惡意軟件分析訣竅與工具箱是一本惡意軟件分析及防御指導(dǎo)學(xué)習(xí)書籍,由世界排名第10的黑客Kevin D.Mitnick和惡意代碼分析專家Michael Hale Ligh共同編著,本書是兩人一生積累的豐富技能和經(jīng)驗(yàn)匯集成的一本書,通過入侵案例和對(duì)策的形式,對(duì)每個(gè)故事中黑客的入侵行為進(jìn)行了專業(yè)、深入地分析,并提供各種應(yīng)對(duì)和防御措施,另外包含了有用的代碼、巧妙的方法以及其他實(shí)用的信息,值得每一位對(duì)安全感興趣的IT從業(yè)人員研讀。
學(xué)習(xí)如何在不暴露身份的前提下進(jìn)行在線調(diào)查
使用蜜罐收集由僵尸和蠕蟲分布的惡意軟件
分析javascript、pdf文件以及office文檔中的可疑內(nèi)容
使用虛擬或基礎(chǔ)硬件建立一個(gè)低預(yù)算的惡意軟件實(shí)驗(yàn)室
通用編碼和加密算法的逆向工程
建立惡意軟件分析的高級(jí)內(nèi)存取證平臺(tái)
研究主流的威脅,如zeus、silent banker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
2、如果打不開本文件,請(qǐng)務(wù)必下載pdf閱讀器
3、安裝后,在打開解壓得出的pdf文件
4、雙擊進(jìn)行閱讀
收起介紹展開介紹
內(nèi)容介紹
針對(duì)多種常見威脅的強(qiáng)大而循序漸進(jìn)的解決方案。我們將《惡意軟件分析訣竅與工具箱:對(duì)抗“流氓”軟件的技術(shù)與利器》稱為工具箱,是因?yàn)槊總€(gè)訣竅都給出了解決某個(gè)特定問題或研究某個(gè)給定威脅的原理和詳細(xì)的步驟。在配書光盤中提供了補(bǔ)充資源,您可以找到相關(guān)的支持文件和原始程序。您將學(xué)習(xí)如何使用這些工具分析惡意軟件,有些工具是作者自己開發(fā)的,另外數(shù)百個(gè)工具則是可以公開下載的。如果您的工作涉及緊急事件響應(yīng)、計(jì)算機(jī)取證、系統(tǒng)安全或者反病毒研究,那么《惡意軟件分析訣竅與工具箱:對(duì)抗“流氓”軟件的技術(shù)與利器》將會(huì)為您提供極大的幫助。學(xué)習(xí)如何在不暴露身份的前提下進(jìn)行在線調(diào)查
使用蜜罐收集由僵尸和蠕蟲分布的惡意軟件
分析javascript、pdf文件以及office文檔中的可疑內(nèi)容
使用虛擬或基礎(chǔ)硬件建立一個(gè)低預(yù)算的惡意軟件實(shí)驗(yàn)室
通用編碼和加密算法的逆向工程
建立惡意軟件分析的高級(jí)內(nèi)存取證平臺(tái)
研究主流的威脅,如zeus、silent banker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等
惡意軟件分析訣竅與工具箱章節(jié)目錄
第1章 行為隱匿 1.1 洋蔥路由器(tor) 1.2 使用tor研究惡意軟件 1.3 tor缺陷 1.3.1 速度 1.3.2 不可信賴的tor操作員 1.3.3 tor阻止列表 1.4 代理服務(wù)器和協(xié)議 1.4.1 超文本傳輸協(xié)議(http) 1.4.2 socks4 1.4.3 socks5 1.5 基于web的匿名代理 1.6 保持匿名的替代方法 1.6.1 蜂窩internet連接 1.6.2 虛擬專用網(wǎng) 1.7 唯一且匿名 第2章 蜜罐 2.1 nepenthes蜜罐 2.1.1 利用nepenthes收集惡意軟件樣本 2.1.2 使用irc日志進(jìn)行實(shí)時(shí)攻擊監(jiān)視 2.1.3 使用基于python的 http接收nepenthes提交的文件 2.2 使用dionaea蜜罐 2.2.1 使用dionaea收集惡意軟件樣本 2.2.2 使用基于python的http接收dionaea提交的文件 2.2.3 實(shí)時(shí)事件通告以及使用xmpp共享二進(jìn)制文件 2.2.4 分析重放dionea記錄的攻擊 2.2.5 使用p0f工具被動(dòng)識(shí)別遠(yuǎn)程主機(jī)操作系統(tǒng) 2.2.6 使用sqlite 和gnuplot繪制dionaea記錄的攻擊模式圖 