具体描述
《ROOTKITS-Windows内核的安全防护》是目前第一本关于rootkit的详尽指南,包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。世界顶级软件安全专家、rootkit.com创始人Greg Hoglund和James Butler向大家详细介绍攻击者是如何进入系统并长期驻留而不会被检测到的,以及黑客是如何摧毁Windows XP和Windows 2000内核系统的,其概念可以应用于现代任何主流操作系统。通过《ROOTKITS-Windows内核的安全防护》,读者可以全面掌握rootkit,提升自己的计算机安全防范能力。
作者简介
目录信息
第1章 销声匿迹 1
1.1 攻击者的动机 1
1.1.1 潜行的角色 2
1.1.2 不需潜行的情况 3
1.2 rootkit的定义 3
1.3 rootkit存在的原因 4
1.3.1 远程命令和控制 4
1.3.2 软件窃听 5
1.3.3 rootkit的合法使用 5
1.4 rootkit的存在历史 6
1.5 rootkit的工作方式 7
1.5.1 打补丁 7
1.5.2 复活节彩蛋 7
1.5.3 间谍件修改 7
1.5.4 源代码修改 8
1.5.5 软件修改的合法性 8
1.6 rootkit与其他技术的区别 9
1.6.1 rootkit不是软件利用工具 9
1.6.2 rootkit不是病毒 10
1.7 rootkit与软件利用工具 11
1.8 攻击型rootkit技术 14
1.8.1 HIPS 14
1.8.2 NIDS 15
1.8.3 绕过IDS/IPS 15
1.8.4 绕过取证分析工具 16
1.9 小结 17
第2章 破坏内核 19
2.1 重要的内核组件 20
2.2 rootkit的结构设计 20
2.3 在内核中引入代码 23
2.4 构建Windows设备驱动程序 24
2.4.1 设备驱动程序开发工具包 24
2.4.2 构建环境 24
2.4.3 文件 25
2.5 加载和卸载驱动程序 28
2.6 对调试语句进行日志记录 28
2.7 融合rootkit:用户和内核模式的融合 29
2.7.1 I/O请求报文 30
2.7.2 创建文件句柄 33
2.7.3 添加符号链接 35
2.8 加载rootkit 36
2.8.1 草率方式 36
2.8.2 正确方式 38
2.9 从资源中解压缩.sys文件 40
2.10 系统重启后的考验 42
2.11 小结 43
第3章 硬件相关问题 45
3.1 环0级 46
3.2 CPU表和系统表 47
3.3 内存页 48
3.3.1 内存访问检查 49
3.3.2 分页和地址转换 50
3.3.3 页表查询 51
3.3.4 页目录项 52
3.3.5 页表项 53
3.3.6 重要表的只读访问 53
3.3.7 多个进程使用多个页目录 54
3.3.8 进程和线程 54
3.4 内存描述符表 55
3.4.1 全局描述符表 55
3.4.2 本地描述符表 56
3.4.3 代码段 56
3.4.4 调用门 56
3.5 中断描述符表 56
3.6 系统服务调度表 60
3.7 控制寄存器 60
3.7.1 控制寄存器0 60
3.7.2 其他控制寄存器 61
3.7.3 EFlags寄存器 61
3.8 多处理器系统 61
3.9 小结 63
第4章 古老的钩子艺术 65
4.1 用户空间钩子 65
4.1.1 导入地址表钩子 67
4.1.2 内联函数钩子 68
4.1.3 将DLL注入到用户空间进程中 70
4.2 内核钩子 74
4.2.1 钩住系统服务描述符表 75
4.2.2 修改SSDT内存保护机制 76
4.2.3 钩住SSDT 79
4.3 混合式钩子方法 99
4.3.1 进入进程的地址空间 99
4.3.2 钩子的内存空间 103
4.4 小结 105
第5章 运行时补丁 107
5.1 detour补丁 108
5.1.1 用MigBot重定控制流程路径 109
5.1.2 检查函数字节 110
5.1.3 记录被重写的指令 112
