互联网的兴起，使黑客的危害越来越引起人们的重视，尤其是许多关键的应用都依赖网络实施的今天，网络安全成为广受关注的领域。本书以丰富的经验和实例的剖析，深入介绍了现有系统的弱点和所需要防御的层面。通过详尽的案例分析，各种安全威胁的介绍和防范方法，特别是针对现行防御体系的深入剖析，令读者在日常工作中注意到难以发现的盲点。本书揭示了恶意软件可能的藏身之地，以及寻找它们的方法的完全指南。
本书面向各行各业、政府机关、大专院校关注信息安全的从业人员，是信息系统安全专业人士的权威指南，也可作为信息安全相关专业的重要参考书。

“本书揭示了恶意软件可能的藏身之地，给出了寻找它们的方法。”
—Dan Kaminsky，IOActive公司渗透测试负责人

　　“本书为我们提供了令人惊叹的资源，它很及时地关注了我们所面临的最大网络威胁和防御。”
—Lance Spitzner，Honeynet项目总裁

　　抵御恶意软件和Rootkit不断掀起的攻击浪潮！本书用现实世界的案例研究揭示了当前的黑客们是如何使用工具渗透和劫持系统的，逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法，详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。

　　本书包括以下内容：
　　　● 理解恶意软件感染、生存以及在整个企业中传染的方法。
　　　●了解黑客使用存档文件、加密程序以及打包程序混淆代码的方法。
　　　●实施有效的入侵检测和预防程序。
　　　●防御击键记录、重定向、点击欺诈以及身份盗窃威胁。
　　　●检测、杀死和删除虚拟模式、用户模式和内核模式Rootkit。
　　　●预防恶意网站、仿冒、客户端和嵌入式代码攻击。
　　　●使用最新的防病毒、弹出窗口拦截程序和防火墙软件保护主机。
　　　●使用HIPS和NIPS识别和终止恶意进程。

内部威胁不再来自于“内部”
　　现在的每一次安全会议和研究都关注让企业安全管理员和家庭用户理解来自内部的威胁。内部威胁正在增长并且变得更加具有恶意性。内部攻击最大的3个类别是：窃取经济利益、IT蓄意破坏以及商业利益。安全专家认为用户是问题的起因，用户就是威胁。在技术上这么说是正确的，但是对于一个组织而言，实际的用户本身并不总是真正的威胁，真正的威胁是用户所拥有的角色或者访问权限。如果一位秘书具有的权限足以查看网络文件共享上的财务目录，那么感染她的机器的恶意软件也有同样的权限。
　　当今的恶意软件通过避开外部防护、在机器上执行程序，以及在内部用户账户中运行等手段，接管或者模拟内部角色，使恶意软件能够进行攻击、控制，并且和内部人员一样访问资源。所以在本书中，我们关注当今世界上的恶意软件的功能和所适用的技术。恶意软件是内部人员以及想要保持对这一内部角色控制权的攻击者。现在，我们关注对恶意软件威胁有效及无效的防护，最终也是对内部威胁防护的关注。不管你是家庭用户还是全球百强企业的安全团队成员，都必须要警惕。从个人和专业出发，对恶意软件保持警惕都会给你带来回报。别让你的机器成为恶意软件大军用于“借尸还魂”的又一个工具。
导航
　　本书中，每种攻击技术都用如下的方法突出显示：
　　这是一个攻击图标
　　这个图标使得特定的恶意软件类型和方法易于识别。对每种攻击都提出了实用、合适并且实际测试过的解决方案，每种方案都有自己特殊的图标。
　　 这是对策图标
　　了解修复问题和将攻击者拒之门外的方法。
　　 特别注意代码列表中加粗显示的用户输入。
　　 每种攻击都带有一个更新过的危险等级，这个等级的确定是根据作者的经验得出的3部分因素：
流行性 　对活动目标使用该攻击方法的频率，1表示使用最少，10表示使用最广泛
简单性 　执行该攻击所需要的技能，1表示需要熟练的安全编程人员，10表示只要很少甚至不需要技能
影响 　成功执行该种攻击可能产生的危害，1表示泄露目标的普通信息，10表示入侵超级用户账户或者等价的情况
危险等级 　前述的三个值平均后给出的总体危险等级
关于网站
　　因为恶意软件和Rootkit不断发布，你可以在本书的网站（http://www. malware hackingexposed.com）上找到最新的工具和技术。该网站包含了本书中提到的代码片段和工具，以及附录中讨论的一些从未发布的工具。我们将保留书中提到的所有工具的一份拷贝，你甚至可以在维护者停止编写这些工具之后下载。
致谢
　　感谢编辑Jane，她尽其所能地使本书顺利出版，尽管很多时候这看上去几乎不可能。还要感谢Savid Technologies的杰出团队，他们让我能抽出时间进行写作。
　　—Michael A. Davis
　　首先，感谢编辑Jane，她给了我们很多积极的反馈和建设性的批评。这是我出版的第一本书，没有她，很多时候我都不知道该怎么办。还要感谢我的年轻朋友Tj Egan，当我的写作遇到困难而需要减轻压力时，他在Forgotten Coast 游戏服务器（GO ALLIANCE）上帮助我杀怪兽。我也要感谢Zac Culbertson和Cowboy Caf幐宋乙桓鲈谛词槭蹦芙兴伎嫉牡胤健Ｃ挥斜雀ゼ嵫侵莸腁rlington更好的地方了，在那里可以在逃离华盛顿的混乱时吃、喝并且思考。
　　—Sean Bodmer
　　我希望表达对技术编辑Alex Eisen的感谢和赞赏，没有他，我就没有机会写这篇致谢。感谢Alex（直到下次合作）。我还要感谢编辑和合著者给了我这个机会，并且和我一起分担这段痛苦的创作历程。在我的母校密西西比州立大学，没有Ray Vaughn博士和其他卓越的教授的指导，也就没有我今天的成就。如果我没有提到社区中的安全研究者们在过去、现在和未来创造的价值，那是我的失职，他们充满激情的工作造就了这个行业，并且继续对网络安全边界做出新的定义。
　　—Aaron LeMasters

