黑客大曝光：惡意軟體和Rootkit安全

抵禦惡意軟體和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟體和Rootkit安全》用現實世界的案例研究和實例揭示了當前的黑客們是如何使用很容易得到的工具滲透和劫持系統的，逐步深入的對策提供了經過證明的預防技術。《黑客大曝光:惡意軟體和Rootkit安全》介紹了檢測和消除惡意嵌入代碼、攔截彈出式視窗和網站、預防擊鍵記錄以及終止Rootkit的方法，詳細地介紹了最新的入侵檢測、防火牆、蜜罐、防病毒、防Rootkit以及防間諜軟體技術。

《黑客大曝光：惡意軟體和Rootkit安全》包括以下內容：理解惡意軟體感染、生存以及在整個企業中傳染的方法。了解黑客使用存檔檔案、加密程式以及打包程式混淆代碼的方法。實施有效的入侵檢測和預防程式。防禦擊鍵記錄、重定向、點擊欺詐以及身份盜竊威脅。檢測，殺死和刪除虛擬模式、用戶模式和核心模式 Rootkit。預防惡意網站、仿冒、客戶端和嵌入式代碼攻擊。使用最新的防病毒、彈出視窗攔截程式和防火牆軟體保護主機。使用HIPS和NIPS識別和終止惡意進程。

“本書揭示了惡意軟體可能的藏身之地，給出了尋找它們的方法”。

——Dan Kami rlsky，IOActive公司滲透測試負責人“本書為我們提供了令人驚嘆的資源，它很及時地關注了我們所面臨的最大網路威脅和防禦。”

——Lance Spitzrler，HorleynetI頁目總裁

作者：（美國）戴維斯（Michael A.Davis） （美國）Sean M. Bodmer （美國）Aaron Le Masters 譯者：姚軍

Michael A. Davis是Savid Technologies公司的CEO，該公司是一家全國性的技術和安全諮詢公司。由於Michael將snort、ngrep、dsniff和 honeyd這樣的安全工具移植到Windows平台，因此他在開源軟體安全界聲名卓著。作為Honeynet項目成員，他為基於Windows的 honeynet（蜜罐）開發了數據和網路控制機制。Michael還是sebek for Windows的開發者，這是一種基於核心的honeynet數據收集和監控工具。Michael曾經在領先的防病毒保護和漏洞管理企業-McAfee公司擔任全球威脅高級經理，領導一個研究機密審查和尖端安全的團隊。在McAfee工作之前，Michael曾在Foundstone工作過。他曾經在 McAfee公司擔任全球威脅高級經理。他是Honeynet項目成員。

Sean M. Bodmer是Savid Corporation公司的政府項目主管。Sean是一位活躍的honeynet研究人員，精於分析惡意軟體和攻擊者的特徵、模式和行為。最為引人注目的是，他花費了多年的時間來領導高級入侵檢測系統（honeynet）的運作和分析，這一系統能夠捕捉和分析入侵者及其工具的動機和目的，從而生成對進一步保護用戶網路有價值的信息。在過去的10年中，Sean已經為華盛頓特區的多個聯邦政府機構和私人公司負責過各種系統安全工程。Sean在全美國的業界會議，如DEFCON、PhreakNIC、DC3、NW3C、 Carnegie Mellon CERT和Pentagon安全論壇上發表過演講，主題包括對攻擊特徵和攻擊者的剖析，這些剖析能夠幫助識別網路攻擊的真正動機和意圖。Sean是 Honeynet項目和HackerProfiling項目的參與者。

Aaron LeMasters（喬治·華盛頓大學理科碩士）是一位精通計算機取證、惡意軟體分析和漏洞研究的安全研究人員。他在職業生涯的頭5年用在保護不設防的國防部網路上，他是Raytheon SI的高級軟體工程師。Aaron樂於在大的安全會議（如Black Hat）和較小的區域黑客會議（如Outerzone）上分享研究成果。他更願意關注與Windows內部構件、系統完整性、逆向工程和惡意軟體分析相關的高級研究和開發問題。他是一位熱心的原型構造者，很喜歡開發增強其研究趣味性的工具。在業餘時間，Aaron喜歡打籃球、畫素描、擺弄他的 Epiphone Les Paul電吉他，以及和妻子一起去紐約旅行。

