本書是目前第一本關於rootkit的詳盡指南,包括rootkit的概念、它們是怎樣工作的、如何構建和檢測它們。世界頂級軟體安全專家、創始人GregHoglund和JamesButler向大家詳細介紹攻擊者是如何進入系統並長期駐留而不會被檢測到的
基本介紹
- 中文名:Rootkits——Windows核心的安全防護
- 定價:39元
- 印次:1-2
- 裝幀:平裝
基本信息,圖書簡介,書籍目錄,
基本信息
ISBN:9787302146520
定價:39元
印次:1-2
裝幀:平裝
印刷日期:2007-9-30
圖書簡介
以及黑客是如何摧毀WindowsXP和Windows2000核心系統的,其概念可以套用於現代任何主流作業系統。通過本書,讀者可以全面掌握rootkit,提升自己的安全防範能力。
書籍目錄
目錄
第1章銷聲匿跡 1
1.1攻擊者的動機 1
1.1.1潛行的角色 2
1.1.2不需潛行的情況 3
1.2rootkit的定義 3
1.3rootkit存在的原因 4
1.3.1遠程命令和控制 4
1.3.2軟體竊聽 5
1.3.3rootkit的合法使用 5
1.4rootkit的存在歷史 6
1.5rootkit的工作方式 7
1.5.1打補丁 7
1.5.2復活節彩蛋 7
1.5.3間諜件修改 7
1.5.4原始碼修改 8
1.5.5軟體修改的合法性 8
1.6rootkit與其他技術的區別 9
1.6.1rootkit不是軟體利用工具 9
1.6.2rootkit不是病毒 10
1.7rootkit與軟體利用工具 11
1.8攻擊型rootkit技術 14
1.8.1HIPS 14
1.8.2NIDS 15
1.8.3繞過IDS/IPS 15
1.8.4繞過取證分析工具 16
1.9小結 17
第2章破壞核心 19
2.1重要的核心組件 20
2.2rootkit的結構設計 20
2.3在核心中引入代碼 23
2.4構建Windows設備驅動程式 24
2.4.1設備驅動程式開發工具包 24
2.4.2構建環境 24
2.4.3檔案 25
2.5載入和卸載驅??絛?28
2.6對調試語句進行日誌記錄 28
2.7融合rootkit:用戶和核心模式的融合 29
2.7.1I/O請求報文 30
2.7.2創建檔案句柄 33
2.7.3添加符號連結 35
2.8載入rootkit 36
2.8.1草率方式 36
2.8.2正確方式 38
2.9從資源中解壓縮.sys檔案 40
2.10系統重啟後的考驗 42
2.11小結 43
第3章硬體相關問題 45
3.1環0級 46
3.2CPU表和系統表 47
3.3記憶體頁 48
3.3.1記憶體訪問檢查 49
3.3.2分頁和地址轉換 50
3.3.3頁表查詢 51
3.3.4頁目錄項 52
3.3.5頁表項 53
3.3.6重要表的唯讀訪問 53
3.3.7多個進程使用多個頁目錄 54
3.3.8進程和執行緒 54
3.4記憶體描述符表 55
3.4.1全局描述符表 55
3.4.2本地描述符表 56
3.4.3代碼段 56
3.4.4調用門 56
3.5中斷描述符表 56
3.6系統服務調度表 60
3.7控制暫存器 60
3.7.1控制暫存器0 60
3.7.2其他控制暫存器 61
3.7.3EFlags暫存器 61
3.8多處理器系統 61
3.9小結 63
第4章古老的鉤子藝術 65
4.1用戶空間鉤子 65
4.1.1導入地址表鉤子 67
4.1.2內聯函式鉤子 68
4.1.3將DLL注入到用戶空間進程中 70
4.2核心鉤子 74
4.2.1鉤住系統服務描述符表 75
4.2.2修改SSDT記憶體保護機制 76
4.2.3鉤住SSDT 79
4.3混合式鉤子方法 99
4.3.1進入進程的地址空間 99
4.3.2鉤子的記憶體空間 103
4.4小結 105
第5章運行時補丁 107
5.1detour補丁 108
5.1.1用MigBot重定控制流程路徑 109
5.1.2檢查函式位元組 110
5.1.3記錄被重寫的指令 112
5.1.4使用NonPagedPool記憶體 114
5.1.5運行時地址修正 115
5.2跳轉模板 119
5.3補丁方法的變型 126
5.4小結 127
第6章分層驅動程式 129
6.1鍵盤嗅探器 130
6.2剖析KLOGrootkit 134
6.3檔案過濾器驅動程式 146
6.4小結 161
第7章直接核心對象操作 163
7.1DKOM的優缺點 163
7.2確定作業系統的版本 165
7.2.1用戶模式的自確定 165
7.2.2核心模式的自確定 167
7.2.3在註冊表中查詢作業系統版本 167
7.3用戶空間與設備驅動程式的通信 169
7.4DKOM隱藏技術 173
7.4.1隱藏進程 173
7.4.2隱藏設備驅動程式 179
7.4.3同步問題 183
7.5使用DKOM提升令牌許可權和組 187
7.5.1修改進程令牌 187
7.5.2偽造WindowsEventViewer 201
7.6小結 203
第8章操縱硬體 205
8.1為何使用硬體 206
8.2修改固件 207
8.3訪問硬體 208
8.3.1硬體地址 208
8.3.2訪問硬體與訪問RAM的區別 209
8.3.3定時問題 210
8.3.4I/O匯流排 210
8.3.5訪問BIOS 212
8.3.6訪問PCI和PCMCIA設備 213
8.4訪問鍵盤控制器示例 213
8.4.18259鍵盤控制器 213
8.4.2修改LED指示器 214
8.4.3強制重啟 220
8.4.4擊鍵監視器 220
8.5微碼更新 227
8.6小結 228
第9章隱秘通道 229
9.1遠程命令、控制和數據竊取 230
9.2偽裝TCP/IP協定 231
9.2.1注意通信量模式 231
9.2.2不以明文傳送數據 232
9.2.3充分利用時間因素 232
9.2.4隱藏在DNS請求中 233
9.2.5對ASCII編碼有效負載進行隱寫操作 233
9.2.6使用其他TCP/IP通道 234
9.3TCP/IP核心中支持rootkit的TDI接口 235
9.3.1構建地址結構 235
9.3.2創建本地地址對象 237
9.3.3根據上下文創建TDI端點 240
9.3.4將端點與本地地址進行關聯 243
9.3.5連線到遠程伺服器(傳送TCP握手訊息) 245
9.3.6將數據傳送到遠程伺服器 247
9.4原始網路操作 250
9.4.1在WindowsXP上實現原始套接字 250
9.4.2綁定到接口 251
9.4.3使用原始套接字進行嗅探 252
9.4.4使用原始套接字進行雜亂嗅探 253
9.4.5使用原始套接字傳送報文 254
9.4.6偽造源信息 254
9.4.7彈回報文 254
9.5TCP/IP核心中支持rootkit的NDIS接口 255
9.5.1註冊協定 255
9.5.2協定驅動程式回調函式 260
9.5.3移動完整報文 266
9.6主機仿真 273
9.6.1創建MAC地址 273
9.6.2處理ARP協定 273
9.6.3IP網關 276
9.6.4傳送報文 276
9.7小結 280
第10章rootkit檢測 281
10.1檢測rootkit的存在 281
10.1.1守護門口 282
10.1.2掃描“空間” 284
10.1.3查找鉤子 284
10.2檢測rootkit的行為 293
10.2.1檢測隱藏的檔案和註冊表鍵 294
10.2.2檢測隱藏的進程 294
10.3小結 297
