恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器

恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者: [美] (Michael Hale Ligh) , ,
2012-01
版次: 1
ISBN: 9787302274407
定价: 69.80
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 584页
字数: 925千字
正文语种: 简体中文
原版书名: Malware Analyst's Cookbook
91人买过
  • 针对多种常见威胁的强大而循序渐进的解决方案。我们将《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》称为工具箱,是因为每个诀窍都给出了解决某个特定问题或研究某个给定威胁的原理和详细的步骤。在配书光盘中提供了补充资源,您可以找到相关的支持文件和原始程序。您将学习如何使用这些工具分析恶意软件,有些工具是作者自己开发的,另外数百个工具则是可以公开下载的。如果您的工作涉及紧急事件响应、计算机取证、系统安全或者反病毒研究,那么《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》将会为您提供极大的帮助。
    学习如何在不暴露身份的前提下进行在线调查
    使用蜜罐收集由僵尸和蠕虫分布的恶意软件
    分析javascript、pdf文件以及office文档中的可疑内容
    使用虚拟或基础硬件建立一个低预算的恶意软件实验室
    通用编码和加密算法的逆向工程
    建立恶意软件分析的高级内存取证平台
    研究主流的威胁,如zeus、silentbanker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等 MichaelHaleLigh是VerisigniDefense公司的恶意代码分析专家,专门从事开发各种用于检测、解密以及调查恶意软件的工具。在过去数年里,他在里约热内卢、上海、吉隆坡、伦敦、华盛顿特区和纽约等地讲授恶意软件分析课程,已经培训了数百名学生。在进入VerisigniDefense公司之前,Michael在全国最大的医疗保健服务提供商之一中担任漏洞研究员,并提供黑客伦理服务。正是由于担任过该职务,他对逆向工程以及操作系统内部的背景有着深刻理解。在此之前,Michael为新英格兰地区的金融机构提供网络防御以及取证调查方面的服务。他目前是MNIN安全有限公司的特别项目主管。
    StevenAdair是ShadowserverFoundation的研究员,同时也是eTouch联邦系统的首席架构师。在Shadowserver组织中,Steven主要分析恶意软件和跟踪僵尸网络,并重点调查与网络间谍组织相关联的各种网络攻击。Steven经常出席该领域相关专题的国际会议,并且合著了论文“ShadowsintheCloud:InvestigatingCyberEspionage2.0”。在日常工作中,他在一个联邦机构中领导网络威胁行动小组以主动检测、降低以及预防网络入侵活动,他有效地集成了最佳安全实践和创新技术,成功地在全网中实现了企业级反恶意软件解决方案。Steven每天的工作都涉及恶意软件研究,无论是为公司客户提供支持或者在Shadowserver组织中贡献自己的业余时间。
    BlakeHartstein是VerisigniDefense公司的快速响应工程师,主要负责分析以及报告恶意软件的可疑活动。他是Jsunpack工具的编写者,致力于自动分析以及检测基于Web的漏洞攻击,并分别在Shmoocon2009和Shmoocon2010会议中做了关于Jsunpack的报告。Blake同时还为EmergingThreats项目编写和贡献Snort规则。
    MatthewRichard是雷神(Raytheon)公司的恶意代码操作部领导,主要负责分析以及报告恶意代码。Matthew之前是iDefense公司快速响应部门主管。在此7年之前,Matthew创建并运营了一家向130多家银行以及信用机构提供安全服务的公司。此外,他还对国内以及全球多家公司提供独立的网络取证咨询服务。Matthew现持有CISSP、GCIA、GCFA和GREM认证。 第1章行为隐匿
    1.1洋葱路由器(tor)
    1.2使用tor研究恶意软件
    1.3tor缺陷
    1.3.1速度
    1.3.2不可信赖的tor操作员
    1.3.3tor阻止列表
    1.4代理服务器和协议
    1.4.1超文本传输协议(http)
    1.4.2socks4
    1.4.3socks5
    1.5基于web的匿名代理
    1.6保持匿名的替代方法
    1.6.1蜂窝internet连接
    1.6.2虚拟专用网
    1.7唯一且匿名

    第2章蜜罐
    2.1nepenthes蜜罐
    2.1.1利用nepenthes收集恶意软件样本
    2.1.2使用irc日志进行实时攻击监视
    2.1.3使用基于python的http接收nepenthes提交的文件
    2.2使用dionaea蜜罐
    2.2.1使用dionaea收集恶意软件样本
    2.2.2使用基于python的http接收dionaea提交的文件
    2.2.3实时事件通告以及使用xmpp共享二进制文件
    2.2.4分析重放dionea记录的攻击
    2.2.5使用p0f工具被动识别远程主机操作系统
    2.2.6使用sqlite和gnuplot绘制dionaea记录的攻击模式图