對本書的讚譽

譯者序

序言

前言

作者簡介

技術編輯簡介

第一部分 惡意軟體

第1章 傳染方法5

1.1 這種安全設施可能確實有用5

1.1.1 作業系統漏洞的減少6

1.1.2 邊界安全7

1.2 為什麼他們想要你的工作站8

1.3 難以發現的意圖8

1.4 這是樁生意9

1.5 重要的惡意軟體傳播技術10

1.5.1 社會工程10

1.5.2 檔案執行12

1.6 現代惡意軟體的傳播技術14

1.6.1 StormWorm（惡意軟體實例：trojan.peacomm）15

1.6.2 變形（惡意軟體實例：W32.Evol、W32.Simile）16

1.6.3 混淆18

1.6.4 動態域名服務（惡意軟體實例：W32.Reatle.E@mm）21

1.6.5 FastFlux（惡意軟體實例：trojan.peacomm）21

1.7 惡意軟體傳播注入方向23

1.7.1 電子郵件23

1.7.2 惡意網站25

1.7.3 網路仿冒27

1.7.4 對等網路（P2P）32

1.7.5 蠕蟲34

1.8 本書配套網站上的實例36

1.9 小結36

第2章 惡意軟體功能37

2.1 惡意軟體安裝後會做什麼37

2.1.1 彈出視窗37

2.1.2 搜尋引擎重定向41

2.1.3 數據盜竊47

2.1.4 單擊欺詐48

2.1.5 身份盜竊49

2.1.6 擊鍵記錄52

2.1.7 惡意軟體的表現55

2.2 ？識別安裝的惡意軟體57

2.2.1 典型安裝位置58

2.2.2 在本地磁碟上安裝58

2.2.3 修改時間戳59

2.2.4 感染進程59

2.2.5 禁用服務59

2.2.6 修改Windows註冊表60

2.3 小結60

第二部分 Rootkit

第3章 用戶模式Rootkit64

3.1 維持訪問權64

3.2 隱身：掩蓋存在65

3.3 Rootkit的類型66

3.4 時間軸66

3.5 用戶模式Rootkit67

3.5.1 什麼是用戶？式Rootkit68

3.5.2 後台技術68

3.5.3 注入技術71

3.5.4 鉤子技術80

3.5.5 用戶模式Rootkit實例81

3.6 小結88

第4章 核心模式Rootkit89

4.1 底層：x86體系結構基礎89

4.1.1 指令集體系結構和作業系統90

4.1.2 保護層次90

4.1.3 跨越層次91

4.1.4 核心模式：數位化的西部蠻荒92

4.2 目標：Windows核心組件92

4.2.1 Win32子系統93

4.2.2 這些API究竟是什麼94

4.2.3 守門人：NTDLL.DLL94

4.2.4 委員會功能：WindowsExecutive（NTOSKRNL.EXE）94

4.2.5 Windows核心（NTOSKRNL.EXE）95

4.2.6 設備驅動程式95

4.2.7 Windows硬體抽象層（HAL）96

4.3 核心驅動程式概念96

4.3.1 核心模式驅動程式體系結構96

4.3.2 整體解剖：框架驅動程式97

4.3.3 WDF、KMDF和UMDF99

4.4 核心模式Rootkit99

4.4.1 核心模式Rootkit簡介99

4.4.2 核心模式Rootkit所面對的挑戰100

4.4.3 裝入100

4.4.4 得以執行101

4.4.5 與用戶模式通信101

4.4.6 保持隱蔽性和持續性101

4.4.7 方法和技術102

4.5 核心模式Rootkit實例118

4.5.1 Clandestiny創建的Klog118

4.5.2 Aphex創建的AFX121

4.5.3 JamieButler、PeterSilberman和C.H.A.O.S創建的FU和FUTo123

4.5.4 SherriSparks和JamieButler創建的ShadowWalker124

4.5.5 He4Team？建的He4Hook126

4.5.6 Honeynet項目創建的Sebek129

4.6 小結129

第5章 虛擬Rootkit131

5.1 虛擬機技術概述131

5.1.1 虛擬機類型132

5.1.2 系統管理程式132

5.1.3 虛擬化策略134

5.1.4 虛擬記憶體管理134

5.1.5 虛擬機隔離135

