本书是目前第一本关于rootkit的详尽指南,包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。世界顶级软件安全专家、rootkit.com创始人Greg Hoglund和James Butler向大家详细介绍攻击者是如何进入系统并长期驻留而不会被检测到的,以及黑客是如何摧毁Windows XP和Windows 2000内核系统的,其概念可以应用于现代任何主流操作系统。通过本书,读者可以全面掌握rootkit,提升自己的计算机安全防范能力。
[图书目录]第1章 销声匿迹
1.1 攻击者的动机
1.1.1 潜行的角色
1.1.2 不需潜行的情况
1.2 rootkit的定义
1.3 rootkit存在的原因
1.3.1 远程命令和控制
1.3.2 软件窃听
1.3.3 rootkit的合法使用
1.4 rootkit的存在历史
1.5 rootkit的工作方式
1.5.1 打补丁
1.5.2 复活节彩蛋
1.5.3 间谍件修改
1.5.4 源代码修改
1.5.5 软件修改的合法性
1.6 rootkit与其他技术的区别
1.6.1 rootkit不是软件利用工具
1.6.2 rootkit不是病毒
1.7 rootkit与软件利用工具
. 1.8 攻击型rootkit技术
1.8.1 hips
1.8.2 nids
1.8.3 绕过ids/ips
1.8.4 绕过取证分析工具
1.9 小结
第2章 破坏内核
2.1 重要的内核组件
2.2 rootkit的结构设计
2.3 在内核中引入代码
2.4 构建windows设备驱动程序
2.4.1 设备驱动程序开发工具包
2.4.2 构建环境
2.4.3 文件
2.5 加载和卸载驱动程序
2.6 对调试语句进行日志记录
2.7 融合rootkit:用户和内核模式的融合
2.7.1 i/o请求报文
2.7.2 创建文件句柄
2.7.3 添加符号链接
2.8 加载rootkit
2.8.1 草率方式
2.8.2 正确方式
2.9 从资源中解压缩.sys文件
2.10 系统重启后的考验
2.11 小结
第3章 硬件相关问题
3.1 环0级
3.2 cpu表和系统表
3.3 内存页
3.3.1 内存访问检查
3.3.2 分页和地址转换
3.3.3 页表杏询
3.3.4 页目录项
3.3.5 页表项
3.3.6 重要表的只读访问
3.3.7 多个进程使用多个页目录
3.3.8 进程和线程
3.4 内存描述符表
3.4.1 令局描述符表
3.4.2 本地描述符表
3.4.3 代码段
3.4.4 调用门
3.5 中断描述符表
3.6 系统服务调度表
3.7 控制寄存器
3.7.1 控制寄存器
3.7.2 其他控制寄存器
3.7.3 eflags寄存器
3.8 多处理器系统
3.9 小结
第4章 古老的钩子艺术
第5章 运行时补丁
第6章 分层驱动程序
第7章 直接内核对象操作
第8章 操纵硬件
第9章 隐秘通道
第10章 rootkit检测
本站提供的Rootkits--Windows内核的安全防护 中文 PDF版 [21M] 资源来源互联网,版权归该下载资源的合法拥有者所有。
收起信息返回顶部
《Rootkits--Windows内核的安全防护》是一本深入探讨rootkit技术的专业书籍,由软件安全领域的权威专家Greg Hoglund和James Butler共同撰写。rootkit是一种恶意软件,它隐藏在操作系统中,使攻击者能够秘密地控制和监视系统,而不被常规的安全工具检测到。本书详细阐述了rootkit的概念、工作原理、历史以及如何构建和检测它们,旨在帮助读者理解和提升计算机安全防御能力。
在第一章“销声匿迹”中,作者介绍了攻击者的动机,包括潜行的必要性以及rootkit用于远程控制、窃听和合法应用的可能性。他们还区分了rootkit与其他技术,如软件利用工具和病毒的区别,并讨论了攻击型rootkit技术,如Host Intrusion Prevention Systems (HIPS)、Network Intrusion Detection Systems (NIDS)等,以及如何规避IDS/IPS和取证分析工具。
第二章“破坏内核”深入讨论了内核组件的重要性,rootkit的设计结构,以及如何在内核中插入代码。作者讲解了构建Windows设备驱动程序的步骤,包括使用DDK、构建环境和所需文件。此外,还介绍了加载和卸载驱动程序的方法,以及如何对调试语句进行日志记录。特别地,章节中讨论了融合rootkit,即用户模式和内核模式的融合,包括如何利用I/O请求包、创建文件句柄和添加符号链接来实现这一目标。
第三章“硬件相关问题”涉及底层硬件概念,如环0级权限、CPU表和系统表,以及内存页管理。作者详细解释了内存访问检查、分页机制、页表查询、控制寄存器、中断描述符表和系统服务调度表,这些对于理解rootkit如何操作硬件至关重要。此外,还涵盖了多处理器系统下的rootkit行为。
第四章至第十章分别探讨了古老的钩子艺术(hooking技术)、运行时补丁、分层驱动程序、直接内核对象操作、操纵硬件、隐秘通道以及rootkit检测方法。这些章节提供了丰富的技术细节,帮助读者了解rootkit如何影响系统行为,以及如何设计有效的检测策略。
本书适用于IT安全专业人员、系统管理员和研究人员,通过学习,读者将能够识别和对抗高级的rootkit威胁,增强系统安全防护能力。值得注意的是,资源来源于互联网,读者在使用书中提供的信息时应遵守合法拥有者的权益。