计算机\安全

“本书揭示了恶意软件可能的藏身之地，给出了寻找它们的方法。”
——Dan Kaminsky，IOActive公司渗透测试负责人


“本书为我们提供了令人惊叹的资源，它很及时，关注我们所面临的最大网络威胁和防御。”
——Lance Spitzner，Honeynet项目总裁
抵御恶意软件和Rootkit不断掀起的攻击浪潮！本书用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的，逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法，详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。
本书包括以下内容：
理解恶意软件感染、生存以及在整个企业中传染的方法。
了解黑客使用存档文件、加密程序以及打包程序混淆代码的方法。
实施有效的入侵检测和预防程序。
防御击键记录、重定向、点击欺诈以及身份盗窃威胁。
检测，杀死和删除虚拟模式、用户模式和内核模式Rootkit。
预防恶意网站、仿冒、客户端和嵌入式代码攻击。
使用最新的防病毒、弹出窗口拦截程序和防火墙软件保护主机。
使用HIPS和NIPS识别和终止恶意进程。

在我从事信息安全工作的将近15年中，恶意软件（malware）已经成为网络攻击者武器库中最有力的工具。从窥探财务记录和窃取击键到对等（peer-to-peer）网络和自动更新功能，恶意软件几乎成为所有成功攻击的关键部件。情况并非从来如此，我记得1998年刚开始从事信息安全工作时，我部署了自己的第一只蜜罐。这使我能够看到攻击者进入并且接管真实的计算机，由此我学到了关于他们的工具和技术的第一手资料。在那时候，攻击者通过人工扫描整个网络的各个部分来攻击，他们的目标是建立一个在互联网上能够访问到的IP地址列表。在花费数天的时间建立这个数据库之后，攻击者将会回来，在他们找到的每台电脑上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服务器或者开放的Windows文件共享。一旦发现这些漏洞，攻击者将利用该系统。刺探和利用的整个过程可能花费几个小时到几周，在每个阶段需要不同的工具。利用成功之后，攻击者将会上传更多的工具，每个工具都有各自的作用，并且通常人工运行。例如，一个工具能够清除日志；另一个工具则保护系统；别的工具则检索密码或者扫描其他脆弱的系统。你往往可以通过攻击者运行不同工具或者执行系统命令时犯错的数量来判断其水平。观察和学习攻击者，并且识别其身份和动机是令人愉快和感兴趣的，这时候你的感觉就像和闯入你的电脑的人有了私人关系一样。
　　现在，网络防御的形势已经有了根本的变化。过去，要攻击和危害一台计算机，每一步几乎都包含着人工交互。现在，几乎所有的攻击都是高度自动化的，使用最先进的工具和技术。过去，你可以看到威胁并从中学习，记录攻击者采取的每个步骤。现在，整个过程都是有预谋的，发生在几秒钟之内，没有任何可观察和学习的东西。从开始的刺探到泄密再到数据收集，攻击的每个步骤都预先封装到我们所看到的最先进的技术—恶意软件之中。病毒刚刚问世时，只不过是修改系统上的几个文件以及窃取一些文档，或者试图破解系统密码的简单工具。现在，恶意软件已经变得极其成熟，它们能够读取受害者的存储器，并且感染启动扇区、BIOS，此外还有基于内核的Rootkit。