    第3章恶意软件分类
    3.1使用clamav分类
    3.1.1检查现有clamav特征码
    3.1.2创建自定义clamav特征码数据库
    3.2使用yara分类
    3.2.1将clamav特征码转换到yara格式特征码
    3.2.2使用yara和peid识别加壳文件
    3.2.3使用yara检测恶意软件的能力
    3.3工具集成
    3.3.1使用python识别文件类型及哈希算法
    3.3.2编写python多杀毒扫描软件
    3.3.3python中检测恶意pe文件
    3.3.4使用ssdeep查找相似恶意软件
    3.3.5使用ssdeep检测自修改代码
    3.3.6使用ida和bindiff检测自修改代码

    第4章沙箱和多杀毒扫描软件
    4.1公用杀毒扫描软件
    4.1.1使用virustotal扫描文件
    4.1.2使用jotti扫描文件
    4.1.3使用novirusthanks扫描文件
    4.1.4启用数据库的python多杀毒上传程序
    4.2多杀毒扫描软件的比较
    4.3公用沙箱分析
    4.3.1使用threatexpert分析恶意软件
    4.3.2使用cwsandbox分析恶意软件
    4.3.3使用anubis分析恶意软件
    4.3.4编写joeboxautoit脚本
    4.3.5使用joebox应对路径依赖型恶意软件
    4.3.6使用joebox应对进程依赖型动态链接库
    4.3.7使用joebox设置主动型http代理
    4.3.8使用沙箱结果扫描项目

    第5章域名与ip地址
    5.1研究可疑域名
    5.1.1利用whois研究域
    5.1.2解析dns主机名
    5.2研究ip地址
    5.3使用被动dns和其他工具进行研究
    5.3.1使用bfk查询被动dns
    5.3.2使用robtex检查dns记录
    5.3.3使用domaintools执行反向ip搜索
    5.3.4使用dig启动区域传送
    5.3.5使用dnsmap暴力攻击子域
    5.3.6通过shadowserver将ip地址映射到asn
    5.3.7使用rbl检查ip信誉
    5.4fastflux域名
    5.4.1使用被动dns和ttl检测fastflux网络
    5.4.2跟踪fastflux域名
    5.5ip地址地理映射

    第6章文档、shellcode和url
    6.1分析javascript
    6.1.1使用spidermonkey分析javascript
    6.1.2使用jsunpack自动解码javascript
    6.1.3优化jsunpack-n的解码速度和完整性
    6.1.4通过模拟浏览器dom元素触发漏洞利用
    6.2分析pdf文档
    6.2.1使用pdf.py从pdf文件中提取javascript
    6.2.2伪造pdf软件版本触发漏洞利用
    6.2.3利用didierstevens的pdf工具集
    6.2.4确定利用pdf文件中的哪些漏洞
    6.2.5使用distorm反汇编shellcode
    6.2.6使用iibemu模拟shellcode
    6.3分析恶意office文档
    6.3.1使用officemalscanner分析microsoftoffice文件
    6.3.2使用disview和malhost-setup调试officeshellcode
    6.4分析网络流量
    6.4.1使用jsunpack从报文捕获文件中提取http文件
    6.4.2使用jsunpack绘制url关系图

    第7章恶意软件实验室
    7.1网络互联
    7.1.1实验室中tcp/ip路由连接
    7.1.2捕获、分析网络流量
    7.1.3使用inetsim模拟internet
    7.1.4使用burp套件操作http/https
    7.2物理目标机
    7.2.1使用joestewart开发的truman
    7.2.2使用deepfreeze保护物理系统
    7.2.3使用fog克隆和映像磁盘
    7.2.4使用mysql数据库自动调度fog任务

    第8章自动化操作
    8.1恶意软件分析周期
    8.2使用python实现自动化操作
    8.2.1使用virtualbox执行自动化恶意软件分析
    8.2.2分析virtualbox磁盘以及内存映像
    8.2.3使用vmware执行自动化恶意软件分析
    8.3添加分析模块
    8.3.1在python中使用tshark捕获报文
    8.3.2在python中使用inetsim收集网络日志
    8.3.3使用volatility分析内存转储
    8.3.4组合所有的沙箱块
    8.4杂项系统
    8.4.1使用zerowine和qemu执行自动化分析
    8.4.2使用sandboxie和buster执行自动化分析

