本书用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的，逐步深入的对策提供了经过证明的预防技术。本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法，详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。

·作者简介·

克里斯托弗 C.埃里森(Christopher C. Elisan)是一位经验丰富的逆向工程专家，目前是RSA的首席恶意软件科学家。他经常在全球各地的各种安全会议上发表演讲，为前沿行业和主流出版物提供专业意见。
迈克尔·戴维斯(Michael Davis)是CouterTack的首席技术官。他被《BusinessWeek》评为“25位25岁以下杰出人物”之一，曾晋级安永“年度企业家奖”的半决赛。
肖恩· 伯德莫(Sean Bodmer)拥有CISSP和CEH认证，是CounterTack的防利用情报部首席研究员。他还是《Reverse Deception:Organized Cyber Threat Counter-Exploitation》的合著者。
阿伦·勒马斯特斯(Aaron LeMasters)目前是CrowdStrike的高级安全研究员，之前曾在Mandiant、Raytheon SI和美国国防部担任各种研究职务。他精通Windows操作系统的内部结构。

这本全面更新的指南提供了经过验证的防御策略，运用它们可以挫败蓄意的网络攻击，大大改善组织的安全态势。本书完整地解释了黑客的最新手法以及可供部署的对策，研究如何拦截弹出窗口和钓鱼利用攻击，终结嵌入代码，识别和消除Rootkit。你还将看到有关入侵检测、防火墙、蜜罐、防病毒和防Rootkit的最新技术。
通过阅读本书，你将学到：
恶意软件在企业环境中感染、存活和传播的方式
了解黑客开发恶意代码和攻击脆弱系统的方法
检测、压制和删除用户模式和内核模式Rootkit
使用虚拟化系统管理器和蜜罐发现和删除虚拟Rootkit
防御击键记录、重定向、点击欺诈和身份盗窃
拦截鱼叉式仿冒、客户端和嵌入代码利用攻击
有效部署最新的防病毒、弹出窗口拦截和防火墙软件
用IPS解决方案识别和拦截恶意进程

感谢你选择本书的第2版。从本书第1版出版以来，安全领域发生了许多变化，本版将反映这些变化和更新，但是会保留第1版中信息的历史相关性为代价。在第1版的基础上，我们介绍攻击者所使用技术的改进和变化，以及安全研究人员如何改变，以对抗如今新型恶意软件技术和方法论。
遵循第1版的精神，我们将焦点放在对抗恶意软件威胁中有效和无效的防护手段。正如第1版中所强调的，不管你是家庭用户还是全球百强企业安全团队的一员，对恶意软件保持警惕都会给你带来回报——从个人和职业上都是如此。
导航
本书中，每种攻击技术都用如下的方法突出显示：
这是攻击图标
这个图标表示某种恶意软件类型和方法，便于识别。书中对每种攻击都提出了实用、恰当并且实际测试过的解决方案。
这是对策图标
在这里介绍修复问题和将攻击者拒之门外的方法。
特别注意代码列表中加粗显示的用户输入。
每种攻击都带有一个更新过的危险等级，这个等级的确定是根据作者的经验以下3部分因素得出的：
流行性 对活动目标使用该攻击方法的频率，1表示使用最少，10表示使用最广泛
简单性 执行该攻击所需要的技能，1表示需要熟练的安全编程人员，10表示只要很少甚至不需要技能
影响 成功执行该种攻击可能产生的危害，1表示泄露目标的普通信息，10表示入侵超级用户账户或者等价的情况
危险等级 上面三个值平均后给出的总体危险等级

计算机\安全

这本全面更新的指南提供了经过验证的防御策略，运用它们可以挫败蓄意的网络攻击，大大改善组织的安全态势。本书完整地解释了黑客的最新手法以及可供部署的对策，研究如何拦截弹出窗口和钓鱼利用攻击，终结嵌入代码，识别和消除Rootkit。你还将看到有关入侵检测、防火墙、蜜网、防病毒和防Rootkit的最新技术。
 学习恶意软件在企业环境中感染、存活和传播的方式
 了解黑客开发恶意代码和针对脆弱系统的方法
 检测、压制和删除用户模式和内核模式Rootkit
 使用虚拟化系统管理器和蜜罐发现和删除虚拟Rootkit
 防御击键记录、重定向、点击欺诈和身份盗窃
 拦截鱼叉式仿冒、客户端和嵌入代码利用攻击
 有效部署最新的防病毒、弹出窗口拦截和防火墙软件
 用IPS解决方案识别和拦截恶意进程

