成功加入购物车
[美]莱(Michael Hale Ligh) 著; 胡乔林 、 钟读航 译 / 清华大学出版社 / 2012-01 / 平装
售价 ¥ 55.00 7.9折
定价 ¥69.80
品相 八五品
优惠 满包邮
延迟发货说明
上书时间2021-03-16
卖家超过10天未登录
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
针对多种常见威胁的强大而循序渐进的解决方案。我们将《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》称为工具箱,是因为每个诀窍都给出了解决某个特定问题或研究某个给定威胁的原理和详细的步骤。在配书光盘中提供了补充资源,您可以找到相关的支持文件和原始程序。您将学习如何使用这些工具分析恶意软件,有些工具是作者自己开发的,另外数百个工具则是可以公开下载的。如果您的工作涉及紧急事件响应、计算机取证、系统安全或者反病毒研究,那么《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》将会为您提供极大的帮助。
学习如何在不暴露身份的前提下进行在线调查
使用蜜罐收集由僵尸和蠕虫分布的恶意软件
分析javascript、pdf文件以及office文档中的可疑内容
使用虚拟或基础硬件建立一个低预算的恶意软件实验室
通用编码和加密算法的逆向工程
建立恶意软件分析的高级内存取证平台
研究主流的威胁,如zeus、silentbanker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
MichaelHaleLigh是VerisigniDefense公司的恶意代码分析专家,专门从事开发各种用于检测、解密以及调查恶意软件的工具。在过去数年里,他在里约热内卢、上海、吉隆坡、伦敦、华盛顿特区和纽约等地讲授恶意软件分析课程,已经培训了数百名学生。在进入VerisigniDefense公司之前,Michael在全国最大的医疗保健服务提供商之一中担任漏洞研究员,并提供黑客伦理服务。正是由于担任过该职务,他对逆向工程以及操作系统内部的背景有着深刻理解。在此之前,Michael为新英格兰地区的金融机构提供网络防御以及取证调查方面的服务。他目前是MNIN安全有限公司的特别项目主管。
StevenAdair是ShadowserverFoundation的研究员,同时也是eTouch联邦系统的首席架构师。在Shadowserver组织中,Steven主要分析恶意软件和跟踪僵尸网络,并重点调查与网络间谍组织相关联的各种网络攻击。Steven经常出席该领域相关专题的国际会议,并且合著了论文“ShadowsintheCloud:InvestigatingCyberEspionage2.0”。在日常工作中,他在一个联邦机构中领导网络威胁行动小组以主动检测、降低以及预防网络入侵活动,他有效地集成了最佳安全实践和创新技术,成功地在全网中实现了企业级反恶意软件解决方案。Steven每天的工作都涉及恶意软件研究,无论是为公司客户提供支持或者在Shadowserver组织中贡献自己的业余时间。
BlakeHartstein是VerisigniDefense公司的快速响应工程师,主要负责分析以及报告恶意软件的可疑活动。他是Jsunpack工具的编写者,致力于自动分析以及检测基于Web的漏洞攻击,并分别在Shmoocon2009和Shmoocon2010会议中做了关于Jsunpack的报告。Blake同时还为EmergingThreats项目编写和贡献Snort规则。
MatthewRichard是雷神(Raytheon)公司的恶意代码操作部领导,主要负责分析以及报告恶意代码。Matthew之前是iDefense公司快速响应部门主管。在此7年之前,Matthew创建并运营了一家向130多家银行以及信用机构提供安全服务的公司。此外,他还对国内以及全球多家公司提供独立的网络取证咨询服务。Matthew现持有CISSP、GCIA、GCFA和GREM认证。
第1章行为隐匿1.1洋葱路由器(tor)1.2使用tor研究恶意软件1.3tor缺陷1.3.1速度1.3.2不可信赖的tor操作员1.3.3tor阻止列表1.4代理服务器和协议1.4.1超文本传输协议(http)1.4.2socks41.4.3socks51.5基于web的匿名代理1.6保持匿名的替代方法1.6.1蜂窝internet连接1.6.2虚拟专用网1.7唯一且匿名第2章蜜罐2.1nepenthes蜜罐2.1.1利用nepenthes收集恶意软件样本2.1.2使用irc日志进行实时攻击监视2.1.3使用基于python的http接收nepenthes提交的文件2.2使用dionaea蜜罐2.2.1使用dionaea收集恶意软件样本2.2.2使用基于python的http接收dionaea提交的文件2.2.3实时事件通告以及使用xmpp共享二进制文件2.2.4分析重放dionea记录的攻击2.2.5使用p0f工具被动识别远程主机操作系统2.2.6使用sqlite和gnuplot绘制dionaea记录的攻击模式图第3章恶意软件分类3.1使用clamav分类3.1.1检查现有clamav特征码3.1.2创建自定义clamav特征码数据库3.2使用yara分类3.2.1将clamav特征码转换到yara格式特征码3.2.2使用yara和peid识别加壳文件3.2