    第9章动态分析
    9.1变化检测
    9.1.1使用processmonitor记录api调用
    9.1.2使用regshot进行变化检测
    9.1.3接收文件系统变化通知
    9.1.4接收注册表变化通知
    9.1.5句柄表的差异比较
    9.1.6使用handlediff研究代码注入
    9.1.7观察bankpatch.c禁用windows文件保护的活动
    9.2api监视/钩子
    9.2.1使用microsoftdetours构建api监视器
    9.2.2使用api监视器追踪子进程
    9.2.3捕获进程、线程和映像加载事件
    9.3数据保护
    9.3.1阻止进程终止
    9.3.2阻止恶意软件删除文件
    9.3.3阻止加载驱动程序
    9.3.4使用数据保护模块
    9.3.5使用reactos创建定制命令shell

    第10章恶意软件取证
    10.1thesleuthkit(tsk)
    10.1.1使用tsk发现备用数据流
    10.1.2使用tsk检测隐藏文件和目录
    10.1.3使用microsoft脱机api查找隐藏注册表数据
    10.2取证/事件响应混合
    10.2.1绕开poisonivy锁定的文件
    10.2.2绕开conficker文件系统的acl限制
    10.2.3使用gmer扫描rootkit
    10.2.4通过检查ie的dom检测html注入
    10.3注册表分析
    10.3.1使用regripper插件对注册表取证
    10.3.2检测恶意安装的pki证书
    10.3.3检查泄露数据到注册表的恶意软件

    第11章调试恶意软件
    11.1使用调试器
    11.1.1打开和附加到进程
    11.1.2为shellcode分析配置jit调试器
    11.1.3熟悉调试器的图形用户界面
    11.1.4检查进程内存和资源
    11.1.5控制程序执行
    11.1.6设置和捕获断点
    11.1.7使用有条件的日志记录断点
    11.2immunitydebugger的pythonapi接口
    11.2.1使用python脚本和pycommand调试
    11.2.2在二进制文件中检测shellcode
    11.2.3调查silentbanker木马的api钩子
    11.3winappdbgpython调试器
    11.3.1使用winappdbg工具操作进程内存
    11.3.2使用winappdbg工具设计一个pythonapi监视器

    第12章反混淆
    12.1解码常见算法
    12.1.1python中的逆向xor算法
    12.1.2使用yaratize检测xor编码的数据
    12.1.3使用特殊字母解码base64
    12.2解密
    12.2.1从捕获的数据包中隔离加密数据
    12.2.2使用snd反向工具、findcrypt和kanal搜索加密机制
    12.2.3使用zynamicsbindiff移植openssl的符号
    12.2.4在python中使用pycrypto解密数据
    12.3恶意软件脱壳
    12.3.1查找加壳恶意软件的oep
    12.3.2使用lordpe转储进程内存
    12.3.3使用imprec重建导入表
    12.4与脱壳有关的资源
    12.5调试器脚本
    12.5.1破解域名生成算法
    12.5.2使用x86emu和python解码字符串

    第13章处理dll
    13.1枚举dll的导出函数
    13.1.1cffexplorer
    13.1.2pefile
    13.1.3idapro
    13.1.4常见和不常见的导出名
    13.2使用rundll32.exe执行dll
    13.3绕过宿主进程的限制
    13.4使用rundll32ex远程调用dll导出函数
    13.4.1创建新工具的原因
    13.4.2使用rundll32ex
    13.5使用loaddll.exe调试dll
    13.5.1将dll加载到调试器中
    13.5.2找到dll的入口点
    13.6捕获dll入口点处的断点
    13.7执行作为windows服务的dll
    13.7.1服务dll的入口点
    13.7.2服务初始化
    13.7.3安装服务dll
    13.7.4传递参数给服务
    13.8将dll转换成独立的可执行文件

    第14章内核调试
    14.1远程内核调试
    14.2本地内核调试
    14.3软件需求
    14.3.1使用livekd进行本地调试
    14.3.2启用内核调试启动开关
    14.3.3调试vmware工作站客户机(在windows系统中)
    14.3.4调试parallels客户机(在macosx上)
    14.3.5windbg命令和控制简介
    14.3.6探索进程和进程上下文
    14.3.7探索内核内存
    14.3.8在驱动程序加载时捕捉断点
    14.3.9脱壳驱动程序
    14.3.10转储和重建驱动程序
    14.3.11使用windbg脚本检测rootkit
    14.3.12使用idapro进行内核调试

    第15章使用volatility进行内存取证
    15.1内存获取
    15.1.1使用moonsolswindows内存工具箱转储内存
    15.1.2使用f-response获取远程、只读内存
    15.1.3访问虚拟机的内存文件
    15.2准备安装volatility
    15.2.1volatility概览
    15.2.2在内存转储中研究进程
    15.2.3使用psscan检测dkom攻击
    15.2.4研究csrss.exe的备用进程列表
    15.2.5识别进程上下文的技巧

