书籍详情
Rootkit隐遁攻击技术及其防范
作者:张瑜 著
出版社:电子工业出版社
出版时间:2017-01-01
ISBN:9787121306181
定价:¥58.00
购买这本书可以去
内容简介
本书系统论述了Rootkit隐遁攻击的概念、原理、应用技术及检测取证。首先,简要回顾了Rootkit的由来、定义、原理、类型及其演化。其次,阐述了Rootkit技术的基础理论,包括硬件系统、软件系统,以及Windows内核驱动程序设计。然后,重点探讨了Rootkit攻击技术的具体类型及其实现,包括用户层Rootkit、内核层Rootkit、固件Rootkit及硬件Rootkit。最后,从防御的角度讨论了Rootkit检测与取证技术,以及Rootkit未来的发展趋势。本书取材新颖,聚焦前沿,内容丰富,可作为IT和安全专业人士的研究指导用书,同时也适合作为高等学校计算机安全专业本科、研究生的参考教材。
作者简介
张瑜,男,博士,教授,2009年6月毕业于四川大学计算机学院,获工学博士学位,并获四川大学优秀博士毕业生称号。现任职于海南师范大学信息学院,网络与信息安全学术带头人,海南省信息安全委员会委员。2013年受国家留学基金委资助,赴美国Sam Houston State University访学一年,在网络安全领域与美方进行了深度科研合作。主持国家自然科学基金、教育部、海南省重点研发计划项目、海南省自然科学基金等国家计划项目的研究,在国内外**期刊上发表论文30余篇,20多篇被SCI、EI收录。已出版《计算机病毒进化论》、《免疫优化理论及其应用》等专著,申请国家发明专利2项。
目录
目 录
第1章 Rootkit概述 ...............................................................................................................1
1.1 Rootkit的由来 ........................................................................................................................1
1.2 Rootkit的定义 ........................................................................................................................3
1.3 Rootkit的原理 ........................................................................................................................3
1.3.1 计算机系统的抽象.....................................................................................................4
1.3.2 Rootkit设计理念 .......................................................................................................7
1.4 Rootkit的类型及其演化 ........................................................................................................8
1.5 本章小结 ...............................................................................................................................11
第2章 硬件系统 ..................................................................................................................13
2.1 保护模式概述 .......................................................................................................................13
2.2 保护模式执行环境 ...............................................................................................................14
2.3 保护模式CPU特权级 .........................................................................................................18
2.4 保护模式内存分段与分页 ...................................................................................................18
2.5 内存访问控制体系 ...............................................................................................................23
2.6 本章小结 ...............................................................................................................................24
第3章 软件系统 ..................................................................................................................25
3.1 Windows系统的设计原则...................................................................................................25
3.2 Windows系统的体系结构...................................................................................................26
3.3 Windows的分段与分页.......................................................................................................27
3.4 Windows系统服务调用机制...............................................................................................28
3.4.1 中断分发...................................................................................................................30
3.4.2 异常分发...................................................................................................................32
3.4.3 系统服务分发...........................................................................................................33
3.5 本章小结 ...............................................................................................................................35
第4章 Windows内核驱动程序 ...........................................................................................37
4.1 概述 .......................................................................................................................................37
4.2 重要数据结构 .......................................................................................................................41
4.2.1 IRP ............................................................................................................................42
4.2.2 I/O堆栈 ....................................................................................................................45
4.2.3 IRP的传递与完成 ...................................................................................................47
4.3 WDM驱动的基本结构 .......................................................................................................48
4.3.1 DriverEntry ...............................................................................................................48
4.3.2 AddDevice.................................................................................................................53
4.3.3 IRP处理例程 ...........................................................................................................54
4.3.4 Unload .......................................................................................................................54
4.3.5 内核驱动程序实例...................................................................................................54
4.4 本章小结 ...............................................................................................................................56
第5章 用户层Rootkit .........................................................................................................57
5.1 用户层Rootkit概述 .............................................................................................................57
5.2 用户层Rootkit技术 .............................................................................................................58
5.2.1 IAT钩子 ...................................................................................................................58
5.2.2 Inline Function钩子 .................................................................................................69
5.2.3 DLL注入 ..................................................................................................................75
5.2.4 DLL劫持 ..................................................................................................................78
5.3 本章小结 ...............................................................................................................................85
第6章 内核层Rootkit .........................................................................................................87
6.1 内核层Rootkit概述 .............................................................................................................87
6.2 内核层Rootkit技术 .............................................................................................................88
6.2.1 系统表格钩子...........................................................................................................89
6.2.2 映像修改.................................................................................................................129
6.2.3 过滤驱动程序.........................................................................................................139
6.2.4 直接内核对象操纵(DKOM) ............................................................................143
6.3 本章小结 .............................................................................................................................145
第7章 底层Rootkit ...........................................................................................................147
7.1 扩展的处理器模式 .............................................................................................................147
7.1.1 系统管理模式.........................................................................................................148
7.1.2 虚拟机技术.............................................................................................................149