5.1.4 使用NonPagedPool内存 114
5.1.5 运行时地址修正 115
5.2 跳转模板 119
5.3 补丁方法的变型 126
5.4 小结 127
第6章 分层驱动程序 129
6.1 键盘嗅探器 130
6.2 剖析KLOG rootkit 134
6.3 文件过滤器驱动程序 146
6.4 小结 161
第7章 直接内核对象操作 163
7.1 DKOM的优缺点 163
7.2 确定操作系统的版本 165
7.2.1 用户模式的自确定 165
7.2.2 内核模式的自确定 167
7.2.3 在注册表中查询操作系统版本 167
7.3 用户空间与设备驱动程序的通信 169
7.4 DKOM隐藏技术 173
7.4.1 隐藏进程 173
7.4.2 隐藏设备驱动程序 179
7.4.3 同步问题 183
7.5 使用DKOM提升令牌权限和组 187
7.5.1 修改进程令牌 187
7.5.2 伪造Windows Event Viewer 201
7.6 小结 203
第8章 操纵硬件 205
8.1 为何使用硬件 206
8.2 修改固件 207
8.3 访问硬件 208
8.3.1 硬件地址 208
8.3.2 访问硬件与访问RAM的区别 209
8.3.3 定时问题 210
8.3.4 I/O总线 210
8.3.5 访问BIOS 212
8.3.6 访问PCI和PCMCIA设备 213
8.4 访问键盘控制器示例 213
8.4.1 8259键盘控制器 213
8.4.2 修改LED指示器 214
8.4.3 强制重启 220
8.4.4 击键监视器 220
8.5 微码更新 227
8.6 小结 228
第9章 隐秘通道 229
9.1 远程命令、控制和数据窃取 230
9.2 伪装TCP/IP协议 231
9.2.1 注意通信量模式 231
9.2.2 不以明文发送数据 232
9.2.3 充分利用时间因素 232
9.2.4 隐藏在DNS请求中 233
9.2.5 对ASCII编码有效负载进行隐写操作 233
9.2.6 使用其他TCP/IP通道 234
9.3 TCP/IP内核中支持rootkit的TDI接口 235
9.3.1 构建地址结构 235
9.3.2 创建本地地址对象 237
9.3.3 根据上下文创建TDI端点 240
9.3.4 将端点与本地地址进行关联 243
9.3.5 连接到远程服务器(发送TCP握手消息) 245
9.3.6 将数据发送到远程服务器 247
9.4 原始网络操作 250
9.4.1 在Windows XP上实现原始套接字 250
9.4.2 绑定到接口 251
9.4.3 使用原始套接字进行嗅探 252
9.4.4 使用原始套接字进行杂乱嗅探 253
9.4.5 使用原始套接字发送报文 254
9.4.6 伪造源信息 254
9.4.7 弹回报文 254
9.5 TCP/IP内核中支持rootkit的NDIS接口 255
9.5.1 注册协议 255
9.5.2 协议驱动程序回调函数 260
9.5.3 移动完整报文 266
9.6 主机仿真 273
9.6.1 创建MAC地址 273
9.6.2 处理ARP协议 273
9.6.3 IP网关 276
9.6.4 发送报文 276
9.7 小结 280
第10章 rootkit检测 281
10.1 检测rootkit的存在 281
10.1.1 守护门口 282
10.1.2 扫描“空间” 284
10.1.3 查找钩子 284
10.2 检测rootkit的行为 293
10.2.1 检测隐藏的文件和注册表键 294
10.2.2 检测隐藏的进程 294
10.3 小结 297
· · · · · · (收起)
读后感
书是好书,选题很好,但是,翻译就真的有问题,只能说差强人意,以这个篇幅来介绍rookits,而且基本上都说清楚了,有人可能觉得rookits这么高深的课题讲得还远远不够,须知道,这种课题只能点到为止,对于某些专业人士来说,缺的只是那么一点儿提示,不是技术细节,这个领域重要的是想像力,...