    第16章内存取证:代码注入与提取
    16.1深入研究dll
    16.1.1搜寻已加载的可疑dll
    16.1.2使用ldr_modules检测未链接的dll
    16.2代码注入和vad
    16.2.1研究vad
    16.2.2转换页面保护
    16.2.3在进程内存中搜索证据
    16.2.4使用malfind和yara识别注入代码
    16.3重建二进制文件
    16.3.1从内存中重建可执行文件的映像
    16.3.2使用impscan扫描导入函数
    16.3.3转储可疑的内核模块

    第17章内存取证:rootkit
    17.1检测iat钩子
    17.2检测eat钩子
    17.3检测内联api钩子
    17.4检测idt钩子
    17.5检测驱动程序的irp钩子
    17.6检测ssdt钩子
    17.6.1ssdt的角色
    17.6.2钩子和钩子检测
    17.7使用ssdt_ex自动研究
    17.8根据附加的内核线程搜索rootkit
    17.8.1使用线程在内核中隐藏
    17.8.2在内存转储中检测分离线程
    17.9识别系统范围的通知例程
    17.9.1找出检查的位置
    17.9.2使用notifyroutines插件
    17.10使用svscan定位恶意的服务进程
    17.10.1恶意软件如何滥用服务
    17.10.2scm的服务记录结构
    17.10.3枚举进程内存中的服务
    17.10.4blazgel木马的例子
    17.10.5使用volatility的svcscan插件
    17.11使用mutantscan扫描互斥体对象

    第18章内存取证:网络和注册表
    18.1探索套接字和连接对象
    18.1.1套接字和连接证据
    18.1.2套接字和连接对象
    18.2分析zeus留下的网络证据
    18.3检测企图隐藏tcp/ip的活动
    18.3.1扫描套接字和连接对象
    18.3.2其他项目
    18.4检测原始套接字和混杂模式的网络接口
    18.4.1混杂模式的套接字
    18.4.2检测混杂模式
    18.5注册表分析
    18.5.1使用内存注册表工具分析注册表证据
    18.5.2通过最后写入时间戳排序注册表项
    18.5.3使用volatility和reg-ripper
  • 内容简介:
    针对多种常见威胁的强大而循序渐进的解决方案。我们将《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》称为工具箱,是因为每个诀窍都给出了解决某个特定问题或研究某个给定威胁的原理和详细的步骤。在配书光盘中提供了补充资源,您可以找到相关的支持文件和原始程序。您将学习如何使用这些工具分析恶意软件,有些工具是作者自己开发的,另外数百个工具则是可以公开下载的。如果您的工作涉及紧急事件响应、计算机取证、系统安全或者反病毒研究,那么《恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器》将会为您提供极大的帮助。
    学习如何在不暴露身份的前提下进行在线调查
    使用蜜罐收集由僵尸和蠕虫分布的恶意软件
    分析javascript、pdf文件以及office文档中的可疑内容
    使用虚拟或基础硬件建立一个低预算的恶意软件实验室
    通用编码和加密算法的逆向工程
    建立恶意软件分析的高级内存取证平台
    研究主流的威胁,如zeus、silentbanker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
  • 作者简介:
    MichaelHaleLigh是VerisigniDefense公司的恶意代码分析专家,专门从事开发各种用于检测、解密以及调查恶意软件的工具。在过去数年里,他在里约热内卢、上海、吉隆坡、伦敦、华盛顿特区和纽约等地讲授恶意软件分析课程,已经培训了数百名学生。在进入VerisigniDefense公司之前,Michael在全国最大的医疗保健服务提供商之一中担任漏洞研究员,并提供黑客伦理服务。正是由于担任过该职务,他对逆向工程以及操作系统内部的背景有着深刻理解。在此之前,Michael为新英格兰地区的金融机构提供网络防御以及取证调查方面的服务。他目前是MNIN安全有限公司的特别项目主管。
    StevenAdair是ShadowserverFoundation的研究员,同时也是eTouch联邦系统的首席架构师。在Shadowserver组织中,Steven主要分析恶意软件和跟踪僵尸网络,并重点调查与网络间谍组织相关联的各种网络攻击。Steven经常出席该领域相关专题的国际会议,并且合著了论文“ShadowsintheCloud:InvestigatingCyberEspionage2.0”。在日常工作中,他在一个联邦机构中领导网络威胁行动小组以主动检测、降低以及预防网络入侵活动,他有效地集成了最佳安全实践和创新技术,成功地在全网中实现了企业级反恶意软件解决方案。Steven每天的工作都涉及恶意软件研究,无论是为公司客户提供支持或者在Shadowserver组织中贡献自己的业余时间。
    BlakeHartstein是VerisigniDefense公司的快速响应工程师,主要负责分析以及报告恶意软件的可疑活动。他是Jsunpack工具的编写者,致力于自动分析以及检测基于Web的漏洞攻击,并分别在Shmoocon2009和Shmoocon2010会议中做了关于Jsunpack的报告。Blake同时还为EmergingThreats项目编写和贡献Snort规则。
    MatthewRichard是雷神(Raytheon)公司的恶意代码操作部领导,主要负责分析以及报告恶意代码。Matthew之前是iDefense公司快速响应部门主管。在此7年之前,Matthew创建并运营了一家向130多家银行以及信用机构提供安全服务的公司。此外,他还对国内以及全球多家公司提供独立的网络取证咨询服务。Matthew现持有CISSP、GCIA、GCFA和GREM认证。
  • 目录:
    第1章行为隐匿
    1.1洋葱路由器(tor)
    1.2使用tor研究恶意软件
    1.3tor缺陷
    1.3.1速度
    1.3.2不可信赖的tor操作员
    1.3.3tor阻止列表
    1.4代理服务器和协议
    1.4.1超文本传输协议(http)
    1.4.2socks4
    1.4.3socks5
    1.5基于web的匿名代理
    1.6保持匿名的替代方法
    1.6.1蜂窝internet连接
    1.6.2虚拟专用网
    1.7唯一且匿名

