出版時(shí)間:2012-1 出版社:清華大學(xué)出版社 作者:Michael Hale Ligh,Steven Adair,Blake Hartstein,Matthew Richard 頁數(shù):584 譯者:胡喬林,鐘讀航
Tag標(biāo)簽:無
內(nèi)容概要
針對(duì)多種常見威脅的強(qiáng)大而循序漸進(jìn)的解決方案
我們將《惡意軟件分析訣竅與工具箱——對(duì)抗“流氓”軟件的技術(shù)與利器》稱為工具箱,是因?yàn)槊總€(gè)訣竅都給出了解決某個(gè)特定問題或研究某個(gè)給定威脅的原理和詳細(xì)的步驟。在配書光盤中提供了補(bǔ)充資源,您可以找到相關(guān)的支持文件和原始程序。您將學(xué)習(xí)如何使用這些工具分析惡意軟件,有些工具是作者自己開發(fā)的,另外數(shù)百個(gè)工具則是可以公開下載的。如果您的工作涉及緊急事件響應(yīng)、計(jì)算機(jī)取證、系統(tǒng)安全或者反病毒研究,那么本書將會(huì)為您提供極大的幫助。
●學(xué)習(xí)如何在不暴露身份的前提下進(jìn)行在線調(diào)查
●使用蜜罐收集由僵尸和蠕蟲分布的惡意軟件
●分析javascript、pdf文件以及office文檔中的可疑內(nèi)容
●使用虛擬或基礎(chǔ)硬件建立一個(gè)低預(yù)算的惡意軟件實(shí)驗(yàn)室
●通用編碼和加密算法的逆向工程
●建立惡意軟件分析的高級(jí)內(nèi)存取證平臺(tái)
●研究主流的威脅,如zeus、silent
banker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
作者簡介
作者:萊(Michael Hale Ligh) (美國)Steven Adair (美國)Blake Hartstein 等 譯者:胡喬林 鐘讀航Michael Hale Ligh,是Verisign iDefense公司的惡意代碼分析專家,同時(shí)也是MNIN Security公司特別項(xiàng)目的主管。Steven Adair,是Shadowserver Foundation的成員之一,經(jīng)常分析惡意軟件和跟蹤僵尸網(wǎng)絡(luò)。他與重點(diǎn)調(diào)查網(wǎng)絡(luò)間諜組織發(fā)起的各種網(wǎng)絡(luò)攻擊。Blake Hartstein,是多個(gè)安全工具的開發(fā)人員,同時(shí)也是Verisign iDefense公司的快速響應(yīng)工程師,主要負(fù)責(zé)惡意軟件突發(fā)事件的響應(yīng)。Matthew Richard開發(fā)過多種安全工具,同時(shí)為多家銀行和信用機(jī)械提供安全管理服務(wù)。
書籍目錄
《惡意軟件分析訣竅與工具箱——對(duì)抗“流氓”軟件的技術(shù)與利器》
第1章 行為隱匿
1.1 洋蔥路由器(tor)
1.2 使用tor研究惡意軟件
1.3 tor缺陷
1.3.1 速度
1.3.2 不可信賴的tor操作員
1.3.3 tor阻止列表
1.4 代理服務(wù)器和協(xié)議
1.4.1 超文本傳輸協(xié)議(http)
1.4.2 socks4
1.4.3 socks5
1.5 基于web的匿名代理
1.6 保持匿名的替代方法
1.6.1 蜂窩internet連接
1.6.2 虛擬專用網(wǎng)
1.7 唯一且匿名
第2章 蜜罐
2.1 nepenthes蜜罐
2.1.1 利用nepenthes收集惡意軟件樣本
2.1.2 使用irc日志進(jìn)行實(shí)時(shí)攻擊監(jiān)視
2.1.3 使用基于python的 http接收nepenthes提交的文件
2.2 使用dionaea蜜罐
2.2.1 使用dionaea收集惡意軟件樣本
2.2.2 使用基于python的http接收dionaea提交的文件
2.2.3 實(shí)時(shí)事件通告以及使用xmpp共享二進(jìn)制文件