第3章 惡意軟件分類 3.1 使用clamav分類 3.1.1 檢查現(xiàn)有clamav特征碼 3.1.2 創(chuàng)建自定義clamav特征碼數(shù)據(jù)庫(kù) 3.2 使用yara分類 3.2.1 將clamav特征碼轉(zhuǎn)換到y(tǒng)ara格式特征碼 3.2.2 使用yara和peid識(shí)別加殼文件 3.2.3 使用yara檢測(cè)惡意軟件的能力 3.3 工具集成 3.3.1 使用python識(shí)別文件類型及哈希算法 3.3.2 編寫python多殺毒掃描軟件 3.3.3 python中檢測(cè)惡意pe文件 3.3.4 使用ssdeep查找相似惡意軟件 3.3.5 使用ssdeep檢測(cè)自修改代碼 3.3.6 使用ida和bindiff檢測(cè)自修改代碼 第4章 沙箱和多殺毒掃描軟件 4.1 公用殺毒掃描軟件 4.1.1 使用virus total掃描文件 4.1.2 使用jotti掃描文件 4.1.3 使用novirusthanks掃描文件 4.1.4 啟用數(shù)據(jù)庫(kù)的python多殺毒上傳程序 4.2 多殺毒掃描軟件的比較 4.3 公用沙箱分析 4.3.1 使用threatexpert分析惡意軟件 4.3.2 使用cwsandbox分析惡意軟件 4.3.3 使用anubis分析惡意軟件 4.3.4 編寫joebox autoit腳本 4.3.5 使用joebox應(yīng)對(duì)路徑依賴型惡意軟件 4.3.6 使用joebox應(yīng)對(duì)進(jìn)程依賴型動(dòng)態(tài)鏈接庫(kù) 4.3.7 使用joebox設(shè)置主動(dòng)型http代理 4.3.8 使用沙箱結(jié)果掃描項(xiàng)目 第5章 域名與ip地址 5.1 研究可疑域名 5.1.1 利用whois研究域 5.1.2 解析dns主機(jī)名 5.2 研究ip地址 5.3 使用被動(dòng)dns和其他工具進(jìn)行研究 5.3.1 使用bfk查詢被動(dòng)dns 5.3.2 使用robtex檢查dns記錄 5.3.3 使用domaintools執(zhí)行反向ip搜索 5.3.4 使用dig啟動(dòng)區(qū)域傳送 5.3.5 使用dnsmap暴力攻擊子域 5.3.6 通過shadowserver將ip地址映射到asn 5.3.7 使用rbl檢查ip信譽(yù) 5.4 fast flux域名 5.4.1 使用被動(dòng)dns和ttl檢測(cè)fast flux網(wǎng)絡(luò) 5.4.2 跟蹤fast flux域名 5.5 ip地址地理映射 第6章 文檔、shellcode和url 6.1 分析javascript 6.1.1 使用spidermonkey分析javascript 6.1.2 使用jsunpack自動(dòng)解碼javascript 6.1.3 優(yōu)化jsunpack-n的解碼速度和完整性 6.1.4 通過模擬瀏覽器dom元素觸發(fā)漏洞利用 6.2 分析pdf文檔 6.2.1 使用pdf.py從pdf文件中提取javascript 6.2.2 偽造pdf軟件版本觸發(fā)漏洞利用 6.2.3 利用didier stevens的pdf工具集 6.2.4 確定利用pdf文件中的哪些漏洞 6.2.5 使用distorm反匯編shellcode 6.2.6 使用iibemu模擬shellcode 6.3 分析惡意office文檔 6.3.1 使用officemalscanner分析microsoft office文件 6.3.2 使用disview和malhost-setup調(diào)試office shellcode 6.4 分析網(wǎng)絡(luò)流量 6.4.1 使用jsunpack從報(bào)文捕獲文件中提取http文件 6.4.2 使用jsunpack繪制url關(guān)系圖 第7章 惡意軟件實(shí)驗(yàn)室 7.1 網(wǎng)絡(luò)互聯(lián) 7.1.1 實(shí)驗(yàn)室中tcp/ip路由連接 7.1.2 捕獲、分析網(wǎng)絡(luò)流量 7.1.3 使用inetsim模擬internet 7.1.4 使用burp套件操作http/https 7.2 物理目標(biāo)機(jī) 