    第2章蜜罐
    2.1nepenthes蜜罐
    2.1.1利用nepenthes收集恶意软件样本
    2.1.2使用irc日志进行实时攻击监视
    2.1.3使用基于python的http接收nepenthes提交的文件
    2.2使用dionaea蜜罐
    2.2.1使用dionaea收集恶意软件样本
    2.2.2使用基于python的http接收dionaea提交的文件
    2.2.3实时事件通告以及使用xmpp共享二进制文件
    2.2.4分析重放dionea记录的攻击
    2.2.5使用p0f工具被动识别远程主机操作系统
    2.2.6使用sqlite和gnuplot绘制dionaea记录的攻击模式图

    第3章恶意软件分类
    3.1使用clamav分类
    3.1.1检查现有clamav特征码
    3.1.2创建自定义clamav特征码数据库
    3.2使用yara分类
    3.2.1将clamav特征码转换到yara格式特征码
    3.2.2使用yara和peid识别加壳文件
    3.2.3使用yara检测恶意软件的能力
    3.3工具集成
    3.3.1使用python识别文件类型及哈希算法
    3.3.2编写python多杀毒扫描软件
    3.3.3python中检测恶意pe文件
    3.3.4使用ssdeep查找相似恶意软件
    3.3.5使用ssdeep检测自修改代码
    3.3.6使用ida和bindiff检测自修改代码

    第4章沙箱和多杀毒扫描软件
    4.1公用杀毒扫描软件
    4.1.1使用virustotal扫描文件
    4.1.2使用jotti扫描文件
    4.1.3使用novirusthanks扫描文件
    4.1.4启用数据库的python多杀毒上传程序
    4.2多杀毒扫描软件的比较
    4.3公用沙箱分析
    4.3.1使用threatexpert分析恶意软件
    4.3.2使用cwsandbox分析恶意软件
    4.3.3使用anubis分析恶意软件
    4.3.4编写joeboxautoit脚本
    4.3.5使用joebox应对路径依赖型恶意软件
    4.3.6使用joebox应对进程依赖型动态链接库
    4.3.7使用joebox设置主动型http代理
    4.3.8使用沙箱结果扫描项目

    第5章域名与ip地址
    5.1研究可疑域名
    5.1.1利用whois研究域
    5.1.2解析dns主机名
    5.2研究ip地址
    5.3使用被动dns和其他工具进行研究
    5.3.1使用bfk查询被动dns
    5.3.2使用robtex检查dns记录
    5.3.3使用domaintools执行反向ip搜索
    5.3.4使用dig启动区域传送
    5.3.5使用dnsmap暴力攻击子域
    5.3.6通过shadowserver将ip地址映射到asn
    5.3.7使用rbl检查ip信誉
    5.4fastflux域名
    5.4.1使用被动dns和ttl检测fastflux网络
    5.4.2跟踪fastflux域名
    5.5ip地址地理映射