评分书是好书,选题很好,但是,翻译就真的有问题,只能说差强人意,以这个篇幅来介绍rookits,而且基本上都说清楚了,有人可能觉得rookits这么高深的课题讲得还远远不够,须知道,这种课题只能点到为止,对于某些专业人士来说,缺的只是那么一点儿提示,不是技术细节,这个领域重要的是想像力,...
评分不知大家看了这么久有没有发现书中的错误,个人感觉第四章的隐藏进程函数有问题,书上说可以过滤掉以_root_开头的所有进程,不过你仔细看82页下方的函数就会发现它函数写的有问题,比如说我系统中有一个_root_进程,ok那么没问题,完全可以过滤,但是如果我系统有多个_root_进...
评分个人觉得写的很不错,有人说翻译的不是很好,可读到现在觉得翻译的还是可以的,只是有些地方知识跨度可能会影响理解,不过多读两遍觉得翻译的还是不错的。 ---个人见解
评分个人觉得写的很不错,有人说翻译的不是很好,可读到现在觉得翻译的还是可以的,只是有些地方知识跨度可能会影响理解,不过多读两遍觉得翻译的还是不错的。 ---个人见解
用户评价
《ROOTKITS》这本书的书名,就已经足以引发我的无限遐想。在我眼中,它不仅仅是一个技术术语,更像是一个象征,代表着那些深入系统内核,能够隐藏自身踪迹,操纵计算机运行的强大力量。当我第一眼看到这本书的封面设计时,那种极简却又充满力量感的风格,深深地吸引了我。黑色背景上,一道锐利而又扭曲的光线,仿佛正在撕裂空间的结构,又像是在黑暗中悄然蔓延的病毒。这种视觉冲击,让我立刻联想到那些潜伏在数字世界中的“幽灵”,它们悄无声息地渗透,无迹可寻地操控。我无法想象这本书的作者会如何去描绘这些“ROOTKIT”的本质,它们是如何被创造出来的?它们又有着怎样的生命周期?更重要的是,它们在数字世界的运行规则中扮演着怎样的角色?这些问题,都在我翻开这本书之前,在我脑海中编织成了一幅幅关于技术博弈和信息对抗的宏大图景。
评分《ROOTKITS》这本书的书名,本身就充满了引人入胜的魅力,它让我想到了那些在数字世界中能够触及事物最根本、最核心的隐秘技术。在我的印象中,“ROOTKIT”这个词汇,总是与那些能够深入到操作系统内核、并且能够做到完美隐藏自身踪迹的复杂程序联系在一起。这本书的封面设计,也着实给我带来了极大的震撼。它没有使用任何具象的图案,而是运用了一种极简主义的风格,以纯粹的黑色作为背景,然后用一道仿佛从深渊中撕裂而出的、带着一丝不祥红光的裂缝贯穿其中。这种设计,极具视觉冲击力,让我瞬间联想到了那些潜伏在系统最深处,能够操纵一切、却又难以捉摸的未知力量。我迫切地想知道,作者将如何用语言来描绘这种复杂的技术现象?它会如何深入剖析“ROOTKIT”的形成原理,以及它在数字世界的生存之道?这本书,在我看来,就像是一张通往未知领域的技术地图。
评分《ROOTKITS》这个书名,瞬间就点燃了我内心深处对技术神秘面的好奇。在我的脑海里,“ROOTKIT”这个词汇,总是和那些能够深入到操作系统最底层,并且能够像幽灵一样隐藏自己行踪的复杂程序联系在一起。这本书的封面设计,更是增添了它的吸引力。它运用了一种极具视觉冲击力的设计理念,以一种深邃的、仿佛来自宇宙深处的紫色作为背景,然后在前景用一种带有金属质感的、仿佛正在破碎的金色线条勾勒出一个复杂的几何图案。这个图案,在我看来,既像是某种加密的代码,又像是某种正在被侵蚀的数字结构,它所散发出的气息,让我感觉这本书将要揭示的,是一种关于突破限制、关于掌控全局的强大力量。我迫切地想要知道,作者会如何用文字来描绘“ROOTKIT”的诞生和发展?它会深入剖析“ROOTKIT”的各种形态和变种吗?又或者,它会探讨“ROOTKIT”所带来的伦理和法律问题?这本书,对我来说,就像是一扇通往技术世界禁区的窗口。