7.2.1 使用joe stewart開發(fā)的truman 7.2.2 使用deep freeze保護(hù)物理系統(tǒng) 7.2.3 使用fog克隆和映像磁盤 7.2.4 使用mysql數(shù)據(jù)庫(kù)自動(dòng)調(diào)度f(wàn)og任務(wù) 第8章 自動(dòng)化操作 8.1 惡意軟件分析周期 8.2 使用python實(shí)現(xiàn)自動(dòng)化操作 8.2.1 使用virtualbox執(zhí)行自動(dòng)化惡意軟件分析 8.2.2 分析virtualbox磁盤以及內(nèi)存映像 8.2.3 使用vmware執(zhí)行自動(dòng)化惡意軟件分析 8.3 添加分析模塊 8.3.1 在python中使用tshark捕獲報(bào)文 8.3.2 在python中使用inetsim收集網(wǎng)絡(luò)日志 8.3.3 使用volatility分析內(nèi)存轉(zhuǎn)儲(chǔ) 8.3.4 組合所有的沙箱塊 8.4 雜項(xiàng)系統(tǒng) 8.4.1 使用zerowine和qemu執(zhí)行自動(dòng)化分析 8.4.2 使用sandboxie和buster執(zhí)行自動(dòng)化分析 第9章 動(dòng)態(tài)分析 9.1 變化檢測(cè) 9.1.1 使用process monitor記錄api調(diào)用 9.1.2 使用regshot進(jìn)行變化檢測(cè) 9.1.3 接收文件系統(tǒng)變化通知 9.1.4 接收注冊(cè)表變化通知 9.1.5 句柄表的差異比較 9.1.6 使用handlediff研究代碼注入 9.1.7 觀察bankpatch.c禁用windows文件保護(hù)的活動(dòng) 9.2 api監(jiān)視/鉤子 9.2.1 使用microsoft detours構(gòu)建api監(jiān)視器 9.2.2 使用api監(jiān)視器追蹤子進(jìn)程 9.2.3 捕獲進(jìn)程、線程和映像加載事件 9.3 數(shù)據(jù)保護(hù) 9.3.1 阻止進(jìn)程終止 9.3.2 阻止惡意軟件刪除文件 9.3.3 阻止加載驅(qū)動(dòng)程序 9.3.4 使用數(shù)據(jù)保護(hù)模塊 9.3.5 使用reactos創(chuàng)建定制命令shell 第10章 惡意軟件取證 10.1 the sleuth kit(tsk) 10.1.1 使用tsk發(fā)現(xiàn)備用數(shù)據(jù)流 10.1.2 使用tsk檢測(cè)隱藏文件和目錄 10.1.3 使用microsoft脫機(jī)api查找隱藏注冊(cè)表數(shù)據(jù) 10.2 取證/事件響應(yīng)混合 10.2.1 繞開poison ivy鎖定的文件 10.2.2 繞開conficker文件系統(tǒng)的acl限制 10.2.3 使用gmer掃描rootkit 10.2.4 通過檢查ie的dom檢測(cè)html注入 10.3 注冊(cè)表分析 10.3.1 使用regripper插件對(duì)注冊(cè)表取證 10.3.2 檢測(cè)惡意安裝的pki證書 10.3.3 檢查泄露數(shù)據(jù)到注冊(cè)表的惡意軟件 第11章 調(diào)試惡意軟件 11.1 使用調(diào)試器 11.1.1 打開和附加到進(jìn)程 11.1.2 為shellcode分析配置jit調(diào)試器 11.1.3 熟悉調(diào)試器的圖形用戶界面 11.1.4 檢查進(jìn)程內(nèi)存和資源 11.1.5 控制程序執(zhí)行 11.1.6 設(shè)置和捕獲斷點(diǎn) 11.1.7 使用有條件的日志記錄斷點(diǎn) 11.2 immunity debugger的python api接口 11.2.1 使用python腳本和pycommand調(diào)試 11.2.2 在二進(jìn)制文件中檢測(cè)shellcode 11.2.3 調(diào)查silentbanker木馬的api鉤子 11.3 winappdbg python調(diào)試器 11.3.1 使用winappdbg工具操作進(jìn)程內(nèi)存 11.3.2 