分析Bootkit MBR
8.2 VBR业务分析技术
8.3 高级IDA Pro的使用:编写自定义MBR加载器
8.4 小结
8.5 练习
第9章 Bootkit动态分析:仿真和虚拟化
9.1 使用Bochs进行仿真
9.2 使用VMware Workstation进行虚拟化
9.3 微软Hyper-V和Oracle VirtualBox
9.4 小结
9.5 练习
第10章 MBR和VBR感染技术的演变:Olmasco
10.1 Dropper
10.2 Bootkit的功能
10.3 Rootkit的功能
10.4 小结
第11章 IPL Bootkit:Rovnix和Carberp
11.1 Rovnix的演化
11.2 Bootkit架构
11.3 感染系统
11.4 感染后的引导过程和IPL
11.5 内核模式驱动程序的功能
11.6 隐藏的文件系统
11.7 隐藏的通信信道
11.8 案例研究:与Carberp的联系
11.9 小结
第12章 Gapz:高级VBR感染
12.1 Gapz Dropper
12.2 使用Gapz Bootkit感染系统
12.3 Gapz Rootkit的功能
12.4 隐藏存储
12.5 小结
第13章 MBR勒索软件的兴起
13.1 现代勒索软件简史
13.2 勒索软件与Bootkit功能
13.3 勒索软件的运作方式
13.4 分析Petya勒索软件
13.5 分析Satana勒索软件
13.6 小结
第14章 UEFI与MBR/VBR引导过程
14.1 统一可扩展固件接口
14.2 传统BIOS和UEFI引导过程之间的差异
14.3 GUID分区表的细节
14.4 UEFI固件的工作原理
14.5 小结
第15章 当代UEFI Bootkit
15.1 传统BIOS威胁的概述
15.2 所有硬件都有固件
15.3 感染BIOS的方法
15.4 理解Rootkit注入
15.5 真实环境中的UEFI Rootkit
15.6 小结
第16章 UEFI固件漏洞
16.1 固件易受攻击的原因
16.2 对UEFI固件漏洞进行分类
16.3 UEFI固件保护的历史
16.4 Intel Boot Guard
16.5 SMM模块中的漏洞
16.6 S3引导脚本中的漏洞
16.7 Intel管理引擎中的漏洞
16.8 小结
第三部分 防护和取证技术
第17章 UEFI Secure Boot的工作方式
17.1 什么是Secure Boot
17.2 UEFI Secure Boot实现细节
17.3 攻击Secure Boot
17.4 通过验证和测量引导保护Secure Boot
17.5 Intel Boot Guard
17.6 ARM可信引导板
17.7 验证引导与固件Rootkit
17.8 小结
第18章 分析隐藏文件系统的方法
18.1 隐藏文件系统概述
18.2 从隐藏的文件系统中检索Bootkit数据
18.3 解析隐藏的文件系统映像
18.4 HiddenFsReader工具
18.5 小结
第19章 BIOS/UEFI取证:固件获取和分析方法
19.1 取证技术的局限性
19.2 为什么固件取证很重要
19.3 了解固件获取
19.4 实现固件获取的软件方法
19.5 实现固件获取的硬件方法
19.6 使用UEFITool分析固件映像
19.7 使用Chipsec分析固件映像
19.8 小结
Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁是2022年由机械工业出版社有限公司出版,作者[美] 亚历克斯·马特罗索夫。
得书感谢您对《Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