2.2.4 分析重放dionea記錄的攻擊
2.2.5 使用p0f工具被動(dòng)識(shí)別遠(yuǎn)程主機(jī)操作系統(tǒng)
2.2.6 使用sqlite 和gnuplot繪制dionaea記錄的攻擊模式圖
第3章 惡意軟件分類
3.1 使用clamav分類
3.1.1 檢查現(xiàn)有clamav特征碼
3.1.2 創(chuàng)建自定義clamav特征碼數(shù)據(jù)庫
3.2 使用yara分類
3.2.1 將clamav特征碼轉(zhuǎn)換到y(tǒng)ara格式特征碼
3.2.2 使用yara和peid識(shí)別加殼文件
3.2.3 使用yara檢測惡意軟件的能力
3.3 工具集成
3.3.1 使用python識(shí)別文件類型及哈希算法
3.3.2 編寫python多殺毒掃描軟件
3.3.3 python中檢測惡意pe文件
3.3.4 使用ssdeep查找相似惡意軟件
3.3.5 使用ssdeep檢測自修改代碼
3.3.6 使用ida和bindiff檢測自修改代碼
第4章 沙箱和多殺毒掃描軟件
4.1 公用殺毒掃描軟件
4.1.1 使用virus total掃描文件
4.1.2 使用jotti掃描文件
4.1.3 使用novirusthanks掃描文件
4.1.4 啟用數(shù)據(jù)庫的python多殺毒上傳程序
4.2 多殺毒掃描軟件的比較
4.3 公用沙箱分析
4.3.1 使用threatexpert分析惡意軟件
4.3.2 使用cwsandbox分析惡意軟件
4.3.3 使用anubis分析惡意軟件
4.3.4 編寫joebox autoit腳本
4.3.5 使用joebox應(yīng)對(duì)路徑依賴型惡意軟件
4.3.6 使用joebox應(yīng)對(duì)進(jìn)程依賴型動(dòng)態(tài)鏈接庫
4.3.7 使用joebox設(shè)置主動(dòng)型http代理
4.3.8 使用沙箱結(jié)果掃描項(xiàng)目
第5章 域名與ip地址
5.1 研究可疑域名
5.1.1 利用whois研究域
5.1.2 解析dns主機(jī)名
5.2 研究ip地址
5.3 使用被動(dòng)dns和其他工具進(jìn)行研究
5.3.1 使用bfk查詢被動(dòng)dns
5.3.2 使用robtex檢查dns記錄
5.3.3 使用domaintools執(zhí)行反向ip搜索
5.3.4 使用dig啟動(dòng)區(qū)域傳送
5.3.5 使用dnsmap暴力攻擊子域
5.3.6 通過shadowserver將ip地址映射到asn
5.3.7 使用rbl檢查ip信譽(yù)
5.4 fast flux域名
5.4.1 使用被動(dòng)dns和ttl檢測fast flux網(wǎng)絡(luò)
5.4.2 跟蹤fast flux域名
5.5 ip地址地理映射
第6章 文檔、shellcode和url
6.1 分析javascript
6.1.1 使用spidermonkey分析javascript
6.1.2 使用jsunpack自動(dòng)解碼javascript
6.1.3 優(yōu)化jsunpack-n的解碼速度和完整性
6.1.4 通過模擬瀏覽器dom元素觸發(fā)漏洞利用
6.2 分析pdf文檔
6.2.1 使用pdf.py從pdf文件中提取javascript
6.2.2 偽造pdf軟件版本觸發(fā)漏洞利用
6.2.3 利用didier stevens的pdf工具集
6.2.4 確定利用pdf文件中的哪些漏洞
6.2.5 使用distorm反匯編shellcode
6.2.6 使用iibemu模擬shellcode
6.3 分析惡意office文檔
6.3.1 使用officemalscanner分析microsoft office文件
6.3.2 使用disview和malhost-setup調(diào)試office shellcode
6.4 分析網(wǎng)絡(luò)流量
6.4.1 使用jsunpack從報(bào)文捕獲文件中提取http文件