.3使用yara检测恶意软件的能力3.3工具集成3.3.1使用python识别文件类型及哈希算法3.3.2编写python多杀毒扫描软件3.3.3python中检测恶意pe文件3.3.4使用ssdeep查找相似恶意软件3.3.5使用ssdeep检测自修改代码3.3.6使用ida和bindiff检测自修改代码第4章沙箱和多杀毒扫描软件4.1公用杀毒扫描软件4.1.1使用virustotal扫描文件4.1.2使用jotti扫描文件4.1.3使用novirusthanks扫描文件4.1.4启用数据库的python多杀毒上传程序4.2多杀毒扫描软件的比较4.3公用沙箱分析4.3.1使用threatexpert分析恶意软件4.3.2使用cwsandbox分析恶意软件4.3.3使用anubis分析恶意软件4.3.4编写joeboxautoit脚本4.3.5使用joebox应对路径依赖型恶意软件4.3.6使用joebox应对进程依赖型动态链接库4.3.7使用joebox设置主动型http代理4.3.8使用沙箱结果扫描项目第5章域名与ip地址5.1研究可疑域名5.1.1利用whois研究域5.1.2解析dns主机名5.2研究ip地址5.3使用被动dns和其他工具进行研究5.3.1使用bfk查询被动dns5.3.2使用robtex检查dns记录5.3.3使用domaintools执行反向ip搜索5.3.4使用dig启动区域传送5.3.5使用dnsmap暴力攻击子域5.3.6通过shadowserver将ip地址映射到asn5.3.7使用rbl检查ip信誉5.4fastflux域名5.4.1使用被动dns和ttl检测fastflux网络5.4.2跟踪fastflux域名5.5ip地址地理映射第6章文档、shellcode和url6.1分析javascript6.1.1使用spidermonkey分析javascript6.1.2使用jsunpack自动解码javascript6.1.3优化jsunpack-n的解码速度和完整性6.1.4通过模拟浏览器dom元素触发漏洞利用6.2分析pdf文档6.2.1使用pdf.py从pdf文件中提取javascript6.2.2伪造pdf软件版本触发漏洞利用6.2.3利用didierstevens的pdf工具集6.2.4确定利用pdf文件中的哪些漏洞6.2.5使用distorm反汇编shellcode6.2.6使用iibemu模拟shellcode6.3分析恶意office文档6.3.1使用officemalscanner分析microsoftoffice文件6.3.2使用disview和malhost-setup调试officeshellcode6.4分析网络流量6.4.1使用jsunpack从报文捕获文件中提取http文件6.4.2使用jsunpack绘制url关系图第7章恶意软件实验室7.1网络互联7.1.1实验室中tcp/ip路由连接7.1.2捕获、分析网络流量7.1.3使用inetsim模拟internet7.1.4使用burp套件操作http/https7.2物理目标机7.2.1使用joestewart开发的truman7.2.2使用deepfreeze保护物理系统7.2.3使用fog克隆和映像磁盘7.2.4使用mysql数据库自动调度fog任务第8章自动化操作8.1恶意软件分析周期8.2使用python实现自动化操作8.2.1使用virtualbox执行自动化恶意软件分析8.2.2分析virtualbox磁盘以及内存映像8.2.3使用vmware执行自动化恶意软件分析8.3添加分析模块8.3.1在python中使用tshark捕获报文8.3.2在python中使用inetsim收集网络日志8.3.3使用volatility分析内存转储8.3.4组合所有的沙箱块8.4杂项系统8.4.1使用zerowine和qemu执行自动化分析8.4.2使用sandboxie和buster执行自动化分析第9章动态分析9.1变化检测9.1.1使用processmonitor记录api调用9.1.2使用regshot进行变化检测9.1.3接收文件系统变化通知9.1.4接收注册表变化通知9.1.5句柄表的差异比较9.1.6使用handlediff研究代码注入9.1.7观察bankpatch.c禁用windows文件保护的活动9.2api监视/钩子9.2.1使用microsoftdetours构建api监视器9.2.2使用api监视器追踪子进程9.2.3捕获进程、线程和映像加载事件9.3数据保护9.3.1阻止进程终止9.3.2阻止恶意软件删除文件9.3.3阻止加载驱动程序9.3.4使用数据保护模块9.3.5使用reactos创建定制命令shell第10章恶意软件取证10.1thesleuthkit(tsk)10.1.1使用tsk发现备用数据流10.1.2使用tsk检测隐藏文件和目录10.1.3使用microsoft脱机api查找隐藏注册表数据10.2取证/事件响应混合10.2.1绕开poisonivy锁定的文件10.2.2绕开conficker文件系统的acl限制10.2.3使用gmer扫描rootkit10.2.4通过检查ie的dom检测html注入10.3注册表分析10.3.1使用regripper插件对注册表取证10.3.2检测恶意安装的pki证书10.3.3检查泄露数据到注册表的恶意软件第11章调试恶意软件11.1使用调试器11.1.1打开和附加到进程11.1.2为shellcode