[美] 克里斯托弗 C.埃里森（Christopher C. Elisan）迈克尔·戴维斯（Michael Davis）肖恩· 伯德莫(Sean Bodmer)阿伦·勒马斯特斯 (Aaron LeMasters) 著：
Christopher C. Elisan是一位经验丰富的逆向工程专家。他经常在全球各地的各种安全会议上发表演讲，为前沿行业和主流出版物提供专业意见。他目前是RSA的首席恶意软件科学家。 Michael A.Davis是CouterTack的首席技术官。他被《BusinessWeek》评为“25位25岁以下杰出人物”之一，曾晋级安永“年度企业家奖”的半决赛。 Sean Bodmer拥有CISSP和CEH认证，是CounterTack的防利用情报部门首席研究员，是《Reverse Deception:Organized Cyber Threat Counter-Exploitation》的合著者。 Aaron LeMasters目前是CrowdStrike的高级安全研究员，之前曾在Mandiant、Raytheon SI和美国国防部担任各种研究职务。他精通Windows操作系统的内部结构。

姚军 译：暂无简介

《黑客曝光：恶意软件和Rootkit安全》第1版出版已经6年，在此期间，安全业界和黑客社区之间的“军备竞赛”仍在激烈地进行，如何做好准备，去迎接各种安全威胁的挑战呢？广大读者都期盼着本书的全面更新。
操作系统和安全软件的全面升级确实在一定程度上缓解了传统恶意软件的威胁，Windows 10的推出使微软操作系统逐渐摆脱了“最不安全系统”的恶名，反观对手，恶意软件和Rootkit似乎没有太多的新概念，我们可以高枕无忧了吗？
确实，恶意软件和Rootkit这些年来在形式上并没有太多的变化，但是在任何领域都是“道高一尺，魔高一丈”，第1版中介绍的各种恶意软件仍然可以“旧瓶装新酒”，演变出新的威胁，因此，本书的新版本不仅保留了第1版中丰富的信息，而且介绍了许多安全业界和黑客社区的新发展，帮助读者温故知新，更好地对抗网络中不知名的对手。
很高兴有机会再次翻译本书，希望新的版本能够为奋战在网络安全战线上的读者们带来更多的益处，也希望广大读者多提宝贵意见，在此感谢机械工业出版社华章分社的吴怡编辑为翻译工作提供的帮助。

译者
2017年6月

在今天的互联网上，恶意软件的出现似乎永无止境，其复杂度每分钟都在增加。威胁研究社区和安全行业在先进恶意软件防御的苛刻要求下苦苦挣扎，这是因为这一特殊专业上的人才十分短缺。多年以来，我们见证了防病毒解决方案一直很保守，直到不久前，我们才发现了一些转变，真正重视先发制人地对抗威胁。解决这个问题的尝试之一是承认可伸缩知识转移是至关重要的，这也是本书的由来……
几年来，我有幸和Christopher Elisan在一个威胁研究团队中共事，多年来我们一直保持着联系。他对网络威胁来源开发的开创性武器有着渊博的知识，在此基础上表现出了超强的逆向工程和恶意软件分析才能。从第1章起，本书直奔主题，然后以快速、稳定的节奏，引领读者阅读精心编写的教程。Christopher以尊重、信任读者聪明才智和能力的方式，表达了他对于这一主题的信心。对于本书第2版的出版，我倍感激动，因为这本书的内容成功地融合了大量深入的主题，同时介绍了多种深思熟虑的扩展应用，帮助读者建立针对某些最先进的技术威胁的主动对策。
不管你是刚刚开始着手恶意软件的研究，还是这一领域的老兵，在读完本书之后都会感到满意，因为你可以得到独特而切题的深刻见解，这将大大提高你在这一领域的成就。
我要真诚、自豪地对读者们说，好好享受本书带来的一切吧！

