惡意軟件、Rootkit和僵尸網(wǎng)絡(luò)

本書贊譽
譯者序
序
前言

第一部分　基礎(chǔ)知識

第1章　背景知識
1.1　一次惡意軟件遭遇
1.2　目前所面臨的威脅概述
1.3　對國家安全構(gòu)成的威脅
1.4　開啟旅程
1.5　本章小結(jié)
參考文獻

第2章　惡意軟件簡史
2.1　計算機病毒
2.1.1　計算機病毒的分類
2.1.2　早期挑戰(zhàn)
2.2　惡意軟件
2.2.1　惡意軟件分類
2.2.2　惡意軟件的發(fā)展
2.3　風(fēng)險軟件
2.4　惡意軟件開發(fā)套件
2.5　惡意軟件的影響
2.6　本章小結(jié)

第3章　rootkit的隱藏
3.1　什么是rootkit
3.2　環(huán)境的結(jié)構(gòu)
3.2.1　操作系統(tǒng)內(nèi)核
3.2.2　用戶態(tài)和內(nèi)核態(tài)
3.2.3　ring
3.2.4　從用戶態(tài)轉(zhuǎn)換到內(nèi)核態(tài)
3.3　rootkit的類型
3.3.1　用戶態(tài)rootkit
3.3.2　內(nèi)核態(tài)rootkit
3.4　rootkit技術(shù)
3.4.1　hooking
3.4.2　DLL注入
3.4.3　直接內(nèi)核對象操縱
3.5　應(yīng)對rootkit
3.6　本章小結(jié)

第4章　僵尸網(wǎng)絡(luò)的興起
4.1　什么是僵尸網(wǎng)絡(luò)
4.1.1　主要特點
4.1.2　關(guān)鍵組件
4.1.3　C&C結(jié)構(gòu)
4.2　僵尸網(wǎng)絡(luò)的使用
4.2.1　分布式拒絕服務(wù)攻擊
4.2.2　點擊欺詐
4.2.3　垃圾郵件轉(zhuǎn)發(fā)
4.2.4　單次安裝付費代理
4.2.5　大規(guī)模信息獲取
4.2.6　信息處理
4.3　僵尸網(wǎng)絡(luò)的保護機制
4.3.1　防彈主機
4.3.2　動態(tài)DNS
4.3.3　Fast-Fluxing技術(shù)
4.3.4　域名變化地址
4.4　對抗僵尸網(wǎng)絡(luò)
4.4.1　技術(shù)戰(zhàn)線
4.4.2　法律戰(zhàn)線
4.5　本章小結(jié)
4.6　參考文獻

第二部分　惡劣的現(xiàn)狀

第5章　威脅生態(tài)系統(tǒng)
5.1　威脅生態(tài)系統(tǒng)組成
5.1.1　技術(shù)因素
5.1.2　人為因素
5.1.3　威脅生態(tài)系統(tǒng)的演進
5.2　高級持續(xù)性威脅
5.2.1　攻擊方法
5.2.2　攻擊的收益
5.3　惡意軟件經(jīng)濟
5.4　本章小結(jié)

第6章　惡意軟件工廠
6.1　逃避反病毒檢測的必要性
6.1.1　惡意軟件事件處理過程
6.1.2　惡意軟件檢測
6.1.3　反病毒產(chǎn)品繞過技術(shù)
6.2　建立惡意軟件軍隊的必要性
6.2.1　下一代惡意軟件工具套件
6.2.2　獨立的防護工具
6.2.3　惡意軟件裝甲軍隊的作用
6.3　惡意軟件工廠
6.3.1　惡意軟件流水線
6.3.2　攻擊者工具的獲得
6.3.3　惡意軟件日益泛濫
6.4　本章小結(jié)

