黑客大曝光

作者简介

抵御恶意软件和Rootkit不断掀起的攻击浪潮！《黑客大曝光：恶意软件和Rootkit安全》用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的，逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法，详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。

《黑客大曝光：恶意软件和Rootkit安全》包括以下内容：

·  理解恶意软件感染、生存以及在整个企业中传染的方法。

·  了解黑客使用存档文件、加密程序以及打包程序混淆代码的方法。

·  实施有效的入侵检测和预防程序。

·  防御击键记录、重定向、点击欺诈以及身份盗窃威胁。

·  检测，杀死和删除虚拟模式、用户模式和内核模式Rootkit。

·  预防恶意网站、仿冒、客户端和嵌入式代码攻击。

·  使用最新的防病毒、弹出窗口拦截程序和防火墙软件保护主机。

·  使用HIPS和NIPS识别和终止恶意进程。

书籍目录

目录

对本书的赞誉

译者序

序言

前言

作者简介

技术编辑简介

第一部分   恶意软件

第1章   传染方法
5

1.1　这种安全设施可能确实有用
5

1.1.1　操作系统漏洞的减少
6

1.1.2　边界安全
7

1.2　为什么他们想要你的工作站
8

1.3　难以发现的意图
8

1.4　这是桩生意
9

1.5　重要的恶意软件传播技术
10

1.5.1　社会工程
10

1.5.2　文件执行
12

1.6　现代恶意软件的传播技术
14

1.6.1　StormWorm（恶意软件实例：trojan.peacomm）
15

1.6.2　变形（恶意软件实例：W32.Evol、W32.Simile）
16

1.6.3　混淆
18

1.6.4　动态域名服务（恶意软件实例：W32.Reatle.E@mm）
21

1.6.5　Fast　Flux（恶意软件实例：

trojan.peacomm)
21

1.7　恶意软件传播注入方向
23

1.7.1　电子邮件
23

1.7.2　恶意网站
25

1.7.3　网络仿冒
27

1.7.4　对等网络（P2P）
32

1.7.5　蠕虫
34

1.8　本书配套网站上的实例
36

1.9　小结
36

第2章　恶意软件功能
37

2.1　恶意软件安装后会做什么
37

2.1.1　弹出窗口
37

2.1.2　搜索引擎重定向
41

2.1.3　数据盗窃
47

2.1.4　单击欺诈
48

2.1.5　身份盗窃
49

2.1.6　击键记录
52

2.1.7　恶意软件的表现
55

2.2　识别安装的恶意软件
57

2.2.1　典型安装位置
58

2.2.2　在本地磁盘上安装
58

2.2.3　修改时间戳
59

2.2.4　感染进程
59

2.2.5　禁用服务
59

2.2.6　修改Windows注册表
60

2.3　小结
60

第二部分　Rootkit

第3章　用户模式Rootkit
64

3.1　维持访问权
64

3.2　隐身：掩盖存在
65

3.3　Rootkit的类型
66

3.4　时间轴
66

3.5　用户模式Rootkit
67

3.5.1　什么是用户模式Rootkit
68

3.5.2　后台技术
68

3.5.3　注入技术
71

3.5.4　钩子技术
80

3.5.5　用户模式Rootkit实例
81

3.6　小结
88

第4章　内核模式Rootkit
89

4.1　底层：x86体系结构基础
89

4.1.1　指令集体系结构和操作系统
90

4.1.2　保护层次
90

4.1.3　跨越层次
91

4.1.4　内核模式：数字化的西部蛮荒
92

4.2　目标：Windows内核组件
92

4.2.1　Win32子系统
93

4.2.2　这些API究竟是什么
94

4.2.3　守门人：NTDLL.DLL
94

4.2.4　委员会功能：Windows Executive（NTOSKRNL.EXE）
94

4.2.5　Windows内核（NTOSKRNL.EXE）
95