    第6章文档、shellcode和url
    6.1分析javascript
    6.1.1使用spidermonkey分析javascript
    6.1.2使用jsunpack自动解码javascript
    6.1.3优化jsunpack-n的解码速度和完整性
    6.1.4通过模拟浏览器dom元素触发漏洞利用
    6.2分析pdf文档
    6.2.1使用pdf.py从pdf文件中提取javascript
    6.2.2伪造pdf软件版本触发漏洞利用
    6.2.3利用didierstevens的pdf工具集
    6.2.4确定利用pdf文件中的哪些漏洞
    6.2.5使用distorm反汇编shellcode
    6.2.6使用iibemu模拟shellcode
    6.3分析恶意office文档
    6.3.1使用officemalscanner分析microsoftoffice文件
    6.3.2使用disview和malhost-setup调试officeshellcode
    6.4分析网络流量
    6.4.1使用jsunpack从报文捕获文件中提取http文件
    6.4.2使用jsunpack绘制url关系图

    第7章恶意软件实验室
    7.1网络互联
    7.1.1实验室中tcp/ip路由连接
    7.1.2捕获、分析网络流量
    7.1.3使用inetsim模拟internet
    7.1.4使用burp套件操作http/https
    7.2物理目标机
    7.2.1使用joestewart开发的truman
    7.2.2使用deepfreeze保护物理系统
    7.2.3使用fog克隆和映像磁盘
    7.2.4使用mysql数据库自动调度fog任务

    第8章自动化操作
    8.1恶意软件分析周期
    8.2使用python实现自动化操作
    8.2.1使用virtualbox执行自动化恶意软件分析
    8.2.2分析virtualbox磁盘以及内存映像
    8.2.3使用vmware执行自动化恶意软件分析
    8.3添加分析模块
    8.3.1在python中使用tshark捕获报文
    8.3.2在python中使用inetsim收集网络日志
    8.3.3使用volatility分析内存转储
    8.3.4组合所有的沙箱块
    8.4杂项系统
    8.4.1使用zerowine和qemu执行自动化分析
    8.4.2使用sandboxie和buster执行自动化分析

    第9章动态分析
    9.1变化检测
    9.1.1使用processmonitor记录api调用
    9.1.2使用regshot进行变化检测
    9.1.3接收文件系统变化通知
    9.1.4接收注册表变化通知
    9.1.5句柄表的差异比较
    9.1.6使用handlediff研究代码注入
    9.1.7观察bankpatch.c禁用windows文件保护的活动
    9.2api监视/钩子
    9.2.1使用microsoftdetours构建api监视器
    9.2.2使用api监视器追踪子进程
    9.2.3捕获进程、线程和映像加载事件
    9.3数据保护
    9.3.1阻止进程终止
    9.3.2阻止恶意软件删除文件
    9.3.3阻止加载驱动程序
    9.3.4使用数据保护模块
    9.3.5使用reactos创建定制命令shell

    第10章恶意软件取证
    10.1thesleuthkit(tsk)
    10.1.1使用tsk发现备用数据流
    10.1.2使用tsk检测隐藏文件和目录
    10.1.3使用microsoft脱机api查找隐藏注册表数据
    10.2取证/事件响应混合
    10.2.1绕开poisonivy锁定的文件
    10.2.2绕开conficker文件系统的acl限制
    10.2.3使用gmer扫描rootkit
    10.2.4通过检查ie的dom检测html注入
    10.3注册表分析
    10.3.1使用regripper插件对注册表取证
    10.3.2检测恶意安装的pki证书
    10.3.3检查泄露数据到注册表的恶意软件

    第11章调试恶意软件
    11.1使用调试器
    11.1.1打开和附加到进程
    11.1.2为shellcode分析配置jit调试器
    11.1.3熟悉调试器的图形用户界面
    11.1.4检查进程内存和资源
    11.1.5控制程序执行
    11.1.6设置和捕获断点
    11.1.7使用有条件的日志记录断点
    11.2immunitydebugger的pythonapi接口
    11.2.1使用python脚本和pycommand调试
    11.2.2在二进制文件中检测shellcode
    11.2.3调查silentbanker木马的api钩子
    11.3winappdbgpython调试器
    11.3.1使用winappdbg工具操作进程内存
    11.3.2使用winappdbg工具设计一个pythonapi监视器

