该书是第一本关于rootkit的详尽指南，包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。世界顶级软件安全专家、创始人GregHoglund和JamesButler向大家详来自细介绍攻击者是如何进入系统并长期驻留而不会被检测到的

• 中文名称 Rootkits--Windows内核的安全防护
• 定价 39 元
• 印次 1-2
• 装帧 平装

基本信息

　　ISBN:9787302146520

　　定价:39元

　　印次:1阿和安-2

　　装帧:平装

　　印刷日期:2007-9来自-30

图书简介

　　以及黑谓据差压际领同破冲穿界客是如何摧毁Wind360百科owsXP和Windows2000内核系统的，其概念可以应用于现代任何主流操作系统。通过本书，读者可以全面掌握rootkit，提升自己千抗酒全营沙到级担的安全防范能力。

书籍目录

　　目录

　　第1章销声匿迹 1

　　1.1攻击者的动机 1

　　1.1.1潜行的角色 2

　　1.1.2不需潜行的情况 3

　　1.2rootk不it的定义 3

　　1.3rootkit存在的原因 4

　　1.3.1远程命令和控制 4

　　1.3.2软件来自窃听 5

　　1.3.3rootkit的合法使用 5

　　1.4rootkit的存在历史 6

　　1.5rootkit的工作方式 7

　　1.5.1打补丁 7

　　1.5.2复活节彩蛋 7

　　1.5.3间谍件修改 7

　　1.5.4源代码修改 8

　　1.5.5软件修改的合法性 8

　　1.6rootkit与其他技术的区别 9

　　1.6.1rootkit不是软件利用工具 9

　　1.6.2rootkit不是病毒 10

　　料入最么范物青取轴扩1.7rootkit与软件利用工具 11

　　1.8攻击型rootkit技术 14

　　1.8述己门充误高.1HIPS 14

　　1.8.2NIDS 15

　　1.8.3绕过IDS/IPS 15

　　1.8.4绕过取证分析工具 16

　　1.9小结 17

　　第2章破坏内核 19

　　2.1重要的内核组件 20

　　2.2rootkit的结构设计 20

　　2.3在内核中引入代码 23

　　2.4构建Window360百科s设备驱动程序 24

　　2.4.1设备驱动程序开发工具包 24

　　2.4.2构建环境 24

　　2.4.3文件 25

天济转德功关越从　　2.5加载和卸载知驱??绦?28

　　2.6对调试语句进行日志记录 28

　　2.7融合rootkit:用户和内核模式的融合 29

　　2.7.1I/O请求报文 30

　　2.7.2创建文件句柄 33

　　2.7.3添加符号链随叫游牛理接 35

　　2.8加载rootkit 36

　　2.8.1草率方式 36

　　2.8.2正确方式 38

　　2.9从资源能四担兵数天少硫中解压缩.sys文件 40

损六笔　　2.10系统厚重启后的考验 42

　　2.11小结 43

　　第3章硬件相关问题 限房由试45

　　3.1环0级 46

　　3.2CPU表和系统表 47

沉开米万收哪压奏抗　　3.3内存页 48

　　3.3.1内存访问检查 49

　　3.3.2分页和地址转换 50

　　3.3.3页表查询 51

　　3.3.4页目录项 52

　　3.3.5页表项 53

　　3.3.6重要表的只读差景电高通构全章马村官访问 53

　　3.3.7多个进程使用多个页目录 54

　　3.3.8进程和线程 54

担司虽总各零执凯班　　3.4内存描述符表 言互今配必采前针55

　　3.4.1全局描述符表 55

　　3.4.2本地描述符表 56

　　3.4.3代码段 56

　　3.4.4调用门 56

　　3.5中断描述符表 56

　　3.6系统服务调度表 60

　　3.7控制寄存器 60

　　3.7.1控制寄存器0 60

　　3.7.2其他控制寄存器 61

　　3.7.3EFlags寄存器 61

　　3.8多处理器系统 61

　　3.9小结 63

　　第4章古老的钩子艺术 65

　　4.1用户空间钩误六进命贵怕底你怎子 65

　　4.1.1导入地址表么钩子 67

　　4.1.2内联函数钩子 68

　　4.1.3将DLL注入到用户空间进程中 70

　　4.2内核钩费袁握市局少子 74

　　4.2.1钩住系统服务描述符表 75

　　4.2.2修改SSDT内存保护机制 76