第7章　感染載體
7.1　感染載體概述
7.1.1　物理媒介
7.1.2　電子郵件
7.1.3　即時通信和聊天軟件
7.1.4　社交網(wǎng)絡(luò)
7.1.5　URL鏈接
7.1.6　文件共享
7.1.7　軟件漏洞
7.2　變成感染載體的可能性
7.3　本章小結(jié)

第8章　受感染系統(tǒng)
8.1　惡意軟件感染過程
8.1.1　安裝惡意軟件文件
8.1.2　設(shè)置惡意軟件的持久性
8.1.3　移除惡意軟件安裝證據(jù)
8.1.4　向惡意軟件傳遞控制權(quán)
8.2　活躍的惡意軟件
8.2.1　在系統(tǒng)中長期潛伏
8.2.2　和攻擊者通信
8.2.3　執(zhí)行有效載荷
8.3　本章小結(jié)

第三部分　企業(yè)的應(yīng)對

第9章　組織保護
9.1　威脅事件響應(yīng)者
9.2　理解系統(tǒng)的價值
9.2.1　系統(tǒng)對于組織的價值
9.2.2　系統(tǒng)對于攻擊者的價值
9.3　理解系統(tǒng)的特征
9.3.1　系統(tǒng)類型
9.3.2　運營影響
9.3.3　主機數(shù)據(jù)的敏感度
9.3.4　系統(tǒng)用戶
9.3.5　網(wǎng)絡(luò)位置
9.3.6　資產(chǎn)的可訪問性
9.3.7　資產(chǎn)訪問權(quán)限
9.3.8　系統(tǒng)恢復(fù)
9.3.9　系統(tǒng)狀態(tài)
9.4　設(shè)置系統(tǒng)優(yōu)先級
9.5　企業(yè)安全態(tài)勢
9.6　了解遭受攻擊的代價
9.6.1　直接損失
9.6.2　間接損失
9.7　系統(tǒng)保護
9.7.1　威脅建模
9.7.2　識別合適的解決方案
9.7.3　前置式威脅檢測
9.8　建立事件響應(yīng)計劃
9.8.1　識別不同的受害場景
9.8.2　識別解決方案模式
9.8.3　定義角色和職責(zé)
9.8.4　建立草案
9.8.5　定期演習(xí)
9.8.6　評審和改進
9.9　把一切付諸行動
9.10　保護之外
9.11　本章小結(jié)

第10章　檢測威脅
10.1　建立基準(zhǔn)
10.1.1　建立網(wǎng)絡(luò)基準(zhǔn)
10.1.2　建立主機基準(zhǔn)
10.2　檢測異常
10.2.1　檢測網(wǎng)絡(luò)異常
10.2.2　檢測主機異常
10.3　隔離異常源
10.4　深入分析受感染資產(chǎn)
10.4.1　精確定位惡意軟件
10.4.2　基于攻擊意圖對惡意軟件進行分類
10.5　本章小結(jié)

第11章　緩解威脅
11.1　威脅緩解
11.2　立即式響應(yīng)
11.2.1　隔離
11.2.2　驗證
11.2.3　威脅的檢測和分類
11.2.4　修復(fù)和恢復(fù)
11.3　先應(yīng)式響應(yīng)
11.3.1　預(yù)防措施
11.3.2　定期進行安全審計
11.4　內(nèi)部威脅
11.4.1　什么是內(nèi)部威脅
11.4.2　緩解內(nèi)部威脅
11.5　保持警惕
11.6　本章小結(jié)

第四部分　結(jié)束語

第12章　永不停歇的戰(zhàn)斗
12.1　本書回顧
12.2　未來展望
12.2.1　惡意軟件的未來
12.2.2　rootkit展望
12.2.3　僵尸網(wǎng)絡(luò)的未來
12.3　好人們也很忙
12.4　冒險才剛剛開始
12.5　本章小結(jié)
附錄A　系統(tǒng)啟動過程
附錄B　有用的網(wǎng)絡(luò)鏈接
詞匯表