    第12章反混淆
    12.1解码常见算法
    12.1.1python中的逆向xor算法
    12.1.2使用yaratize检测xor编码的数据
    12.1.3使用特殊字母解码base64
    12.2解密
    12.2.1从捕获的数据包中隔离加密数据
    12.2.2使用snd反向工具、findcrypt和kanal搜索加密机制
    12.2.3使用zynamicsbindiff移植openssl的符号
    12.2.4在python中使用pycrypto解密数据
    12.3恶意软件脱壳
    12.3.1查找加壳恶意软件的oep
    12.3.2使用lordpe转储进程内存
    12.3.3使用imprec重建导入表
    12.4与脱壳有关的资源
    12.5调试器脚本
    12.5.1破解域名生成算法
    12.5.2使用x86emu和python解码字符串

    第13章处理dll
    13.1枚举dll的导出函数
    13.1.1cffexplorer
    13.1.2pefile
    13.1.3idapro
    13.1.4常见和不常见的导出名
    13.2使用rundll32.exe执行dll
    13.3绕过宿主进程的限制
    13.4使用rundll32ex远程调用dll导出函数
    13.4.1创建新工具的原因
    13.4.2使用rundll32ex
    13.5使用loaddll.exe调试dll
    13.5.1将dll加载到调试器中
    13.5.2找到dll的入口点
    13.6捕获dll入口点处的断点
    13.7执行作为windows服务的dll
    13.7.1服务dll的入口点
    13.7.2服务初始化
    13.7.3安装服务dll
    13.7.4传递参数给服务
    13.8将dll转换成独立的可执行文件

    第14章内核调试
    14.1远程内核调试
    14.2本地内核调试
    14.3软件需求
    14.3.1使用livekd进行本地调试
    14.3.2启用内核调试启动开关
    14.3.3调试vmware工作站客户机(在windows系统中)
    14.3.4调试parallels客户机(在macosx上)
    14.3.5windbg命令和控制简介
    14.3.6探索进程和进程上下文
    14.3.7探索内核内存
    14.3.8在驱动程序加载时捕捉断点
    14.3.9脱壳驱动程序
    14.3.10转储和重建驱动程序
    14.3.11使用windbg脚本检测rootkit
    14.3.12使用idapro进行内核调试

    第15章使用volatility进行内存取证
    15.1内存获取
    15.1.1使用moonsolswindows内存工具箱转储内存
    15.1.2使用f-response获取远程、只读内存
    15.1.3访问虚拟机的内存文件
    15.2准备安装volatility
    15.2.1volatility概览
    15.2.2在内存转储中研究进程
    15.2.3使用psscan检测dkom攻击
    15.2.4研究csrss.exe的备用进程列表
    15.2.5识别进程上下文的技巧

    第16章内存取证:代码注入与提取
    16.1深入研究dll
    16.1.1搜寻已加载的可疑dll
    16.1.2使用ldr_modules检测未链接的dll
    16.2代码注入和vad
    16.2.1研究vad
    16.2.2转换页面保护
    16.2.3在进程内存中搜索证据
    16.2.4使用malfind和yara识别注入代码
    16.3重建二进制文件
    16.3.1从内存中重建可执行文件的映像
    16.3.2使用impscan扫描导入函数
    16.3.3转储可疑的内核模块

    第17章内存取证:rootkit
    17.1检测iat钩子
    17.2检测eat钩子
    17.3检测内联api钩子
    17.4检测idt钩子
    17.5检测驱动程序的irp钩子
    17.6检测ssdt钩子
    17.6.1ssdt的角色
    17.6.2钩子和钩子检测
    17.7使用ssdt_ex自动研究
    17.8根据附加的内核线程搜索rootkit
    17.8.1使用线程在内核中隐藏
    17.8.2在内存转储中检测分离线程
    17.9识别系统范围的通知例程
    17.9.1找出检查的位置
    17.9.2使用notifyroutines插件
    17.10使用svscan定位恶意的服务进程
    17.10.1恶意软件如何滥用服务
    17.10.2scm的服务记录结构
    17.10.3枚举进程内存中的服务
    17.10.4blazgel木马的例子
    17.10.5使用volatility的svcscan插件
    17.11使用mutantscan扫描互斥体对象