6.4.2 使用jsunpack繪制url關(guān)系圖
第7章 惡意軟件實(shí)驗(yàn)室
7.1 網(wǎng)絡(luò)互聯(lián)
7.1.1 實(shí)驗(yàn)室中tcp/ip路由連接
7.1.2 捕獲、分析網(wǎng)絡(luò)流量
7.1.3 使用inetsim模擬internet
7.1.4 使用burp套件操作http/https
7.2 物理目標(biāo)機(jī)
7.2.1 使用joe stewart開發(fā)的truman
7.2.2 使用deep freeze保護(hù)物理系統(tǒng)
7.2.3 使用fog克隆和映像磁盤
7.2.4 使用mysql數(shù)據(jù)庫自動(dòng)調(diào)度fog任務(wù)
第8章 自動(dòng)化操作
8.1 惡意軟件分析周期
8.2 使用python實(shí)現(xiàn)自動(dòng)化操作
8.2.1 使用virtualbox執(zhí)行自動(dòng)化惡意軟件分析
8.2.2 分析virtualbox磁盤以及內(nèi)存映像
8.2.3 使用vmware執(zhí)行自動(dòng)化惡意軟件分析
8.3 添加分析模塊
8.3.1 在python中使用tshark捕獲報(bào)文
8.3.2 在python中使用inetsim收集網(wǎng)絡(luò)日志
8.3.3 使用volatility分析內(nèi)存轉(zhuǎn)儲(chǔ)
8.3.4 組合所有的沙箱塊
8.4 雜項(xiàng)系統(tǒng)
8.4.1 使用zerowine和qemu執(zhí)行自動(dòng)化分析
8.4.2 使用sandboxie和buster執(zhí)行自動(dòng)化分析
第9章 動(dòng)態(tài)分析
9.1 變化檢測
9.1.1 使用process monitor記錄api調(diào)用
9.1.2 使用regshot進(jìn)行變化檢測
9.1.3 接收文件系統(tǒng)變化通知
9.1.4 接收注冊(cè)表變化通知
9.1.5 句柄表的差異比較
9.1.6 使用handlediff研究代碼注入
9.1.7 觀察bankpatch.c禁用windows文件保護(hù)的活動(dòng)
9.2 api監(jiān)視/鉤子
9.2.1 使用microsoft detours構(gòu)建api監(jiān)視器
9.2.2 使用api監(jiān)視器追蹤子進(jìn)程
9.2.3 捕獲進(jìn)程、線程和映像加載事件
9.3 數(shù)據(jù)保護(hù)
9.3.1 阻止進(jìn)程終止
9.3.2 阻止惡意軟件刪除文件
9.3.3 阻止加載驅(qū)動(dòng)程序
9.3.4 使用數(shù)據(jù)保護(hù)模塊
9.3.5 使用reactos創(chuàng)建定制命令shell
第10章 惡意軟件取證
10.1 the sleuth kit(tsk)
10.1.1 使用tsk發(fā)現(xiàn)備用數(shù)據(jù)流
10.1.2 使用tsk檢測隱藏文件和目錄
10.1.3 使用microsoft脫機(jī)api查找隱藏注冊(cè)表數(shù)據(jù)
10.2 取證/事件響應(yīng)混合
10.2.1 繞開poison ivy鎖定的文件
10.2.2 繞開conficker文件系統(tǒng)的acl限制
10.2.3 使用gmer掃描rootkit
10.2.4 通過檢查ie的dom檢測html注入
10.3 注冊(cè)表分析
10.3.1 使用regripper插件對(duì)注冊(cè)表取證
10.3.2 檢測惡意安裝的pki證書
10.3.3 檢查泄露數(shù)據(jù)到注冊(cè)表的惡意軟件
第11章 調(diào)試惡意軟件
11.1 使用調(diào)試器
11.1.1 打開和附加到進(jìn)程
11.1.2 為shellcode分析配置jit調(diào)試器
11.1.3 熟悉調(diào)試器的圖形用戶界面