　　更有趣的是，恶意软件利用僵尸网络（botnet）建立和维护对泄密系统的整个网络的控制能力。这些僵尸网络是网络犯罪分子控制下的有高度组织性的网络。网络犯罪分子使用这些网络来获取数据并且发送垃圾邮件，攻击其他网络或者部署仿冒站点。现代的恶意软件使这些僵尸网络成为可能。更糟糕的是，网络攻击者从全世界获得恶意软件，并且不断地创建和改进恶意软件。在我写这篇序的时候，全世界正在从一个有史以来最高级的恶意软件Conficker的攻击中恢复。数百万台电脑受到一群有组织的犯罪分子的侵害和控制。这次攻击非常成功，以至于整个政府组织（包括美国国防部）都禁止移动媒体的使用，以减缓攻击的蔓延。Conficker还引入了我们所见过的最高级的恶意软件功能，使用最新的加密技术来进行随机域名生成和自治点对点通信。不幸的是，这一威胁越来越严重。防病毒公司每天差不多要对付数千种新的恶意软件变种，这个数字还会不断增长。
　　我们所看到的恶意软件的最大改变不只是技术，还有这些技术背后的攻击者，以及他们开发恶意软件的动机。我原来所监控的大部分攻击者都可以归类为脚本小孩，即一些没有熟练技能，只能使用从别处拷贝的工具的孩子。他们为了娱乐或者给朋友们留下印象而进行攻击。还有一小部分人开发和使用自己的工具，但是动机往往是好奇心，以及对自己的工具或者侵害系统能力的测试，或者是为了出名。今天我们所面对的威胁与此大不相同，这些威胁正在变得更有组织，更有效率，也更致命。
　　今天，我们面对着有组织的犯罪分子，他们关注投资回报率（Return On Investment，ROI），拥有研究和开发团队，开发最有利可图的攻击。和任何具有利益中心的企业一样，这些犯罪分子关注效率和经济性，试图在全球范围获得尽可能多的利益。此外，这些犯罪分子已经发展了自己的恶意软件黑市。和其他经济体一样，你能找到一个完整的黑市，犯罪分子在这个黑市中进行交易并且销售最新的恶意软件工具，恶意软件已经成为一种服务。犯罪分子为客户开发定制的恶意软件或者将恶意软件作为服务进行租赁，服务包括支持、更新，甚至性能的约定。例如，犯罪分子可以开发定制的恶意软件，并且保证避开大部分防病毒软件，或者设计软件来利用未知的漏洞。
　　一些国家机构也在开发最新的网络战工具。这些机构具有几乎无限的预算，并且拥有世界上最先进的技能。它们所开发的恶意软件用来悄悄地渗透和侵入其他国家，并且尽可能地收集情报，就像我们在最近的美国政府网络攻击案中所看到的那样。使用恶意软件的国家级攻击还会扰乱其他国家的网络活动，例如，对一些国家的网络分布式拒绝服务攻击就是有组织并由恶意软件发起的。恶意软件已经成为今天所见的几乎所有攻击的共有因素。为了保护你的网络，你必须理解和防御恶意软件。
　　我很高兴看到Michael Davis牵头写作了这本关于Windows恶意软件的书籍。我无法想到更适合这一任务的人。从Mike加入Honeynet项目成为Windows的主要研究者开始，我认识他将近10年了。Mike开发了我们最强有力的数据捕捉工具sebek，这是一个高级的Windows内核工具。除此之外，Mike在McAfee公司的经历使他拥有了关于恶意软件和防病毒技术的丰富经验，他还有很多帮助提高世界各地客户安全的经验，并理解各种组织所面对的挑战。他也亲眼目睹了恶意软件成为目前各种组织所面临的最大威胁的过程。
　　本书为我们提供了令人惊叹的资源，它很及时，关注我们所面临的最大网络威胁和防御。我强烈推荐阅读本书。
Lance Spitzner, Honeynet项目总裁