    第18章内存取证:网络和注册表
    18.1探索套接字和连接对象
    18.1.1套接字和连接证据
    18.1.2套接字和连接对象
    18.2分析zeus留下的网络证据
    18.3检测企图隐藏tcp/ip的活动
    18.3.1扫描套接字和连接对象
    18.3.2其他项目
    18.4检测原始套接字和混杂模式的网络接口
    18.4.1混杂模式的套接字
    18.4.2检测混杂模式
    18.5注册表分析
    18.5.1使用内存注册表工具分析注册表证据
    18.5.2通过最后写入时间戳排序注册表项
    18.5.3使用volatility和reg-ripper
查看详情
其他版本 / 全部 (1)
系列丛书 / 更多
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
反入侵的艺术——黑客入侵背后的真实故事:世界头号黑客、历史上最令FBI头痛的计算机顽徒、现今全球广受欢迎的信息安全专家米特尼克分享他与小伙伴们的传奇故事
[美]米特尼克(Mitnick,K. D.)、[美]西蒙(Simon)、W. L. 著;袁月杨、谢衡 译;潘爱民 校
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
深入浅出密码学
[美]帕尔(Christof Pear)、[美]佩尔茨尔(Jan Pelzl) 著;马小婷 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
反欺骗的艺术:世界传奇黑客的经历分享
[美]米特尼克(Mitnick,K. D.) 著;潘爱民 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
安全技术经典译丛:CISSP官方学习指南(第7版)
唐俊飞 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
灰帽黑客·第4版:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术/安全技术经典译丛
[美]Daniel、Shon Harris 著;李枫 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
SQL注入攻击与防御(第2版)
[美]克拉克(Justin Clarke) 著;施宏斌、叶愫 译;赵然 绘
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
入侵的艺术
[美]米特尼克(Mitnick K.D.) 著;袁月杨、谢衡 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术
[美]哈珀、[美]哈里斯 著;程文俊 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
信息安全原理与实践(第2版):美国国家安全局密码分析专家最新作品,面向21世纪的信息安全专业指南
[美]斯坦普(Mark Stamp) 著;张戈 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
软件安全的24宗罪
[美]霍华德、[美]勒布朗、[美]维维 著;董艳、包战、程文俊 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
CISA认证学习指南(第4版) 注册信息系统审计师/安全技术经典译丛
[美]David L.Cannon、Brian T.O’Hara 著
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
信息安全完全参考手册(第2版)
[美]Mark Rhodes-Ousley 著;李洋、段洋、叶天斌 译
相关图书 / 更多
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意代码原理、技术与防范
奚琪
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意的兔子印签限量版原作系列累计销量突破70万册,厄运侦探叶村晶登场!
若竹七海(日)
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意代码演化与检测方法
韩伟杰 薛静锋 著
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意代码逆向分析基础详解
刘晓阳
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意诉讼行为及其法律规制研究
周良慧
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意
[日本]东野圭吾 编著
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意代码防范
刘功申、张月国、孟魁 编著
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意传播代码:Windows病毒防护
[美]Roger A.Grimes 著;张
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意软件分析与检测
王俊峰 著
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意网络环境下的Linux防御之道
凯尔·兰金(Kyle Rankin) 著;李枫 译
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意心理学
[日]冈本真一郎
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
恶意之山(精装)
[以]阿摩司·奥兹 著
您可能感兴趣 / 更多
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
宇宙视觉史:从宇宙大爆炸到时间的尽头
[美]查尔斯·刘 著;高爽 译者;[美]马克西姆· 马洛维奇科 绘;未读 出品
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
写出我心 普通人如何通过写作表达自己(平装本)
[美]娜塔莉·戈德堡(Natalie Goldberg)
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
写出我心3 写作疗愈的真正秘密
[美]娜塔莉·戈德堡(Natalie Goldberg)
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
神套路:为什么我们总被带节奏(狂热与网红时代醍醐灌顶之作,教给普通人安身立命的不二法门!)
[美]阿里·阿莫萨维 著;[哥伦比亚]亚历杭德罗·希拉尔多 绘
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
阿伦森自传
[美]埃利奥特·阿伦森(Elliot Aronson) 著;沈捷 译;湛庐文化 出品
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
街头官僚:公共服务中的个人困境
[美]迈克尔·李普斯基(Michael Lipsky)
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
史前至蒙古帝国时期的内欧亚大陆史
[美]大卫·克里斯蒂安 著;潘玲 译;杨建华 校
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
意大利文艺复兴新艺术史
[美]迈克尔·韦恩·科尔 著;[美]斯蒂芬·J·坎贝尔;邵亦杨
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
老人与海 彩图注音版 一二三四年级5-6-7-8-9岁小学生课外阅读经典 儿童文学无障碍有声伴读世界名著童话故事
[美]海明威
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
养育的觉醒:全面激发孩子自驱力,教你如何心平气和做妈妈
[美]凯文·莱曼 著;唐晓璐 译;斯坦威 出品
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
自律我也能做到(全9册)
[美]康妮·科维尔·米勒 著;[阿根廷]维多利亚·阿萨纳利 绘
恶意软件分析诀窍与工具箱:对抗“流氓”软件的技术与利器
你在等什么?
[美]斯科特·明钦 著;[中]易万 译;[美]马特 ·斐兰 绘