11.1.4 檢查進(jìn)程內(nèi)存和資源
11.1.5 控制程序執(zhí)行
11.1.6 設(shè)置和捕獲斷點(diǎn)
11.1.7 使用有條件的日志記錄斷點(diǎn)
11.2 immunity debugger的python api接口
11.2.1 使用python腳本和pycommand調(diào)試
11.2.2 在二進(jìn)制文件中檢測shellcode
11.2.3 調(diào)查silentbanker木馬的api鉤子
11.3 winappdbg python調(diào)試器
11.3.1 使用winappdbg工具操作進(jìn)程內(nèi)存
11.3.2 使用winappdbg工具設(shè)計(jì)一個(gè)python api監(jiān)視器
第12章 反混淆
12.1 解碼常見算法
12.1.1 python中的逆向xor算法
12.1.2 使用yaratize檢測xor編碼的數(shù)據(jù)
12.1.3 使用特殊字母解碼base64
12.2 解密
12.2.1 從捕獲的數(shù)據(jù)包中隔離加密數(shù)據(jù)
12.2.2 使用snd反向工具、findcrypt和kanal搜索加密機(jī)制
12.2.3 使用zynamics bindiff移植open ssl的符號(hào)
12.2.4 在python中使用pycrypto解密數(shù)據(jù)
12.3 惡意軟件脫殼
12.3.1 查找加殼惡意軟件的oep
12.3.2 使用lordpe轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存
12.3.3 使用imprec重建導(dǎo)入表
12.4 與脫殼有關(guān)的資源
12.5 調(diào)試器腳本
12.5.1 破解域名生成算法
12.5.2 使用x86emu和python解碼字符串
第13章 處理dll
13.1 枚舉dll的導(dǎo)出函數(shù)
13.1.1 cff explorer
13.1.2 pefile
13.1.3 ida pro
13.1.4 常見和不常見的導(dǎo)出名
13.2 使用rundll32.exe執(zhí)行dll
13.3 繞過宿主進(jìn)程的限制
13.4 使用rundll32ex遠(yuǎn)程調(diào)用dll導(dǎo)出函數(shù)
13.4.1 創(chuàng)建新工具的原因
13.4.2 使用rundll32ex
13.5 使用loaddll.exe調(diào)試dll
13.5.1 將dll加載到調(diào)試器中
13.5.2 找到dll的入口點(diǎn)
13.6 捕獲dll入口點(diǎn)處的斷點(diǎn)
13.7 執(zhí)行作為windows服務(wù)的dll
13.7.1 服務(wù)dll的入口點(diǎn)
13.7.2 服務(wù)初始化
13.7.3 安裝服務(wù)dll
13.7.4 傳遞參數(shù)給服務(wù)
13.8 將dll轉(zhuǎn)換成獨(dú)立的可執(zhí)行文件
第14章 內(nèi)核調(diào)試
14.1 遠(yuǎn)程內(nèi)核調(diào)試
14.2 本地內(nèi)核調(diào)試
14.3 軟件需求
14.3.1 使用livekd進(jìn)行本地調(diào)試
14.3.2 啟用內(nèi)核調(diào)試啟動(dòng)開關(guān)
14.3.3 調(diào)試vmware工作站客戶機(jī)(在windows系統(tǒng)中)
14.3.4 調(diào)試parallels客戶機(jī)(在mac os x上)
14.3.5 windbg命令和控制簡介
14.3.6 探索進(jìn)程和進(jìn)程上下文
14.3.7 探索內(nèi)核內(nèi)存
14.3.8 在驅(qū)動(dòng)程序加載時(shí)捕捉斷點(diǎn)
14.3.9 脫殼驅(qū)動(dòng)程序
14.3.10 轉(zhuǎn)儲(chǔ)和重建驅(qū)動(dòng)程序