（美）Michael A.Davis；Sean M. Bodmer；Aaron LeMasters 著：Michael A. Davis是Savid Technologies公司的CEO，该公司一家全国性的技术和安全性顾问公司。他曾经在McAfee公司担任全球威胁高级经理。他是Honeynet项目成员。 Sean M. Bodmer是Savid Corporation公司的政府项目主管。他是一位活跃的Honeynet研究人员，精于分析对恶意软件和攻击者的特征、模式和行为。Sean是Honeynet项目和 Hacker Profiling项目的参与者。 Aaron LeMasters是一位精通计算机取证、恶意软件分析和漏洞研究的安全性研究人员。他在保护不设防的国防部网络上投入了5年的时间，现在他是Raytheon SI的高级软件工程师。

姚军　等译：暂无简介

记得在20世纪90年代初刚刚接触计算机安全领域的时候，病毒的声浪甚嚣尘上，“黑客”对于我们来说还是个神秘的名词，从事计算机工作的年轻人既担心病毒对自己管理的系统进行侵袭，内心中又有一种渴望，希望可以深入地了解病毒和黑客的工作方式。
　　在看过一篇又一篇对病毒和黑客工作原理的剖析文章之后，各种防病毒工具铺天盖地而来，随着这些工具的日益成熟，病毒似乎不再是我们眼中的可怕角色。互联网的兴起，使我们对黑客的危害重新重视起来，尤其是在许多关键的应用都在网上实施的今天，但是很快又兴起了新的工具，尽管这期间有多次令世人瞩目的蠕虫/木马爆发事件，但是安全界成功的广告攻势，以及许多新的概念，包括入侵检测/入侵预防系统/安全网关等，又让我们重新觉得万事大吉。
　　我们拿到本书的英文版，还正是陶醉于天下太平的时候，尽管经常收到安全通告，但是在同行间的谈论中，更多的还是认为这些事故不过是安全人员的疏忽造成的，只要我们IT部门还在起作用，就不会有那么严重的事件发生。看完了本书的第一部分，与我们有同样想法的IT人员一定会有如芒刺在背，作者以丰富的经验和实例的剖析，让我们身临其境地看到了现有系统的弱点和所需要防御的层面之广，相信每个人在这个时候都不敢再对安全的态势有过多的乐观。
　　深入地阅读本书，越来越多引人入胜的内容呈现在我们的面前，详尽的案例分析、各种安全威胁的介绍和防范方法，特别是针对现行防御体系的深入剖析，都令我们获益匪浅，有些防范的方法简单易行，却是安全人员在日常工作中难以注意到的盲点。
　　完成了本书的翻译工作，我们长长地出了一口气。本书给了我们先于读者一步得到良好的安全知识培训的机会，同时我们也深切希望能够把原作的精彩部分完整地呈现给读者。
　　本书的翻译工作主要由姚军完成，徐锋、陈绍继、郑端、吴兰陟、施游、林起浪等人也为本书的翻译工作做出了贡献。由于译者时间和水平有限，翻译过程中可能存在不当之处，敬请广大读者朋友批评指正。
译者
2011年1月