Lance James
Flashpoint 首席科学家

对本书第1版的赞誉
推荐序
译者序
作者简介
前言
致谢
第一部分　恶意软件
第1章　恶意软件传播　5
1.1　恶意软件仍是王者　5
1.2　恶意软件的传播现状　5
1.3　为什么他们想要你的工作站　6
1.4　难以发现的意图　6
1.5　这是桩生意　7
1.6　恶意软件传播的主要技术　7
1.6.1　社会工程　8
1.6.2　文件执行　9
1.7　现代恶意软件的传播技术　12
1.7.1　StormWorm　13
1.7.2　变形　14
1.7.3　混淆　16
1.7.4　动态域名服务　18
1.7.5　Fast Flux　19
1.8　恶意软件传播注入方向　20
1.8.1　电子邮件　20
1.8.2　恶意网站　23
1.8.3　网络仿冒　25
1.8.4　对等网络（P2P）　28
1.8.5　蠕虫　31
1.9　小结　32
第2章　恶意软件功能　33
2.1　恶意软件安装后会做什么　33
2.1.1　弹出窗口　33
2.1.2　搜索引擎重定向　36
2.1.3　数据盗窃　43
2.1.4　点击欺诈　45
2.1.5　身份盗窃　46
2.1.6　击键记录　49
2.1.7　恶意软件的表现　53
2.2　识别安装的恶意软件　55
2.2.1　典型安装位置　55
2.2.2　在本地磁盘上安装　56
2.2.3　修改时间戳　56
2.2.4　感染进程　57
2.2.5　禁用服务　57
2.2.6　修改Windows注册表　58
2.3　小结　58
第二部分　Rootkit
第3章　用户模式Rootkit　62
3.1　Rootkit　63
3.1.1　时间轴　64
3.1.2　Rootkit的主要特征　64
3.1.3　Rootkit的类型　66
3.2　用户模式Rootkit　67
3.2.1　什么是用户模式Rootkit　67
3.2.2　后台技术　68
3.2.3　注入技术　71
3.2.4　钩子技术　79
3.3　用户模式Rootkit实例　81
3.4　小结　87
第4章　内核模式Rootkit　88
4.1　底层：x86体系结构基础　89
4.1.1　指令集体系结构和操作系统　89
4.1.2　保护层次　89
4.1.3　跨越层次　90
4.1.4　内核模式：数字化的西部蛮荒　91
4.2　目标：Windows内核组件　92
4.2.1　Win32子系统　92
4.2.2　这些API究竟是什么　93
4.2.3　守门人：NTDLL.DLL　93
4.2.4　委员会功能：Windows Executive（NTOSKRNL.EXE）　94
4.2.5　Windows内核（NTOSKRNL.EXE）　94
4.2.6　设备驱动程序　94
4.2.7　Windows硬件抽象层（HAL）　95
4.3　内核驱动程序概念　95
4.3.1　内核模式驱动程序体系结构　96
4.3.2　整体解剖：框架驱动程序　97
4.3.3　WDF、KMDF和UMDF　98
4.4　内核模式Rootkit　99
4.4.1　内核模式Rootkit简介　99
4.4.2　内核模式Rootkit所面对的挑战　99
4.4.3　方法和技术　101
4.5　内核模式Rootkit实例　119
4.5.1　Clandestiny创建的Klog　119
4.5.2　Aphex创建的AFX　122
4.5.3　Jamie Butler、Peter Silberman和 C.H.A.O.S创建的FU和FUTo　124
4.5.4　Sherri Sparks 和 Jamie Butler创建的Shadow Walker　125
4.5.5　He4 Team创建的He4Hook　127
4.5.6　Honeynet项目创建的Sebek　130
4.6　小结　131
第5章　虚拟Rootkit　133
5.1　虚拟机技术概述　133
5.1.1　虚拟机类型　134
5.1.2　系统管理程序　135
5.1.3　虚拟化策略　136
5.1.4　虚拟内存管理　137
5.1.5　虚拟机隔离　137
5.2　虚拟机Rootkit技术　137
5.2.1　矩阵里的Rootkit：我们是怎么到这里的　138
5.2.2　什么是虚拟Rootkit　138