5.2 虛擬機Rootkit技術135

5.2.1 矩陣里的Rootkit：我們是怎么到這裡的135

5.2.2 什麼是虛擬Rootkit136

5.2.3 虛擬Rootkit的類型136

5.2.4 檢測虛擬環境137

5.2.5 脫離虛擬環境143

5.2.6 劫持系統管理程式144

5.3 虛擬Rootkit實例145

5.4 小結150

第6章 Rootkit的未來：如果你現在認為情況嚴重151

6.1 複雜性和隱蔽性的改進151

6.2 定製的Rootkit157

6.3 小結157

第三部分 預防技術

第7章 防病毒163

7.1 防病毒技術的革新163

7.2 病毒全景164

7.2.1 病毒的定義164

7.2.2 分類165

7.2.3 簡單病毒166

7.2.4 複雜病毒168

7.3 防病毒-核心特性和技術169

7.3.1 手工或者“按需”掃描169

7.3.2 實時或者“訪問時”掃描170

7.3.3 基於特徵碼的檢測170

7.3.4 基於異常/啟發式檢測171

7.4 對防病毒技術的作用的評論172

7.4.1 防病毒技術擅長的方面172

7.4.2 防病毒業界的領先者173

7.4.3 防病毒的難題175

7.5 防病毒曝光：你的防病毒產品是個Rootkit嗎180

7.5.1 在運行時修補系統服務181

7.5.2 對用戶模式隱藏執行緒182

7.5.3 是一個缺陷嗎183

7.6 防病毒業界的未來184

7.6.1 為生存而戰鬥184

7.6.2 是行業的毀滅嗎185

7.6.3 可能替換防病毒的技術186

7.7 小結和對策187

第8章 主機保護系統189

8.1 個人防火牆功能189

8.1.1 McAfee190

8.1.2 Symantec191

8.1.3 Checkpoint192

8.1.4 個人？火牆的局限性193

8.2 彈出視窗攔截程式195

8.2.1 InternetExplorer195

8.2.2 Firefox195

8.2.3 Opera196

8.2.4 Safari196

8.2.5 Chrome196

8.2.6 一般的彈出式視窗攔截程式代碼實例198

8.3 小結201

第9章 基於主機的入侵預防202

9.1 HIPS體系結構202

9.2 超過入侵檢測的增長204

9.3 行為與特徵碼205

9.3.1 基於行為的系統206

9.3.2 基於特徵碼？系統206

9.4 反檢測躲避技術207

9.5 如何檢測意圖210

9.6 HIPS和安全的未來211

9.7 小結212

第10章 Rootkit檢測213

10.1 Rootk工作者的悖論213

10.2 Rootkit檢測簡史214

10.3 檢測方法詳解216

10.3.1 系統服務描述符表鉤子216

10.3.2 IRP鉤子217

10.3.3 嵌入鉤子217

10.3.4 中斷描述符表鉤子218

10.3.5 直接核心對象操縱218

10.3.6 IAT鉤子218

10.4 Windows防Rootkit特性218

10.5 基於軟體的Rootkit檢測219

10.5.1 實時檢測與脫機檢測220

10.5.2 SystemVirginityVerifier220

10.5.3 IceSword和DarkSpy221

10.5.4 RootkitRevealer223

10.5.5 F-Secure的Blacklight223

10.5.6 RootkitUnhooker225

10.5.7 GMER226

10.5.8 Helios和HeliosLite227

10.5.9 McAfeeRootkitDetective230

10.5.1 0商業Rootkit檢測工具230

10.5.1 1使用記憶體分析的脫機檢測：記憶體取證的革新231

10.6 虛擬Rootkit檢測237

10.7 基於硬體的Rootkit檢測238

10.8 小結239

第11章 常規安全實踐240

11.1 最終用戶教育240

11.2 縱深防禦242

11.3 系統加固243

11.4 自動更新243

11.5 虛擬化244

11.6 固有的安全（從一開始）245

11.7 小結245

附錄A系統安全分析：建立你自己的Rootkit檢測程式246