4.2.6　设备驱动程序
95

4.2.7　Windows硬件抽象层(HAL)
96

4.3　内核驱动程序概念
96

4.3.1　内核模式驱动程序体系结构
96

4.3.2　整体解剖：框架驱动程序
97

4.3.3　WDF、KMDF和UMDF
99

4.4　内核模式Rootkit
99

4.4.1　内核模式Rootkit简介
99

4.4.2　内核模式Rootkit所面对的挑战
100

4.4.3　装入
100

4.4.4　得以执行
101

4.4.5　与用户模式通信
101

4.4.6　保持隐蔽性和持续性
101

4.4.7　方法和技术
102

4.5　内核模式Rootkit实例
118

4.5.1　Clandestiny创建的Klog
118

4.5.2　Aphex创建的AFX
121

4.5.3　Jamie Butler、Peter Silberman

和C.H.A.O.S创建的FU和FUTo
123

4.5.4　Sherri Sparks和Jamie Butler创建的Shadow Walker
124

4.5.5　He4 Team创建的He4Hook
126

4.5.6　Honeynet项目创建的Sebek
129

4.6　小结
129

第5章　虚拟Rootkit
131

5.1　虚拟机技术概述
131

5.1.1　虚拟机类型
132

5.1.2　系统管理程序
132

5.1.3　虚拟化策略
134

5.1.4　虚拟内存管理
134

5.1.5　虚拟机隔离
135

5.2　虚拟机Rootkit技术
135

5.2.1　矩阵里的Rootkit：我们是怎么到这里的
135

5.2.2　什么是虚拟Rootkit
136

5.2.3　虚拟Rootkit的类型
136

5.2.4　检测虚拟环境
137

5.2.5　脱离虚拟环境
143

5.2.6　劫持系统管理程序
144

5.3　虚拟Rootkit实例
145

5.4　小结
150

第6章　Rootkit的未来：如果你现在认为情况严重
151

6.1　复杂性和隐蔽性的改进
151

6.2　定制的Rootkit
157

6.3　小结
157

第三部分　预防技术

第7章　防病毒
163

7.1　现在和以后：防病毒技术的革新
163

7.2　病毒全景
164

7.2.1　病毒的定义
164

7.2.2　分类
165

7.2.3　简单病毒
166

7.2.4　复杂病毒
168

7.3　防病毒—核心特性和技术
169

7.3.1　手工或者“按需”扫描
169

7.3.2　实时或者“访问时”扫描
170

7.3.3　基于特征码的检测
170

7.3.4　基于异常/启发式检测
171

7.4　对防病毒技术的作用的评论
172

7.4.1　防病毒技术擅长的方面
172

7.4.2　防病毒业界的领先者
173

7.4.3　防病毒的难题
175

7.5　防病毒曝光：你的防病毒产品是个Rootkit吗
180

7.5.1　在运行时修补系统服务
181

7.5.2　对用户模式隐藏线程
182

7.5.3　是一个缺陷吗
183

7.6　防病毒业界的未来
184

7.6.1　为生存而战斗
184

7.6.2　是行业的毁灭吗
185

7.6.3　可能替换防病毒的技术
186

7.7　小结和对策
187

第8章　主机保护系统
189

8.1　个人防火墙功能
189

8.1.1　McAfee
190

8.1.2　Symantec
191

8.1.3　Checkpoint
192

8.1.4　个人防火墙的局限性
193

8.2　弹出窗口拦截程序
195

8.2.1　Internet　Explorer
195

8.2.2　Firefox
195

8.2.3　Opera
196

8.2.4　Safari
196

8.2.5　Chrome
196

8.2.6　一般的弹出式窗口拦截程序代码实例
198

8.3　小结
201

第9章　基于主机的入侵预防
202

9.1　HIPS体系结构
202

9.2　超过入侵检测的增长
204

9.3　行为与特征码
205

9.3.1　基于行为的系统
206

9.3.2　基于特征码的系统
206