14.3.11 使用windbg腳本檢測rootkit
14.3.12 使用ida pro進(jìn)行內(nèi)核調(diào)試
第15章 使用volatility進(jìn)行內(nèi)存取證
15.1 內(nèi)存獲取
15.1.1 使用moonsols windows內(nèi)存工具箱轉(zhuǎn)儲(chǔ)內(nèi)存
15.1.2 使用f-response獲取遠(yuǎn)程、只讀內(nèi)存
15.1.3 訪問虛擬機(jī)的內(nèi)存文件
15.2 準(zhǔn)備安裝volatility
15.2.1 volatility概覽
15.2.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中研究進(jìn)程
15.2.3 使用psscan檢測dkom攻擊
15.2.4 研究csrss.exe的備用進(jìn)程列表
15.2.5 識(shí)別進(jìn)程上下文的技巧
第16章 內(nèi)存取證:代碼注入與提取
16.1 深入研究dll
16.1.1 搜尋已加載的可疑dll
16.1.2 使用ldr_modules檢測未鏈接的dll
16.2 代碼注入和vad
16.2.1 研究vad
16.2.2 轉(zhuǎn)換頁面保護(hù)
16.2.3 在進(jìn)程內(nèi)存中搜索證據(jù)
16.2.4 使用malfind和yara識(shí)別注入代碼
16.3 重建二進(jìn)制文件
16.3.1 從內(nèi)存中重建可執(zhí)行文件的映像
16.3.2 使用impscan掃描導(dǎo)入函數(shù)
16.3.3 轉(zhuǎn)儲(chǔ)可疑的內(nèi)核模塊
第17章 內(nèi)存取證:rootkit
17.1 檢測iat鉤子
17.2 檢測eat鉤子
17.3 檢測內(nèi)聯(lián)api鉤子
17.4 檢測idt鉤子
17.5 檢測驅(qū)動(dòng)程序的irp鉤子
17.6 檢測ssdt鉤子
17.6.1 ssdt的角色
17.6.2 鉤子和鉤子檢測
17.7 使用ssdt_ex自動(dòng)研究
17.8 根據(jù)附加的內(nèi)核線程搜索rootkit
17.8.1 使用線程在內(nèi)核中隱藏
17.8.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中檢測分離線程
17.9 識(shí)別系統(tǒng)范圍的通知例程
17.9.1 找出檢查的位置
17.9.2 使用notifyroutines插件
17.10 使用svscan定位惡意的服務(wù)進(jìn)程
17.10.1 惡意軟件如何濫用服務(wù)
17.10.2 scm的服務(wù)記錄結(jié)構(gòu)
17.10.3 枚舉進(jìn)程內(nèi)存中的服務(wù)
17.10.4 blazgel木馬的例子
17.10.5 使用volatility的svcscan插件
17.11 使用mutantscan掃描互斥體對(duì)象
第18章 內(nèi)存取證:網(wǎng)絡(luò)和注冊(cè)表
18.1 探索套接字和連接對(duì)象
18.1.1 套接字和連接證據(jù)
18.1.2 套接字和連接對(duì)象
18.2 分析zeus留下的網(wǎng)絡(luò)證據(jù)
18.3 檢測企圖隱藏tcp/ip的活動(dòng)
18.3.1 掃描套接字和連接對(duì)象
18.3.2 其他項(xiàng)目
18.4 檢測原始套接字和混雜模式的網(wǎng)絡(luò)接口
18.4.1 混雜模式的套接字
18.4.2 檢測混雜模式
18.5 注冊(cè)表分析
18.5.1 使用內(nèi)存注冊(cè)表工具分析注冊(cè)表證據(jù)
18.5.2 通過最后寫入時(shí)間戳排序注冊(cè)表項(xiàng)
18.5.3 使用volatility和reg-ripper
章節(jié)摘錄