5.2.3　虚拟Rootkit的类型　139
5.2.4　检测虚拟环境　140
5.2.5　脱离虚拟环境　146
5.2.6　劫持系统管理程序　147
5.3　虚拟Rootkit实例　148
5.4　小结　153
第6章　Rootkit的未来　155
6.1　复杂性和隐蔽性的改进　156
6.2　定制的Rootkit　161
6.3　数字签名的Rootkit　162
6.4　小结　162
第三部分　预防技术
第7章　防病毒　167
7.1　现在和以后：防病毒技术的革新　167
7.2　病毒全景　168
7.2.1　病毒的定义　168
7.2.2　分类　169
7.2.3　简单病毒　170
7.2.4　复杂病毒　172
7.3　防病毒——核心特性和技术　173
7.3.1　手工或者“按需”扫描　174
7.3.2　实时或者“访问时”扫描　174
7.3.3　基于特征码的检测　175
7.3.4　基于异常/启发式检测　176
7.4　对防病毒技术的作用的评论　177
7.4.1　防病毒技术擅长的方面　177
7.4.2　防病毒业界的领先者　177
7.4.3　防病毒的难题　177
7.5　防病毒业界的未来　179
7.6　小结和对策　180
第8章　主机保护系统　182
8.1　个人防火墙功能　182
8.2　弹出窗口拦截程序　184
8.2.1　Chrome　185
8.2.2　Firefox　186
8.2.3　Microsoft Edge　187
8.2.4　Safari　187
8.2.5　一般的弹出式窗口拦截程序代码实例　187
8.3　小结　190
第9章　基于主机的入侵预防　191
9.1　HIPS体系结构　191
9.2　超过入侵检测的增长　193
9.3　行为与特征码　194
9.3.1　基于行为的系统　195
9.3.2　基于特征码的系统　196
9.4　反检测躲避技术　196
9.5　如何检测意图　200
9.6　HIPS和安全的未来　201
9.7　小结　202
第10章　Rootkit检测　203
10.1　Rootkit作者的悖论　203
10.2　Rootkit检测简史　204
10.3　检测方法详解　207
10.3.1　系统服务描述符表钩子　207
10.3.2　IRP钩子　208
10.3.3　嵌入钩子　208
10.3.4　中断描述符表钩子　208
10.3.5　直接内核对象操纵　208
10.3.6　IAT钩子　209
10.3.7　传统DOS或者直接磁盘访问钩子　209
10.4　Windows防Rootkit特性　209
10.5　基于软件的Rootkit检测　210
10.5.1　实时检测与脱机检测　211
10.5.2　System Virginity Verifier　212
10.5.3　IceSword 和DarkSpy　213
10.5.4　RootkitRevealer　215
10.5.5　F-Secure的Blacklight　215
10.5.6　Rootkit Unhooker　216
10.5.7　GMER　218
10.5.8　Helios 和Helios Lite　219
10.5.9　McAfee Rootkit Detective　221
10.5.10　TDSSKiller　223
10.5.11　Bitdefender Rootkit Remover　224
10.5.12　Trend Micro Rootkit Buster　225
10.5.13　Malwarebytes Anti-Rootkit　225
10.5.14　Avast aswMBR　225
10.5.15　商业Rootkit检测工具　225
10.5.16　使用内存分析的脱机检测：内存取证的革新　226
10.6　虚拟Rootkit检测　233
10.7　基于硬件的Rootkit检测　234
10.8　小结　235
第11章　常规安全实践　236
11.1　最终用户教育　236
11.2　了解恶意软件　237
11.3　纵深防御　239
11.4　系统加固　240
11.5　自动更新　240
11.6　虚拟化　241
11.7　固有的安全（从一开始）　242
11.8　小结　242
附录A　系统安全分析：建立你自己的Rootkit检测程序　243