评分一本我最近偶然发现的书,叫做《ROOTKITS》,它的封面设计就足以吸引我的全部注意力。深邃的黑色背景,上面用一种带着金属光泽的红色勾勒出一个错综复杂、仿佛正在蔓延的符号,这个符号隐约透着一种危险又迷人的气息,让我立刻就联想到了隐藏在网络深处的未知力量。我一直对那些能够操纵事物底层运作的“幕后推手”感到好奇,而“ROOTKIT”这个词本身就带有一种神秘感,它暗示着一种深入系统核心,甚至可以隐藏自身存在的强大能力。我迫不及待地翻开了第一页,虽然我并没有对它内部的具体内容有任何预设,但从封面的设计和书名本身,我就能感受到一种沉甸甸的、关于技术、关于攻防、关于知识产权甚至是关于信息安全最前沿的探讨。这本书的气质,就像是一把开启潘多拉魔盒的钥匙,让我对即将揭开的未知世界充满了期待,我希望它能为我展现一个我前所未见的、关于数字世界的隐秘角落。
评分我最近在书架上发现了一本名为《ROOTKITS》的书,它的书名本身就带着一种神秘而又强大的吸引力。对我来说,“ROOTKIT”不仅仅是一个技术名词,更是一种对隐藏、对渗透、对操纵事物底层运作的极致追求的象征。这本书的封面设计,也给我留下了深刻的印象。它采用了一种非常独特的风格,没有使用任何浮夸的色彩,而是以一种深邃的、仿佛能够吞噬一切的黑色作为主色调,然后用一种极细、却又异常锋利的银色线条勾勒出一个复杂而又抽象的图案,这个图案在我看来,就像是一把能够悄无声息地打开任何一道锁的钥匙,又像是一个能够隐藏在任何角落的幽灵。这种设计,让我对书的内容充满了期待,我开始想象,作者会如何描绘“ROOTKIT”的构造原理?它会讲述那些关于“ROOTKIT”的攻防战术吗?或者,它会探讨“ROOTKIT”在信息安全领域所带来的深远影响?这本书,对我而言,就像是隐藏在数字世界深处的一本武林秘籍,我渴望学习其中的奥义。
评分当我第一次看到《ROOTKITS》这本书时,它就以其独特的名字吸引了我。在我看来,“ROOTKIT”这个词汇,本身就充满了力量和神秘感,它指向的是那些能够深入到系统核心,并且能够隐匿自身存在的高级技术。这本书的封面设计,也同样给我留下了深刻的印象。它采用了非常简洁但极具冲击力的设计,以一种暗红色的背景,勾勒出一个仿佛正在燃烧又在蔓延的黑色火焰状图案,这个图案的边缘闪烁着微弱的白色光芒,给人一种既危险又极具吸引力的感觉。这种设计,让我立刻联想到那些在网络世界中悄无声息地进行渗透和控制的强大力量。我开始想象,这本书会如何去阐述“ROOTKIT”的技术原理?它会讲述那些关于“ROOTKIT”的攻防故事吗?或者,它会探讨“ROOTKIT”在网络安全领域所扮演的角色?这本书,对我来说,就像是一份关于数字世界隐秘规则的解析报告。
评分我是在一个偶然的机会下,在一家老旧的书店的角落里发现了《ROOTKITS》这本书。当时我正在寻找一些关于网络安全历史的书籍,然后就被它那充满视觉冲击力的封面吸引住了。封面上的图案是一种我从未见过的风格,它既像古老的符文,又像是某种抽象的电路图,那种复杂的纹理和深邃的色彩搭配,让我觉得这本书一定蕴含着非同寻常的知识。我小心翼翼地拿起它,感觉书的质感非常好,纸张厚实,印刷精美。虽然我之前对“ROOTKIT”这个概念并没有特别深入的了解,但从书名和封面上散发出的那种专业而又带着一丝神秘的气息,就足以让我对它产生浓厚的兴趣。我开始想象,这本书会讲述怎样关于隐藏、关于渗透、关于突破系统防护的故事?它会揭示哪些不为人知的技术秘密?或者,它会带领我进入一个怎样的数字世界的“地下王国”?这种未知的吸引力,让我无法抗拒,我把它带回了家,并且在接下来的几天里,它一直占据着我的床头,让我对它充满了无限的探索欲。
