孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 占位居中 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台
商品
拍卖区
在售
已售
搜索历史
搜索
高级搜索

ROOTKITS

ROOTKITS
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者:
出版社: 清华大学出版社
2007-04
版次: 1
ISBN: 9787302146520
定价: 39.00
装帧: 平装
开本: 其他
纸张: 胶版纸
页数: 298页
字数: 371千字
分类: 计算机与互联网
119人买过
  •   《ROOTKITS-Windows内核的安全防护》是目前第一本关于rootkit的详尽指南,包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。世界顶级软件安全专家、rootkit.com创始人GregHoglund和JamesButler向大家详细介绍攻击者是如何进入系统并长期驻留而不会被检测到的,以及黑客是如何摧毁WindowsXP和Windows2000内核系统的,其概念可以应用于现代任何主流操作系统。通过《ROOTKITS-Windows内核的安全防护》,读者可以全面掌握rootkit,提升自己的计算机安全防范能力。   GregHoglund,软件安全领域的先驱者。软件安全验证服务的领先提供商HBGary公司的CEO。在编写了最早的网络漏洞扫描器之一(在半数以上的财富500强公司中安装)后,创建了第一个基于WindowsNT的rootkit并撰写了文档,同时建立了www.rootkit.corn网站。经常在BlackHat、RSA以及其他安全会议上作演讲。与他人合著了最佳畅销书《软件剖析——代码攻防之道》
      (清华人学出版社引进并出版,ISBN:7-302-10445-X)。 第1章销声匿迹
    1.1攻击者的动机
    1.1.1潜行的角色
    1.1.2不需潜行的情况
    1.2rootkit的定义
    1.3rootkit存在的原因
    1.3.1远程命令和控制
    1.3.2软件窃听
    1.3.3rootkit的合法使用
    1.4rootkit的存在历史
    1.5rootkit的工作方式
    1.5.1打补丁
    1.5.2复活节彩蛋
    1.5.3间谍件修改
    1.5.4源代码修改
    1.5.5软件修改的合法性
    1.6rootkit与其他技术的区别
    1.6.1rootkit不是软件利用工具
    1.6.2rootkit不是病毒
    1.7rootkit与软件利用工具
    1.8攻击型rootkit技术
    1.8.1HIPS
    1.8.2NIDS
    1.8.3绕过IDS/IPS
    1.8.4绕过取证分析工具
    1.9小结
    第2章破坏内核
    2.1重要的内核组件
    2.2rootkit的结构设计
    2.3在内核中引入代码
    2.4构建Windows设备驱动程序
    2.4.1设备驱动程序开发工具包
    2.4.2构建环境
    2.4.3文件
    2.5加载和卸载驱动程序
    2.6对调试语句进行日志记录
    2.7融合rootkit:用户和内核模式的融合
    2.7.1I/O请求报文
    2.7.2创建文件句柄
    2.7.3添加符号链接
    2.8加载rootkIt
    2.8.1草率方式
    2.8.2正确方式
    2.9从资源中解压缩.sys文件
    2.10系统重启后的考验
    2.11小结
    第3章硬件相关问题
    3.1环0级
    3.2CPu表和系统表
    3.3内存页
    3.3.1内存访问检查
    3.3.2分页和地址转换
    3.3.3页表杏询
    3.3.4页目录项
    3.3.5页表项
    3.3.6重要表的只读访问
    3.3.7多个进程使用多个页目录
    3.3.8进程和线程
    3.4内存描述符表
    3.4.1令局描述符表
    3.4.2本地描述符表
    3.4.3代码段
    3.4.4调用门
    3.5中断描述符表
    3.6系统服务调度表
    3.7控制寄存器
    3.7.1控制寄存器
    3.7.2其他控制寄存器