对本书的赞誉
译者序
序言
前言
作者简介
技术编辑简介
第一部分　 恶意软件
第1章　 传染方法 5
1.1　这种安全设施可能确实有用 5
1.1.1　操作系统漏洞的减少 6
1.1.2　边界安全 7
1.2　为什么他们想要你的工作站 8
1.3　难以发现的意图 8
1.4　这是桩生意 9
1.5　重要的恶意软件传播技术 10
1.5.1　社会工程 10
1.5.2　文件执行 12
1.6　现代恶意软件的传播技术 14
1.6.1　StormWorm（恶意软件实例：trojan.peacomm） 15
1.6.2　变形（恶意软件实例：W32.Evol、W32.Simile） 16
1.6.3　混淆 18
1.6.4　动态域名服务（恶意软件实例：W32.Reatle.E@mm） 21
1.6.5　Fast　Flux（恶意软件实例：
trojan.peacomm) 21
1.7　恶意软件传播注入方向 23
1.7.1　电子邮件 23
1.7.2　恶意网站 25
1.7.3　网络仿冒 27
1.7.4　对等网络（P2P） 32
1.7.5　蠕虫 34
1.8　本书配套网站上的实例 36
1.9　小结 36
第2章　恶意软件功能 37
2.1　恶意软件安装后会做什么 37
2.1.1　弹出窗口 37
2.1.2　搜索引擎重定向 41
2.1.3　数据盗窃 47
2.1.4　单击欺诈 48
2.1.5　身份盗窃 49
2.1.6　击键记录 52
2.1.7　恶意软件的表现 55
2.2　识别安装的恶意软件 57
2.2.1　典型安装位置 58
2.2.2　在本地磁盘上安装 58
2.2.3　修改时间戳 59
2.2.4　感染进程 59
2.2.5　禁用服务 59
2.2.6　修改Windows注册表 60
2.3　小结 60
第二部分　Rootkit
第3章　用户模式Rootkit 64
3.1　维持访问权 64
3.2　隐身：掩盖存在 65
3.3　Rootkit的类型 66
3.4　时间轴 66
3.5　用户模式Rootkit 67
3.5.1　什么是用户模式Rootkit 68
3.5.2　后台技术 68
3.5.3　注入技术 71
3.5.4　钩子技术 80
3.5.5　用户模式Rootkit实例 81
3.6　小结 88
第4章　内核模式Rootkit 89
4.1　底层：x86体系结构基础 89
4.1.1　指令集体系结构和操作系统 90
4.1.2　保护层次 90
4.1.3　跨越层次 91
4.1.4　内核模式：数字化的西部蛮荒 92
4.2　目标：Windows内核组件 92
4.2.1　Win32子系统 93
4.2.2　这些API究竟是什么 94
4.2.3　守门人：NTDLL.DLL 94
4.2.4　委员会功能：Windows Executive（NTOSKRNL.EXE） 94
4.2.5　Windows内核（NTOSKRNL.EXE） 95
4.2.6　设备驱动程序 95
4.2.7　Windows硬件抽象层(HAL) 96
4.3　内核驱动程序概念 96
4.3.1　内核模式驱动程序体系结构 96
4.3.2　整体解剖：框架驱动程序 97
4.3.3　WDF、KMDF和UMDF 99
4.4　内核模式Rootkit 99
4.4.1　内核模式Rootkit简介 99
4.4.2　内核模式Rootkit所面对的挑战 100
4.4.3　装入 100
4.4.4　得以执行 101
4.4.5　与用户模式通信 101
4.4.6　保持隐蔽性和持续性 101
4.4.7　方法和技术 102
4.5　内核模式Rootkit实例 118
4.5.1　Clandestiny创建的Klog 118
4.5.2　Aphex创建的AFX 121
4.5.3　Jamie Butler、Peter Silberman
和C.H.A.O.S创建的FU和FUTo 123
4.5.4　Sherri Sparks和Jamie Butler创建的Shadow Walker 124
4.5.5　He4 Team创建的He4Hook 126
4.5.6　Honeynet项目创建的Sebek 129
4.6　小结 129
第5章　虚拟Rootkit 131
5.1　虚拟机技术概述 131
5.1.1　虚拟机类型 132
5.1.2　系统管理程序 132
5.1.3　虚拟化策略 134
5.1.4　虚拟内存管理 134
5.1.5　虚拟机隔离 135
5.2　虚拟机Rootkit技术 135