评分我一直对那些能够深入理解并操纵事物底层运作的知识领域充满敬畏,《ROOTKITS》这本书的书名,恰恰触及了我内心深处的这种好奇。它所暗示的,不仅仅是技术层面的知识,更是一种关于规则、关于隐藏、关于突破极限的哲学思考。这本书的封面设计,给我留下深刻印象的,是它那种简洁却极具象征意义的图案。仿佛是由无数细小的、相互连接的线条组成了一个复杂的网络,而在网络的中心,却是一片深邃的虚无,或者是一个不可见的节点。这种设计,完美地传达了“ROOTKIT”那种深入核心、隐藏自身、却又无处不在的特性。我开始思考,作者会如何用文字来描绘这种复杂的技术概念?它会如何解释“ROOTKIT”是如何在操作系统中建立自己存在的基石,又是如何躲避各种安全检测的?这本书,在我看来,就像是一扇通往数字世界隐秘角落的窗户,我迫切地想要透过它,去窥探那些不为人知的真相。
评分《ROOTKITS》这本书,从书名开始就充满了引人入胜的魅力。在我的认知里,“ROOTKIT”代表着一种深入到操作系统内核,并且能够做到极致隐藏的技术,它象征着对系统控制权的绝对掌控。这本书的封面设计,同样给我留下了深刻的印象。它选择了以一种深邃的、近乎黑色的蓝色作为背景,然后在中央用一种仿佛由无数微小粒子组成的、正在缓缓旋转的金色漩涡来呈现。这个漩涡,在我看来,既像是某种复杂的算法在运算,又像是某种能够吞噬一切的黑洞,它所散发出的神秘感,让我对书中的内容充满了无限的遐想。我迫切地想要知道,作者会如何用文字去揭示“ROOTKIT”的运作机制?它会深入分析“ROOTKIT”的各种类型和实现方式吗?又或者,它会探讨“ROOTKIT”所带来的安全隐患以及相应的防御策略?这本书,对我而言,就像是一本关于数字世界深层奥秘的探索指南。
评分在浏览书店的时候,《ROOTKITS》这本书的书名,就像一颗闪耀的星星,瞬间抓住了我的目光。这个词本身就带着一种神秘而又强大的力量,让我立刻联想到了那些在计算机系统中扮演着“幕后黑手”角色的程序。我一直对网络安全领域有着浓厚的兴趣,特别是那些能够深入到操作系统核心、并且能够做到隐藏自身存在的技术。这本书的封面设计,也同样给我留下了深刻的印象。它采用了一种非常抽象的艺术风格,用深邃的蓝色和闪烁的银色交织出一种既冷峻又充满科技感的光影效果,仿佛描绘了一个被冰雪覆盖的数字堡垒,而“ROOTKIT”就像是悄悄潜入其中的黑暗力量。我开始好奇,这本书会如何剖析“ROOTKIT”的运作机制?它会讲述那些关于“ROOTKIT”的惊心动魄的攻防故事吗?又或者,它会揭示一些关于隐藏技术背后的哲学思考?这种未知,让我迫不及待地想要翻开它,去探索其中的奥秘。
评分虽然不懂编程,但还是受益匪浅,从中了解不少关于Rootkits的相关信息。不过对于日新月异的技术发展,书中内容已明显过时,但用作入门感觉还是很好的。
评分比较基础
评分写的简明扼要,挺不错的
评分比较基础
评分比较基础
相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2026 book.wenda123.org All Rights Reserved. 图书目录大全 版权所有