使用winappdbg工具設(shè)計(jì)一個(gè)python api監(jiān)視器 第12章 反混淆 12.1 解碼常見算法 12.1.1 python中的逆向xor算法 12.1.2 使用yaratize檢測(cè)xor編碼的數(shù)據(jù) 12.1.3 使用特殊字母解碼base64 12.2 解密 12.2.1 從捕獲的數(shù)據(jù)包中隔離加密數(shù)據(jù) 12.2.2 使用snd反向工具、findcrypt和kanal搜索加密機(jī)制 12.2.3 使用zynamics bindiff移植open ssl的符號(hào) 12.2.4 在python中使用pycrypto解密數(shù)據(jù) 12.3 惡意軟件脫殼 12.3.1 查找加殼惡意軟件的oep 12.3.2 使用lordpe轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存 12.3.3 使用imprec重建導(dǎo)入表 12.4 與脫殼有關(guān)的資源 12.5 調(diào)試器腳本 12.5.1 破解域名生成算法 12.5.2 使用x86emu和python解碼字符串 第13章 處理dll 13.1 枚舉dll的導(dǎo)出函數(shù) 13.1.1 cff explorer 13.1.2 pefile 13.1.3 ida pro 13.1.4 常見和不常見的導(dǎo)出名 13.2 使用rundll32.exe執(zhí)行dll 13.3 繞過宿主進(jìn)程的限制 13.4 使用rundll32ex遠(yuǎn)程調(diào)用dll導(dǎo)出函數(shù) 13.4.1 創(chuàng)建新工具的原因 13.4.2 使用rundll32ex 13.5 使用loaddll.exe調(diào)試dll 13.5.1 將dll加載到調(diào)試器中 13.5.2 找到dll的入口點(diǎn) 13.6 捕獲dll入口點(diǎn)處的斷點(diǎn) 13.7 執(zhí)行作為windows服務(wù)的dll 13.7.1 服務(wù)dll的入口點(diǎn) 13.7.2 服務(wù)初始化 13.7.3 安裝服務(wù)dll 13.7.4 傳遞參數(shù)給服務(wù) 13.8 將dll轉(zhuǎn)換成獨(dú)立的可執(zhí)行文件 第14章 內(nèi)核調(diào)試 14.1 遠(yuǎn)程內(nèi)核調(diào)試 14.2 本地內(nèi)核調(diào)試 14.3 軟件需求 14.3.1 使用livekd進(jìn)行本地調(diào)試 14.3.2 啟用內(nèi)核調(diào)試啟動(dòng)開關(guān) 14.3.3 調(diào)試vmware工作站客戶機(jī)(在windows系統(tǒng)中) 14.3.4 調(diào)試parallels客戶機(jī)(在mac os x上) 14.3.5 windbg命令和控制簡(jiǎn)介 14.3.6 探索進(jìn)程和進(jìn)程上下文 14.3.7 探索內(nèi)核內(nèi)存 14.3.8 在驅(qū)動(dòng)程序加載時(shí)捕捉斷點(diǎn) 14.3.9 脫殼驅(qū)動(dòng)程序 14.3.10 轉(zhuǎn)儲(chǔ)和重建驅(qū)動(dòng)程序 14.3.11 使用windbg腳本檢測(cè)rootkit 14.3.12 使用ida pro進(jìn)行內(nèi)核調(diào)試 第15章 使用volatility進(jìn)行內(nèi)存取證 15.1 內(nèi)存獲取 15.1.1 使用moonsols windows內(nèi)存工具箱轉(zhuǎn)儲(chǔ)內(nèi)存 15.1.2 使用f-response獲取遠(yuǎn)程、只讀內(nèi)存 15.1.3 訪問虛擬機(jī)的內(nèi)存文件 15.2 準(zhǔn)備安裝volatility 15.2.1 volatility概覽 15.2.