9.4　反检测躲避技术
207

9.5　如何检测意图
210

9.6　HIPS和安全的未来
211

9.7　小结
212

第10章　Rootkit检测
213

10.1　Rootkit作者的悖论
213

10.2　Rootkit检测简史
214

10.3　检测方法详解
216

10.3.1　系统服务描述符表钩子
216

10.3.2　IRP钩子
217

10.3.3　嵌入钩子
217

10.3.4　中断描述符表钩子
218

10.3.5　直接内核对象操纵
218

10.3.6　IAT钩子
218

10.4　Windows防Rootkit特性
218

10.5　基于软件的Rootkit检测
219

10.5.1　实时检测与脱机检测
220

10.5.2　System Virginity Verifier
220

10.5.3　IceSword和DarkSpy
221

10.5.4　RootkitRevealer
223

10.5.5　F-Secure的Blacklight
223

10.5.6　Rootkit Unhooker
225

10.5.7　GMER
226

10.5.8　Helios和Helios Lite
227

10.5.9　McAfee Rootkit Detective
230

10.5.10　商业Rootkit检测工具
230

10.5.11　使用内存分析的脱机检测：内存取证的革新
231

10.6　虚拟Rootkit检测
237

10.7　基于硬件的Rootkit检测
238

10.8　小结
239

第11章　常规安全实践
240

11.1　最终用户教育
240

11.2　纵深防御
242

11.3　系统加固
243

11.4　自动更新
243

11.5　虚拟化
244

11.6　固有的安全（从一开始）
245

11.7　小结
245

附录A　系统安全分析：建立你自己的Rootkit检测程序
246

编辑推荐

《黑客大曝光:恶意软件和Rootkit安全》是信息安全技术丛书之一。

前言

推荐序在我从事信息安全工作的将近15年中，恶意软件（malware）已经成为网络攻击者武器库中最有力的工具。从窥探财务记录和窃取击键到对等（peer-to-peer）网络和自动更新功能，恶意软件几乎成为所有成功攻击的关键部件。情况并非从来如此，我记得1998年刚开始从事信息安全工作时，我部署了自己的第一只蜜罐。这使我能够看到攻击者进入并且接管真实的计算机，由此我学到了关于他们的工具和技术的第一手资料。在那时候，攻击者通过人工扫描整个网络的各个部分来攻击，他们的目标是建立一个在互联网上能够访问到的IP地址列表。在花费数天的时间建立这个数据库之后，攻击者将会回来，在他们找到的每台电脑上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服务器或者开放的Windows文件共享。一旦发现这些漏洞，攻击者将利用该系统。刺探和利用的整个过程可能花费几个小时到几周，在每个阶段需要不同的工具。利用成功之后，攻击者将会上传更多的工具，每个工具都有各自的作用，并且通常人工运行。例如，一个工具能够清除日志；另一个工具则保护系统；别的工具则检索密码或者扫描其他脆弱的系统。你往往可以通过攻击者运行不同工具或者执行系统命令时犯错的数量来判断其水平。观察和学习攻击者，并且识别其身份和动机是令人愉快和感兴趣的，这时候你的感觉就像和闯入你的电脑的人有了私人关系一样。现在，网络防御的形势已经有了根本的变化。过去，要攻击和危害一台计算机，每一步几乎都包含着人工交互。现在，几乎所有的攻击都是高度自动化的，使用最先进的工具和技术。过去，你可以看到威胁并从中学习，记录攻击者采取的每个步骤。现在，整个过程都是有预谋的，发生在几秒钟之内，没有任何可观察和学习的东西。从开始的刺探到泄密再到数据收集，攻击的每个步骤都预先封装到我们所看到的最先进的技术—恶意软件之中。病毒刚刚问世时，只不过是修改系统上的几个文件以及窃取一些文档，或者试图破解系统密码的简单工具。现在，恶意软件已经变得极其成熟，它们能够读取受害者的存储器，并且感染启动扇区、BIOS，此外还有基于内核的Rootkit。更有趣的是，恶意软件利用僵尸网络（botnet）建立和维护对泄密系统的整个网络的控制能力。