版權(quán)頁:插圖:日常生活中,我們喜歡擁有某種程度的隱私。窗戶上有窗簾,辦公室有門,甚至計(jì)算機(jī)都有特制的屏保以防止窺視。對(duì)隱私的需求也延伸到Internet的使用上。我們不希望其他人知道我們?cè)贕oogle中輸入的內(nèi)容、即時(shí)通信對(duì)話的內(nèi)容,以及訪問的網(wǎng)站。但是,如果有人監(jiān)視,那么他們往往可以看到您的私密信息。訪問Intemet時(shí)有許多選擇匿名方式的理由。而匿名并不意味著是您在做違法或錯(cuò)誤的事情。調(diào)查惡意軟件和追蹤別有用心者時(shí),進(jìn)行匿名的理由非常直接。您不希望信息顯示在日志或其他記錄中,因?yàn)檫@可能暴露自己或自己所在公司的信息。例如,假設(shè)您在金融公司工作,最近檢測到銀行特洛伊木馬感染了系統(tǒng)中的部分計(jì)算機(jī)。您收集惡意域名、IP地址和惡意軟件相關(guān)的其他數(shù)據(jù)。在調(diào)查中,隨后采取的步驟是找到罪犯擁有的網(wǎng)站。結(jié)果,如果未提前采取措施進(jìn)行匿名訪問,那么您的IP地址會(huì)被記錄到各種日志中,還會(huì)被罪犯看到。
媒體關(guān)注與評(píng)論
“本書是我今年所閱讀過的最有用的安全技術(shù)書籍,對(duì)于所有希望保護(hù)其系統(tǒng)免受惡意軟件威脅的人員來說,這是一本必備書籍?!薄 狶enny Zeltser,Savvis公司的安全業(yè)務(wù)主管和SANS機(jī)構(gòu)的高級(jí)教師“每個(gè)惡意軟件分析受好者的終極行動(dòng)指南?!薄 猂yan,Olson VeriSign iDefense公司快速響應(yīng)部門的主管 “每一頁都充滿了實(shí)用的惡意軟件知識(shí)、創(chuàng)新的理念、有用的工具,非常值得購買!” ——AAron Walters Terremark公司的Volatility和VP安全研究項(xiàng)目的領(lǐng)導(dǎo)者
編輯推薦
《惡意軟件分析訣竅與工具箱:對(duì)抗"流氓"軟件的技術(shù)與利器》編輯推薦:“一本極好的惡意軟件書籍”August14,2011By Ashraf Aziz“Ash Aziz”“我樂意向在計(jì)算機(jī)取證領(lǐng)域工作的任何人甚至是桌面支持人員推薦《惡意軟件分析訣竅與工具箱:對(duì)抗"流氓"軟件的技術(shù)與利器》,不要忘記使用配書光盤中的命令和示例,它們也很有幫助?!?“惡意軟件分析人員(包括反應(yīng)人員和CERT)必備書籍”January1,2011By Aaed Salah Nemer“我已經(jīng)閱讀過很多有關(guān)惡意軟件從概念到實(shí)驗(yàn)分析的安全書籍,但從來沒有一本書籍像《惡意軟件分析訣竅與工具箱:對(duì)抗"流氓"軟件的技術(shù)與利器》這樣給出了大量的技術(shù)細(xì)節(jié)。我進(jìn)行的大量的安全活動(dòng),需要我具有最新的惡意軟件的堅(jiān)實(shí)背景,并提升我的事件響應(yīng)技能和分析技術(shù)?!?“一本優(yōu)秀的書籍”December14,2010By ShaWn“這是我讀過的有關(guān)惡意軟件分析的最好、最容易的書籍?!稅阂廛浖治鲈E竅與工具箱:對(duì)抗"流氓"軟件的技術(shù)與利器》包含了有用的代碼、巧妙的方法以及其他實(shí)用的信息。這并不是一本隨便拼湊編寫幾個(gè)工具的典型的大雜燴書籍。顯而易見,作者在內(nèi)容和組織上花費(fèi)了大量心思。如果您也認(rèn)真對(duì)待惡意軟件分析,那么《惡意軟件分析訣竅與工具箱:對(duì)抗"流氓"軟件的技術(shù)與利器》值得您擁有?!?/pre>圖書封面
圖書標(biāo)簽Tags
無評(píng)論、評(píng)分、閱讀與下載
- 還沒讀過(90)
- 勉強(qiáng)可看(655)
- 一般般(111)
- 內(nèi)容豐富(4638)
- 強(qiáng)力推薦(380)