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中研究進(jìn)程 15.2.3 使用psscan檢測(cè)dkom攻擊 15.2.4 研究csrss.exe的備用進(jìn)程列表 15.2.5 識(shí)別進(jìn)程上下文的技巧 第16章 內(nèi)存取證:代碼注入與提取 16.1 深入研究dll 16.1.1 搜尋已加載的可疑dll 16.1.2 使用ldr_modules檢測(cè)未鏈接的dll 16.2 代碼注入和vad 16.2.1 研究vad 16.2.2 轉(zhuǎn)換頁(yè)面保護(hù) 16.2.3 在進(jìn)程內(nèi)存中搜索證據(jù) 16.2.4 使用malfind和yara識(shí)別注入代碼 16.3 重建二進(jìn)制文件 16.3.1 從內(nèi)存中重建可執(zhí)行文件的映像 16.3.2 使用impscan掃描導(dǎo)入函數(shù) 16.3.3 轉(zhuǎn)儲(chǔ)可疑的內(nèi)核模塊 第17章 內(nèi)存取證:rootkit 17.1 檢測(cè)iat鉤子 17.2 檢測(cè)eat鉤子 17.3 檢測(cè)內(nèi)聯(lián)api鉤子 17.4 檢測(cè)idt鉤子 17.5 檢測(cè)驅(qū)動(dòng)程序的irp鉤子 17.6 檢測(cè)ssdt鉤子 17.6.1 ssdt的角色 17.6.2 鉤子和鉤子檢測(cè) 17.7 使用ssdt_ex自動(dòng)研究 17.8 根據(jù)附加的內(nèi)核線程搜索rootkit 17.8.1 使用線程在內(nèi)核中隱藏 17.8.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中檢測(cè)分離線程 17.9 識(shí)別系統(tǒng)范圍的通知例程 17.9.1 找出檢查的位置 17.9.2 使用notifyroutines插件 17.10 使用svscan定位惡意的服務(wù)進(jìn)程 17.10.1 惡意軟件如何濫用服務(wù) 17.10.2 scm的服務(wù)記錄結(jié)構(gòu) 17.10.3 枚舉進(jìn)程內(nèi)存中的服務(wù) 17.10.4 blazgel木馬的例子 17.10.5 使用volatility的svcscan插件 17.11 使用mutantscan掃描互斥體對(duì)象 第18章 內(nèi)存取證:網(wǎng)絡(luò)和注冊(cè)表 18.1 探索套接字和連接對(duì)象 18.1.1 套接字和連接證據(jù) 18.1.2 套接字和連接對(duì)象 18.2 分析zeus留下的網(wǎng)絡(luò)證據(jù) 18.3 檢測(cè)企圖隱藏tcp/ip的活動(dòng) 18.3.1 掃描套接字和連接對(duì)象 18.3.2 其他項(xiàng)目 18.4 檢測(cè)原始套接字和混雜模式的網(wǎng)絡(luò)接口 18.4.1 混雜模式的套接字 18.4.2 檢測(cè)混雜模式 18.5 注冊(cè)表分析 18.5.1 使用內(nèi)存注冊(cè)表工具分析注冊(cè)表證據(jù) 18.5.2 通過最后寫入時(shí)間戳排序注冊(cè)表項(xiàng) 18.5.3 使用volatility和reg-ripper
使用說明
1、下載并解壓,得出pdf文件2、如果打不開本文件,請(qǐng)務(wù)必下載pdf閱讀器
3、安裝后,在打開解壓得出的pdf文件
4、雙擊進(jìn)行閱讀
- 下載地址
發(fā)表評(píng)論
0條評(píng)論軟件排行榜
熱門推薦
- 有柿電腦版 v11.5.684.06M / 簡(jiǎn)體中文
- 得間免費(fèi)小說電腦版 v5.2.7.172.56M / 簡(jiǎn)體中文
- 瀟湘書院電腦版 v2.3.11.888官方版49.65M / 簡(jiǎn)體中文
- 數(shù)據(jù)挖掘?qū)д?官方版61.61M / 簡(jiǎn)體中文
- 京東讀書電腦版 v1.13.4官方版1.98M / 簡(jiǎn)體中文
- cnki全球?qū)W術(shù)快報(bào)電腦版 v0.2.3495.79M / 簡(jiǎn)體中文
- PHP語(yǔ)言精粹電子書 pdf掃描版25.72M / 簡(jiǎn)體中文
- 本草綱目 5.34M / 簡(jiǎn)體中文
- docker入門實(shí)戰(zhàn) pdf完整版1.38M / 簡(jiǎn)體中文
- Scala程序設(shè)計(jì)第二版 pdf高清完整版15.83M / 簡(jiǎn)體中文