分析配置jit调试器11.1.3熟悉调试器的图形用户界面11.1.4检查进程内存和资源11.1.5控制程序执行11.1.6设置和捕获断点11.1.7使用有条件的日志记录断点11.2immunitydebugger的pythonapi接口11.2.1使用python脚本和pycommand调试11.2.2在二进制文件中检测shellcode11.2.3调查silentbanker木马的api钩子11.3winappdbgpython调试器11.3.1使用winappdbg工具操作进程内存11.3.2使用winappdbg工具设计一个pythonapi监视器第12章反混淆12.1解码常见算法12.1.1python中的逆向xor算法12.1.2使用yaratize检测xor编码的数据12.1.3使用特殊字母解码base6412.2解密12.2.1从捕获的数据包中隔离加密数据12.2.2使用snd反向工具、findcrypt和kanal搜索加密机制12.2.3使用zynamicsbindiff移植openssl的符号12.2.4在python中使用pycrypto解密数据12.3恶意软件脱壳12.3.1查找加壳恶意软件的oep12.3.2使用lordpe转储进程内存12.3.3使用imprec重建导入表12.4与脱壳有关的资源12.5调试器脚本12.5.1破解域名生成算法12.5.2使用x86emu和python解码字符串第13章处理dll13.1枚举dll的导出函数13.1.1cffexplorer13.1.2pefile13.1.3idapro13.1.4常见和不常见的导出名13.2使用rundll32.exe执行dll13.3绕过宿主进程的限制13.4使用rundll32ex远程调用dll导出函数13.4.1创建新工具的原因13.4.2使用rundll32ex13.5使用loaddll.exe调试dll13.5.1将dll加载到调试器中13.5.2找到dll的入口点13.6捕获dll入口点处的断点13.7执行作为windows服务的dll13.7.1服务dll的入口点13.7.2服务初始化13.7.3安装服务dll13.7.4传递参数给服务13.8将dll转换成独立的可执行文件第14章内核调试14.1远程内核调试14.2本地内核调试14.3软件需求14.3.1使用livekd进行本地调试14.3.2启用内核调试启动开关14.3.3调试vmware工作站客户机(在windows系统中)14.3.4调试parallels客户机(在macosx上)14.3.5windbg命令和控制简介14.3.6探索进程和进程上下文14.3.7探索内核内存14.3.8在驱动程序加载时捕捉断点14.3.9脱壳驱动程序14.3.10转储和重建驱动程序14.3.11使用windbg脚本检测rootkit14.3.12使用idapro进行内核调试第15章使用volatility进行内存取证15.1内存获取15.1.1使用moonsolswindows内存工具箱转储内存15.1.2使用f-response获取远程、只读内存15.1.3访问虚拟机的内存文件15.2准备安装volatility15.2.1volatility概览15.2.2在内存转储中研究进程15.2.3使用psscan检测dkom攻击15.2.4研究csrss.exe的备用进程列表15.2.5识别进程上下文的技巧第16章内存取证:代码注入与提取16.1深入研究dll16.1.1搜寻已加载的可疑dll16.1.2使用ldr_modules检测未链接的dll16.2代码注入和vad16.2.1研究vad16.2.2转换页面保护16.2.3在进程内存中搜索证据16.2.4使用malfind和yara识别注入代码16.3重建二进制文件16.3.1从内存中重建可执行文件的映像16.3.2使用impscan扫描导入函数16.3.3转储可疑的内核模块第17章内存取证:rootkit17.1检测iat钩子17.2检测eat钩子17.3检测内联api钩子17.4检测idt钩子17.5检测驱动程序的irp钩子17.6检测ssdt钩子17.6.1ssdt的角色17.6.2钩子和钩子检测17.7使用ssdt_ex自动研究17.8根据附加的内核线程搜索rootkit17.8.1使用线程在内核中隐藏17.8.2在内存转储中检测分离线程17.9识别系统范围的通知例程17.9.1找出检查的位置17.9.2使用notifyroutines插件17.10使用svscan定位恶意的服务进程17.10.1恶意软件如何滥用服务17.10.2scm的服务记录结构17.10.3枚举进程内存中的服务17.10.4blazgel木马的例子17.10.5使用volatility的svcscan插件17.11使用mutantscan扫描互斥体对象第18章内存取证:网络和注册表18.1探索套接字和连接对象18.1.1套接字和连接证据18.1.2套接字和连接对象18.2分析zeus留下的网络证据18.3检测企图隐藏tcp/ip的活动18.3.1扫描套接字和连接对象18.3.2其他项目18.4检测原始套接字和混杂模式的网络接口18.4.1混杂模式的套接字18.4.2检测混杂模式18.5注册表分析18.5.1使用内存注册表工具分析注册表证据18.5.2通过最后写入时间戳排序注册表项18.5.3使用volatility和reg-ripper
展开全部
配送说明
...
相似商品
为你推荐
开播时间:09月02日 10:30