这些僵尸网络是网络犯罪分子控制下的有高度组织性的网络。网络犯罪分子使用这些网络来获取数据并且发送垃圾邮件，攻击其他网络或者部署仿冒站点。现代的恶意软件使这些僵尸网络成为可能。更糟糕的是，网络攻击者从全世界获得恶意软件，并且不断地创建和改进恶意软件。在我写这篇序的时候，全世界正在从一个有史以来最高级的恶意软件Conficker的攻击中恢复。数百万台电脑受到一群有组织的犯罪分子的侵害和控制。这次攻击非常成功，以至于整个政府组织（包括美国国防部）都禁止移动媒体的使用，以减缓攻击的蔓延。Conficker还引入了我们所见过的最高级的恶意软件功能，使用最新的加密技术来进行随机域名生成和自治点对点通信。不幸的是，这一威胁越来越严重。防病毒公司每天差不多要对付数千种新的恶意软件变种，这个数字还会不断增长。我们所看到的恶意软件的最大改变不只是技术，还有这些技术背后的攻击者，以及他们开发恶意软件的动机。我原来所监控的大部分攻击者都可以归类为脚本小孩，即一些没有熟练技能，只能使用从别处拷贝的工具的孩子。他们为了娱乐或者给朋友们留下印象而进行攻击。还有一小部分人开发和使用自己的工具，但是动机往往是好奇心，以及对自己的工具或者侵害系统能力的测试，或者是为了出名。今天我们所面对的威胁与此大不相同，这些威胁正在变得更有组织，更有效率，也更致命。今天，我们面对着有组织的犯罪分子，他们关注投资回报率（Return On Investment，ROI），拥有研究和开发团队，开发最有利可图的攻击。和任何具有利益中心的企业一样，这些犯罪分子关注效率和经济性，试图在全球范围获得尽可能多的利益。此外，这些犯罪分子已经发展了自己的恶意软件黑市。和其他经济体一样，你能找到一个完整的黑市，犯罪分子在这个黑市中进行交易并且销售最新的恶意软件工具，恶意软件已经成为一种服务。犯罪分子为客户开发定制的恶意软件或者将恶意软件作为服务进行租赁，服务包括支持、更新，甚至性能的约定。例如，犯罪分子可以开发定制的恶意软件，并且保证避开大部分防病毒软件，或者设计软件来利用未知的漏洞。一些国家机构也在开发最新的网络战工具。这些机构具有几乎无限的预算，并且拥有世界上最先进的技能。它们所开发的恶意软件用来悄悄地渗透和侵入其他国家，并且尽可能地收集情报，就像我们在最近的美国政府网络攻击案中所看到的那样。使用恶意软件的国家级攻击还会扰乱其他国家的网络活动，例如，对一些国家的网络分布式拒绝服务攻击就是有组织并由恶意软件发起的。恶意软件已经成为今天所见的几乎所有攻击的共有因素。为了保护你的网络，你必须理解和防御恶意软件。我很高兴看到Michael Davis牵头写作了这本关于Windows恶意软件的书籍：《黑客大曝光：恶意软件和Rootkit安全》。我无法想到更适合这一任务的人。从Mike加入Honeynet项目成为Windows的主要研究者开始，我认识他将近10年了。Mike开发了我们最强有力的数据捕捉工具sebek，这是一个高级的Windows内核工具。除此之外，Mike在McAfee公司的经历使他拥有了关于恶意软件和防病毒技术的丰富经验，他还有很多帮助提高世界各地客户安全的经验，并理解各种组织所面对的挑战。他也亲眼目睹了恶意软件成为目前各种组织所面临的最大威胁的过程。《黑客大曝光:恶意软件和Rootkit安全》为我们提供了令人惊叹的资源，它很及时，关注我们所面临的最大网络威胁和防御。我强烈推荐阅读本书。Lance Spitzner, Honeynet项目总裁

内容概要

Michael A. Davis是Savid Technologies公司的CEO，该公司是一家全国性的技术和安全咨询公司。由于Michael将snort、ngrep、dsniff和honeyd这样的安全工具移植到Windows平台，因此他在开源软件安全界声名卓著。作为Honeynet项目成员，他为基于Windows的honeynet（蜜罐）开发了数据和网络控制机制。Michael还是sebek for Windows的开发者，这是一种基于内核的honeynet数据收集和监控工具。Michael曾经在领先的防病毒保护和漏洞管理企业—McAfee公司担任全球威胁高级经理，领导一个研究机密审查和尖端安全的团队。在McAfee工作之前，Michael曾在Foundstone工作过。