    3.7.3EFlags寄存器
    3.8多处理器系统
    3.9小结
    第4章古老的钩子艺术
    4.1用户空间钩子
    4.1.1导入地址表钩子
    4.1.2内联函数钩子
    4.1.3将DLL注入到用户空间进程巾
    4.2内核钩子
    4.2.1钩住系统服务描述符表
    4.2.2修改SSDT内存保护机制
    4.2.3钩住SSDT
    4.3混合式钩子方法
    4.3.1进入进程的地址空间
    4.3.2钩子的内存空间
    4.4小结
    第5章运行时补丁
    5.1detour补丁
    5.1.1用MigBot重定控制流程路径
    5.1.2检查函数字节
    5.1.3记录被重写的指令
    5.1.4使用NonPagedPool内存
    5.1.5运行时地址修止
    5.2跳转模板
    5.3补丁方法的变型
    5.4小结
    第6章分层驱动程序
    6.1键盘嗅探器
    6.2剖析KLOGrootkit
    6.3文件过滤器驱动程序
    6.4小结
    第7章直接内核对象操作
    7.1DKOM的优缺点
    7.2确定操作系统的版本
    7.2.1用户模式的自确定
    7.2.2内核模式的白确定
    7.2.3在注册表中查询操作系统版本
    7.3用户空间与设备驱动程序的通信
    7.4DKOM隐藏技术
    7.4.1隐藏进程
    7.4.2隐藏设备驱动程序
    7.4.3同步问题
    7.5使用DKOM提升令牌权限和组
    7.5.1修改进程令牌
    7.5.2伪造WindowsEventViewer
    7.6小结
    第8章操纵硬件
    8.1为何使用硬件
    8.2修改固件
    8.3访问硬件
    8.3.1硬件地址
    832访问硬件与访问RAM的区别
    8.3.3定时问题
    8.3.4I/O总线
    8.3.5访问BlOS
    8.3.6访问PCI和PCMCIA设备
    8.4访问键盘控制器示例
    8.4.18259键盘控制器
    8.4.2修改LED指示器
    8.4.3强制重启
    8.4.4击键临视器
    8.5微码更新
    8.6小结
    第9章隐秘通道
    9.1远程命令、控制和数据窃取
    9.2伪装TCP/IP协议
    9.2.1注意通信量模式
    9.2.2不以明文发送数据
    9.2.3充分利用时间因素
    9.2.4隐藏在DNS请求中
    9.2.5对ASCII编码有效负载进行隐写操作
    9.2.6使用其他TCP/IP通道
    9.3TCP/IP内核中支持rootkit的TDI接口
    9.3.1构建地址结构
    9.3.2创建本地地址对象
    9.3.3根据上下文创建TDI端点
    9.3.4将端点与本地地址进行关联
    9.3.5连接到远程服务器(发送TCP握手消息)
    9.3.6将数据发送到远程服务器
    9.4原始网络操作
    9.4.1在WindowsXP上实现原始套接字
    9.4.2绑定到接口
    9.4.3使用原始套接字进行嗅探
    9.4.4使用原始套接字进行杂乱嗅探
    9.4.5使用原始套接字发送报义
    9.4.6伪造源信息
    9.4.7弹回报义
    9.5TCP/IP内核中支持rootkit的NDIS接口
    9.5.1注册协议
    9.5.2协议驱动程序回调函数
    9.5.3移动完整报文
    9.6主机仿真
    9.6.1创建MAC地址
    9.6.2处理ARP协议
    9.6.3IP网关
    9.6.4发送报文
    9.7小结
    第10章rootkit检测
    10.1检测rootkit的存在
    10.1.1守护门口
    10.1.2扫描“空间”
    10.1.3查找钩子
    10.2检测rootkit的行为
    10.2.1检测隐藏的文件和注册表键
    10.2.2检测隐藏的进程
    10.3小结
  • 内容简介:
      《ROOTKITS-Windows内核的安全防护》是目前第一本关于rootkit的详尽指南,包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。世界顶级软件安全专家、rootkit.com创始人GregHoglund和JamesButler向大家详细介绍攻击者是如何进入系统并长期驻留而不会被检测到的,以及黑客是如何摧毁WindowsXP和Windows2000内核系统的,其概念可以应用于现代任何主流操作系统。通过《ROOTKITS-Windows内核的安全防护》,读者可以全面掌握rootkit,提升自己的计算机安全防范能力。
  • 作者简介:
      GregHoglund,软件安全领域的先驱者。软件安全验证服务的领先提供商HBGary公司的CEO。在编写了最早的网络漏洞扫描器之一(在半数以上的财富500强公司中安装)后,创建了第一个基于WindowsNT的rootkit并撰写了文档,同时建立了www.rootkit.corn网站。经常在BlackHat、RSA以及其他安全会议上作演讲。与他人合著了最佳畅销书《软件剖析——代码攻防之道》
      (清华人学出版社引进并出版,ISBN:7-302-10445-X)。
  • 目录:
    第1章销声匿迹
    1.1攻击者的动机
    1.1.1潜行的角色
    1.1.2不需潜行的情况
    1.2rootkit的定义
    1.3rootkit存在的原因
    1.3.1远程命令和控制
    1.3.2软件窃听
    1.3.3rootkit的合法使用
    1.4rootkit的存在历史
    1.5rootkit的工作方式
    1.5.1打补丁
    1.5.2复活节彩蛋
    1.5.3间谍件修改
    1.5.4源代码修改
    1.5.5软件修改的合法性
    1.6rootkit与其他技术的区别
    1.6.1rootkit不是软件利用工具
    1.6.2rootkit不是病毒
    1.7rootkit与软件利用工具
    1.8攻击型rootkit技术
    1.8.1HIPS
    1.8.2NIDS
    1.8.3绕过IDS/IPS
    1.8.4绕过取证分析工具
    1.9小结
    第2章破坏内核
    2.1重要的内核组件
    2.2rootkit的结构设计
    2.3在内核中引入代码
    2.4构建Windows设备驱动程序
    2.4.1设备驱动程序开发工具包
    2.4.2构建环境
    2.4.3文件
    2.5加载和卸载驱动程序
    2.6对调试语句进行日志记录
    2.7融合rootkit:用户和内核模式的融合
    2.7.1I/O请求报文
    2.7.2创建文件句柄
    2.7.3添加符号链接
    2.8加载rootkIt
    2.8.1草率方式
    2.8.2正确方式
    2.9从资源中解压缩.sys文件
    2.10系统重启后的考验
    2.11小结
    第3章硬件相关问题
    3.1环0级
    3.2CPu表和系统表
    3.3内存页
    3.3.1内存访问检查
    3.3.2分页和地址转换
    3.3.3页表杏询
    3.3.4页目录项
    3.3.5页表项
    3.3.6重要表的只读访问
    3.3.7多个进程使用多个页目录
    3.3.8进程和线程
    3.4内存描述符表
    3.4.1令局描述符表
    3.4.2本地描述符表
    3.4.3代码段
    3.4.4调用门
    3.5中断描述符表
    3.6系统服务调度表
    3.7控制寄存器
    3.7.1控制寄存器
    3.7.2其他控制寄存器
    3.7.3EFlags寄存器
    3.8多处理器系统
    3.9小结
    第4章古老的钩子艺术
    4.1用户空间钩子
    4.1.1导入地址表钩子
    4.1.2内联函数钩子
    4.1.3将DLL注入到用户空间进程巾
    4.2内核钩子
    4.2.1钩住系统服务描述符表
    4.2.2修改SSDT内存保护机制
    4.2.3钩住SSDT
    4.3混合式钩子方法
    4.3.1进入进程的地址空间
    4.3.2钩子的内存空间
    4.4小结
    第5章运行时补丁
    5.1detour补丁
    5.1.1用MigBot重定控制流程路径
    5.1.2检查函数字节
    5.1.3记录被重写的指令
    5.1.4使用NonPagedPool内存
    5.1.5运行时地址修止
    5.2跳转模板
    5.3补丁方法的变型
    5.4小结
    第6章分层驱动程序