5.2.1　矩阵里的Rootkit：我们是怎么到这里的 135
5.2.2　什么是虚拟Rootkit 136
5.2.3　虚拟Rootkit的类型 136
5.2.4　检测虚拟环境 137
5.2.5　脱离虚拟环境 143
5.2.6　劫持系统管理程序 144
5.3　虚拟Rootkit实例 145
5.4　小结 150
第6章　Rootkit的未来：如果你现在认为情况严重 151
6.1　复杂性和隐蔽性的改进 151
6.2　定制的Rootkit 157
6.3　小结 157
第三部分　预防技术
第7章　防病毒 163
7.1　现在和以后：防病毒技术的革新 163
7.2　病毒全景 164
7.2.1　病毒的定义 164
7.2.2　分类 165
7.2.3　简单病毒 166
7.2.4　复杂病毒 168
7.3　防病毒—核心特性和技术 169
7.3.1　手工或者“按需”扫描 169
7.3.2　实时或者“访问时”扫描 170
7.3.3　基于特征码的检测 170
7.3.4　基于异常/启发式检测 171
7.4　对防病毒技术的作用的评论 172
7.4.1　防病毒技术擅长的方面 172
7.4.2　防病毒业界的领先者 173
7.4.3　防病毒的难题 175
7.5　防病毒曝光：你的防病毒产品是个Rootkit吗 180
7.5.1　在运行时修补系统服务 181
7.5.2　对用户模式隐藏线程 182
7.5.3　是一个缺陷吗 183
7.6　防病毒业界的未来 184
7.6.1　为生存而战斗 184
7.6.2　是行业的毁灭吗 185
7.6.3　可能替换防病毒的技术 186
7.7　小结和对策 187
第8章　主机保护系统 189
8.1　个人防火墙功能 189
8.1.1　McAfee 190
8.1.2　Symantec 191
8.1.3　Checkpoint 192
8.1.4　个人防火墙的局限性 193
8.2　弹出窗口拦截程序 195
8.2.1　Internet　Explorer 195
8.2.2　Firefox 195
8.2.3　Opera 196
8.2.4　Safari 196
8.2.5　Chrome 196
8.2.6　一般的弹出式窗口拦截程序代码实例 198
8.3　小结 201
第9章　基于主机的入侵预防 202
9.1　HIPS体系结构 202
9.2　超过入侵检测的增长 204
9.3　行为与特征码 205
9.3.1　基于行为的系统 206
9.3.2　基于特征码的系统 206
9.4　反检测躲避技术 207
9.5　如何检测意图 210
9.6　HIPS和安全的未来 211
9.7　小结 212
第10章　Rootkit检测 213
10.1　Rootkit作者的悖论 213
10.2　Rootkit检测简史 214
10.3　检测方法详解 216
10.3.1　系统服务描述符表钩子 216
10.3.2　IRP钩子 217
10.3.3　嵌入钩子 217
10.3.4　中断描述符表钩子 218
10.3.5　直接内核对象操纵 218
10.3.6　IAT钩子 218
10.4　Windows防Rootkit特性 218
10.5　基于软件的Rootkit检测 219
10.5.1　实时检测与脱机检测 220
10.5.2　System Virginity Verifier 220
10.5.3　IceSword和DarkSpy 221
10.5.4　RootkitRevealer 223
10.5.5　F-Secure的Blacklight 223
10.5.6　Rootkit Unhooker 225
10.5.7　GMER 226
10.5.8　Helios和Helios Lite 227
10.5.9　McAfee Rootkit Detective 230
10.5.10　商业Rootkit检测工具 230
10.5.11　使用内存分析的脱机检测：内存取证的革新 231
10.6　虚拟Rootkit检测 237
10.7　基于硬件的Rootkit检测 238
10.8　小结 239
第11章　常规安全实践 240
11.1　最终用户教育 240
11.2　纵深防御 242
11.3　系统加固 243
11.4　自动更新 243
11.5　虚拟化 244
11.6　固有的安全（从一开始） 245
11.7　小结 245
附录A　系统安全分析：建立你自己的Rootkit检测程序 246