7.2 固件 .....................................................................................................................................150
7.2.1 板载BIOS ..............................................................................................................150
7.2.2 扩展ROM ..............................................................................................................152
7.2.3 ACPI组件 ...............................................................................................................152
7.2.4 UEFI组件 ...............................................................................................................152
7.3 硬件 .....................................................................................................................................154
7.4 本章小结 .............................................................................................................................154
第8章 Rootkit检测与取证分析 .........................................................................................155
8.1 Rootkit检测概述 ................................................................................................................155
8.2 Rootkit检测技术 ................................................................................................................158
8.2.1 IAT Hook检测示例 ...............................................................................................159
8.2.2 IRP Hook检测示例 ................................................................................................160
8.2.3 IDT Hook检测示例 ...............................................................................................162
8.2.4 MSR Hook检测示例 .............................................................................................165
8.2.5 SSDT Hook检测示例 ............................................................................................174
8.2.6 Inline Hook检测示例 ............................................................................................176
8.2.7 基于免疫的Rootkit检测技术...............................................................................177
8.3 Rootkit检测工具 ................................................................................................................191
8.4 Rootkit取证分析 ................................................................................................................193
8.4.1 证据的获取与存储.................................................................................................194
8.4.2 取证分析.................................................................................................................194
8.5 Rootkit取证工具 ................................................................................................................238
8.5.1 磁盘镜像工具.........................................................................................................238
8.5.2 内存镜像工具.........................................................................................................241
8.5.3 内存分析工具.........................................................................................................243
8.5.4 进程转储工具.........................................................................................................243
8.5.5 时间轴取证工具.....................................................................................................243
8.5.6 证据收集工具.........................................................................................................244
8.5.7 电子邮件取证工具.................................................................................................244
8.5.8 大数据取证分析工具.............................................................................................245
8.6 本章小结 .............................................................................................................................246
第9章 Rootkit的未来 .......................................................................................................247
9.1 Rootkit的发展趋势 ............................................................................................................247
9.2 Rootkit的防御方向 ............................................................................................................248
参考文献 ..............................................................................................................................251
第1章 Rootkit概述 ...............................................................................................................1
1.1 Rootkit的由来 ........................................................................................................................1
1.2 Rootkit的定义 ........................................................................................................................3
1.3 Rootkit的原理 ........................................................................................................................3
1.3.1 计算机系统的抽象.....................................................................................................4
1.3.2 Rootkit设计理念 .......................................................................................................7
1.4 Rootkit的类型及其演化 ........................................................................................................8
1.5 本章小结 ...............................................................................................................................11
第2章 硬件系统 ..................................................................................................................13
2.1 保护模式概述 .......................................................................................................................13
2.2 保护模式执行环境 ...............................................................................................................14
2.3 保护模式CPU特权级 .........................................................................................................18
2.4 保护模式内存分段与分页 ...................................................................................................18
2.5 内存访问控制体系 ...............................................................................................................23
2.6 本章小结 ...............................................................................................................................24
第3章 软件系统 ..................................................................................................................25
3.1 Windows系统的设计原则...................................................................................................25
3.2 Windows系统的体系结构...................................................................................................26
3.3 Windows的分段与分页.......................................................................................................27
3.4 Windows系统服务调用机制...............................................................................................28
3.4.1 中断分发...................................................................................................................30
3.4.2 异常分发...................................................................................................................32
3.4.3 系统服务分发...........................................................................................................33
3.5 本章小结 ...............................................................................................................................35
第4章 Windows内核驱动程序 ...........................................................................................37
4.1 概述 .......................................................................................................................................37
4.2 重要数据结构 .......................................................................................................................41
4.2.1 IRP ............................................................................................................................42