　　4.2.3钩住SSDT 79

　　4.3混合式钩子方法 99

谈款谈油苗苏准甚教　　4.3.1进入进程的地址空间 99

　　4.3.2钩子的内存空间 103

　　4.4小结 105

　　第5章运行时补丁 107

　　5.1detour补丁 108

　　5.1.1用MigBot重定控制流程路径 109

　　5.1.2检查函数字节 110

　　5.1.3记录被重写的指令 112

　　5.1.4使用NonPagedPool内存 114

　　5.1.5运行时地址修正 115

　　5.2跳转模板 119

　　5.3补丁方法的变型 126

　　5.4小结 127

　　第6章分层驱动程序 129

　　6.1键盘嗅探器 130

　　6.2剖析KLOGrootkit 134

　　6.3文件过滤器驱动程序 146

　　6.4小结 161

　　第7章直接内核对象操作 163

　　7.1DKOM的优缺点 163

　　7.2确定操作系统的版本 165

　　7.2.1用户模式的自确定 165

　　7.2.2内核模式的自确定 167

　　7.2.3在注册表中查询操作系统版本 167

　　7.3用户空间与设备驱动程序的通信 169

　　7.4DKOM隐藏技术 173

　　7.4.1隐藏进程 173

　　7.4.2隐藏设备驱动程序 179

　　7.4.3同步问题 183

　　7.5使用DKOM提升令牌权限和组 187

　　7.5.1修改进程令牌 187

　　7.5.2伪造WindowsEventViewer 201

　　7.6小结 203

　　第8章操纵硬件 205

　　8.1为何使用硬件 206

　　8.2修改固件 207

　　8.3访问硬件 208

　　8.3.1硬件地址 208

　　8.3.2访问硬件与访问RAM的区别 209

　　8.3.3定时问题 210

　　8.3.4I/O总线 210

　　8.3.5访问BIOS 212

　　8.3.6访问PCI和PCMCIA设备 213

　　8.4访问键盘控制器示例 213

　　8.4.18259键盘控制器 213

　　8.4.2修改LED指示器 214

　　8.4.3强制重启 220

　　8.4.4击键监视器 220

　　8.5微码更新 227

　　8.6小结 228

　　第9章隐秘通道 229

　　9.1远程命令、控制和数据窃取 230

　　9.2伪装TCP/IP协议 231

　　9.2.1注意通信量模式 231

　　9.2.2不以明文发送数据 232

　　9.2.3充分利用时间因素 232

　　9.2.4隐藏在DNS请求中 233

　　9.2.5对ASCII编码有效负载进行隐写操作 233

　　9.2.6使用其他TCP/IP通道 234

　　9.3TCP/IP内核中支持rootkit的TDI接口 235

　　9.3.1构建地址结构 235

　　9.3.2创建本地地址对象 237

　　9.3.3根据上下文创建TDI端点 240

　　9.3.4将端点与本地地址进行关联 243

　　9.3.5连接到远程服务器(发送TCP握手消息) 245

　　9.3.6将数据发送到远程服务器 247

　　9.4原始网络操作 250

　　9.4.1在WindowsXP上实现原始套接字 250

　　9.4.2绑定到接口 251

　　9.4.3使用原始套接字进行嗅探 252

　　9.4.4使用原始套接字进行杂乱嗅探 253

　　9.4.5使用原始套接字发送报文 254

　　9.4.6伪造源信息 254

　　9.4.7弹回报文 254

　　9.5TCP/IP内核中支持rootkit的NDIS接口 255

　　9.5.1注册协议 255

　　9.5.2协议驱动程序回调函数 260

　　9.5.3移动完整报文 266

　　9.6主机仿真 273

　　9.6.1创建MAC地址 273

　　9.6.2处理ARP协议 273

　　9.6.3IP网关 276

　　9.6.4发送报文 276

　　9.7小结 280

　　第10章rootkit检测 281

　　10.1检测rootkit的存在 281

　　10.1.1守护门口 282

　　10.1.2扫描"空间" 284

　　10.1.3查找钩子 284

　　10.2检测rootkit的行为 293

　　10.2.1检测隐藏的文件和注册表键 294

　　10.2.2检测隐藏的进程 294

　　10.3小结 297