Sean M. Bodmer是Savid Corporation公司的政府项目主管。Sean是一位活跃的honeynet研究人员，精于分析恶意软件和攻击者的特征、模式和行为。最为引人注目的是，他花费了多年的时间来领导高级入侵检测系统（honeynet）的运作和分析，这一系统能够捕捉和分析入侵者及其工具的动机和目的，从而生成对进一步保护用户网络有价值的信息。在过去的10年中，Sean已经为华盛顿特区的多个联邦政府机构和私人公司负责过各种系统安全工程。Sean在全美国的业界会议，如DEFCON、PhreakNIC、DC3、NW3C、 Carnegie Mellon CERT和Pentagon安全论坛上发表过演讲，主题包括对攻击特征和攻击者的剖析，这些剖析能够帮助识别网络攻击的真正动机和意图。

Aaron LeMasters（乔治·华盛顿大学理科硕士）是一位精通计算机取证、恶意软件分析和漏洞研究的安全研究人员。他在职业生涯的头5年用在保护不设防的国防部网络上，现在他是Raytheon SI的高级软件工程师。Aaron乐于在大的安全会议（如Black Hat）和较小的区域黑客会议（如Outerzone）上分享研究成果。他更愿意关注与Windows内部构件、系统完整性、逆向工程和恶意软件分析相关的高级研究和开发问题。他是一位热心的原型构造者，很喜欢开发增强其研究趣味性的工具。在业余时间，Aaron喜欢打篮球、画素描、摆弄他的Epiphone Les Paul电吉他，以及和妻子一起去纽约旅行。

媒体关注与评论

“本书揭示了恶意软件可能的藏身之地，给出了寻找它们的方法”。　　——Dan Kami rlsky，IOActive公司渗透测试负责人“本书为我们提供了令人惊叹的资源，它很及时地关注了我们所面临的最大网络威胁和防御。”　　——Lance Spitzrler，HorleynetI页目总裁

章节摘录

版权页：插图：当今的网络威胁比以往都更具敌意。在仿冒和垃圾邮件方面取得的新进展说明，攻击者的方法已经更趋向于心理学方面而非技术方面。现在，通过电子邮件和IWeb，用户成为了目标，仿冒网站看上去如此可信，使得许多人没办法看出与真实网站的不同，从而交出自己的敏感信息，例如网上银行的用户名和密码。根据McAfee的网站指南，在他们所做的间谍软件调查问卷（测试中询问受访人一个网站是否安全）中，12万名受访者中的95％错误地认为一个含有恶意软件的网站是安全的。McAfee的调查问卷是用户所面对的问题的绝好实例，他们必须一眼就能看出某些网络内容是否会对自己的机器带来负面的影响。考虑到安全意识的缺失，这个重要的决定类似于让一个4岁的孩子确定他的父亲是不是真的能从耳朵里拿出一个25美分的硬币。一旦攻击者哄骗用户下载了恶意软件，就能够随意地访问网络空间的最新边界——你的工作站，获取机密信息、用户名和密码，还有类似社会保险号码或者银行账户信息等个人身份信息。你最后一次从当地报纸中了解到严重的病毒爆发是什么时候？两年前？病毒已经成为过去。从2004年Bagle和INetsky病毒爆发以来，蠕虫和病毒对个人用户和公司网络的威胁已经显著减少了。但是，病毒爆发的停止不是因为病毒编写者决定洗手不干，而是因为他们的主要目标——公众注意力，已经不再让他们感兴趣了。病毒编写者想要更多，比如金钱、敏感信息，以及对未授权系统的持续访问以利用这些系统资源，因此他们改变了方法、技术和工具，变得更加谨慎和针对特定目标，以适应新的动机，于是恶意软件和IRootkit的时代开始了。恶意软件制作者的一些改变是由于安全界提升了安全军备竞赛的水平。未经证明的Microsoft操作系统远程漏洞的减少和边界安全产品的广泛使用迫使攻击者提升自己的水平。1.1 这种安全设施可能确实有用安全工具和产品一般被看作是降低生产率和浪费资源，或者没有真正的投资回报的东西，但是因为安全是“策略”所以必须实施。许多安全产品本身没有提供价值，而且生产软件的公司的最新改进已经显著减少了漏洞的数量和类型。攻击者利用核心操作系统部件缓冲区溢出来获得远程管理权限的时代一去不复返了。现在的漏洞远比过去复杂，在代码中隐藏得很深，要找到它需要更多的技巧，而且发布的频率也比过去要低得多；发现这些漏洞需要攻击者花费更多的时间。

图书封面

---

 黑客大曝光下载

---