    6.1键盘嗅探器
    6.2剖析KLOGrootkit
    6.3文件过滤器驱动程序
    6.4小结
    第7章直接内核对象操作
    7.1DKOM的优缺点
    7.2确定操作系统的版本
    7.2.1用户模式的自确定
    7.2.2内核模式的白确定
    7.2.3在注册表中查询操作系统版本
    7.3用户空间与设备驱动程序的通信
    7.4DKOM隐藏技术
    7.4.1隐藏进程
    7.4.2隐藏设备驱动程序
    7.4.3同步问题
    7.5使用DKOM提升令牌权限和组
    7.5.1修改进程令牌
    7.5.2伪造WindowsEventViewer
    7.6小结
    第8章操纵硬件
    8.1为何使用硬件
    8.2修改固件
    8.3访问硬件
    8.3.1硬件地址
    832访问硬件与访问RAM的区别
    8.3.3定时问题
    8.3.4I/O总线
    8.3.5访问BlOS
    8.3.6访问PCI和PCMCIA设备
    8.4访问键盘控制器示例
    8.4.18259键盘控制器
    8.4.2修改LED指示器
    8.4.3强制重启
    8.4.4击键临视器
    8.5微码更新
    8.6小结
    第9章隐秘通道
    9.1远程命令、控制和数据窃取
    9.2伪装TCP/IP协议
    9.2.1注意通信量模式
    9.2.2不以明文发送数据
    9.2.3充分利用时间因素
    9.2.4隐藏在DNS请求中
    9.2.5对ASCII编码有效负载进行隐写操作
    9.2.6使用其他TCP/IP通道
    9.3TCP/IP内核中支持rootkit的TDI接口
    9.3.1构建地址结构
    9.3.2创建本地地址对象
    9.3.3根据上下文创建TDI端点
    9.3.4将端点与本地地址进行关联
    9.3.5连接到远程服务器(发送TCP握手消息)
    9.3.6将数据发送到远程服务器
    9.4原始网络操作
    9.4.1在WindowsXP上实现原始套接字
    9.4.2绑定到接口
    9.4.3使用原始套接字进行嗅探
    9.4.4使用原始套接字进行杂乱嗅探
    9.4.5使用原始套接字发送报义
    9.4.6伪造源信息
    9.4.7弹回报义
    9.5TCP/IP内核中支持rootkit的NDIS接口
    9.5.1注册协议
    9.5.2协议驱动程序回调函数
    9.5.3移动完整报文
    9.6主机仿真
    9.6.1创建MAC地址
    9.6.2处理ARP协议
    9.6.3IP网关
    9.6.4发送报文
    9.7小结
    第10章rootkit检测
    10.1检测rootkit的存在
    10.1.1守护门口
    10.1.2扫描“空间”
    10.1.3查找钩子
    10.2检测rootkit的行为
    10.2.1检测隐藏的文件和注册表键
    10.2.2检测隐藏的进程
    10.3小结
查看详情
其他版本 / 全部 (1)
相关图书 / 更多
ROOTKITS
世上为什么要有图书馆
杨素秋
14.00
ROOTKITS
经纬度丛书·大变局:晚清改革五十年
谌旭彬
58.21
ROOTKITS
拓地降敌:北宋中叶内臣名将李宪研究
何冠环
34.30
ROOTKITS
班史:一个大学班级的日常生活(2018—2022)
黄修志 石榴花 著
23.40
ROOTKITS
另一场新文化运动:五四前后“梁启超系”再造新文明的努力
周月峰 著
32.76
ROOTKITS
无条件投降博物馆
[荷兰]杜布拉夫卡·乌格雷西奇
24.41
ROOTKITS
我们为什么会抑郁:哀悼、忧郁与精神分析
达里安·利德
15.96
ROOTKITS
被遗忘的大流行:西班牙流感在美国
艾尔弗雷德·W. 克罗斯比 著;李玮璐 译
31.00
ROOTKITS
辛弃疾新传
辛更儒 后浪
45.00
ROOTKITS
疯狂的尿酸
[美]戴维·珀尔马特 著
30.00
ROOTKITS
中国妆束:宋时天气宋时衣
左丘萌 末春
74.06
ROOTKITS
阿勒泰的角落
李娟 著;新经典 出品
21.21
© 2002-2024 Kongfz.com 孔夫子旧书网 版权所有
关于孔网 联系我们 帮助中心 版权隐私 广告业务 工作机会 移动版 图书目录 图书标签 热搜书籍 作家大全