4.2.2 I/O堆栈 ....................................................................................................................45
4.2.3 IRP的传递与完成 ...................................................................................................47
4.3 WDM驱动的基本结构 .......................................................................................................48
4.3.1 DriverEntry ...............................................................................................................48
4.3.2 AddDevice.................................................................................................................53
4.3.3 IRP处理例程 ...........................................................................................................54
4.3.4 Unload .......................................................................................................................54
4.3.5 内核驱动程序实例...................................................................................................54
4.4 本章小结 ...............................................................................................................................56
第5章 用户层Rootkit .........................................................................................................57
5.1 用户层Rootkit概述 .............................................................................................................57
5.2 用户层Rootkit技术 .............................................................................................................58
5.2.1 IAT钩子 ...................................................................................................................58
5.2.2 Inline Function钩子 .................................................................................................69
5.2.3 DLL注入 ..................................................................................................................75
5.2.4 DLL劫持 ..................................................................................................................78
5.3 本章小结 ...............................................................................................................................85
第6章 内核层Rootkit .........................................................................................................87
6.1 内核层Rootkit概述 .............................................................................................................87
6.2 内核层Rootkit技术 .............................................................................................................88
6.2.1 系统表格钩子...........................................................................................................89
6.2.2 映像修改.................................................................................................................129
6.2.3 过滤驱动程序.........................................................................................................139
6.2.4 直接内核对象操纵(DKOM) ............................................................................143
6.3 本章小结 .............................................................................................................................145
第7章 底层Rootkit ...........................................................................................................147
7.1 扩展的处理器模式 .............................................................................................................147
7.1.1 系统管理模式.........................................................................................................148
7.1.2 虚拟机技术.............................................................................................................149
7.2 固件 .....................................................................................................................................150
7.2.1 板载BIOS ..............................................................................................................150
7.2.2 扩展ROM ..............................................................................................................152
7.2.3 ACPI组件 ...............................................................................................................152
7.2.4 UEFI组件 ...............................................................................................................152
7.3 硬件 .....................................................................................................................................154
7.4 本章小结 .............................................................................................................................154
第8章 Rootkit检测与取证分析 .........................................................................................155
8.1 Rootkit检测概述 ................................................................................................................155
8.2 Rootkit检测技术 ................................................................................................................158
8.2.1 IAT Hook检测示例 ...............................................................................................159
8.2.2 IRP Hook检测示例 ................................................................................................160
8.2.3 IDT Hook检测示例 ...............................................................................................162
8.2.4 MSR Hook检测示例 .............................................................................................165
8.2.5 SSDT Hook检测示例 ............................................................................................174
8.2.6 Inline Hook检测示例 ............................................................................................176
8.2.7 基于免疫的Rootkit检测技术...............................................................................177
8.3 Rootkit检测工具 ................................................................................................................191
8.4 Rootkit取证分析 ................................................................................................................193
8.4.1 证据的获取与存储.................................................................................................194
8.4.2 取证分析.................................................................................................................194
8.5 Rootkit取证工具 ................................................................................................................238
8.5.1 磁盘镜像工具.........................................................................................................238
8.5.2 内存镜像工具.........................................................................................................241
8.5.3 内存分析工具.........................................................................................................243
8.5.4 进程转储工具.........................................................................................................243
8.5.5 时间轴取证工具.....................................................................................................243
8.5.6 证据收集工具.........................................................................................................244
8.5.7 电子邮件取证工具.................................................................................................244
8.5.8 大数据取证分析工具.............................................................................................245
8.6 本章小结 .............................................................................................................................246
第9章 Rootkit的未来 .......................................................................................................247
9.1 Rootkit的发展趋势 ............................................................................................................247
9.2 Rootkit的防御方向 ............................................................................................................248
参考文献 ..............................................................................................................................251
猜您喜欢