新書推薦:
《
人工智能与大数据:采煤机智能制造
》
售價:HK$
96.8
《
新民说·逝去的盛景:宋朝商业文明的兴盛与落幕(上下册)
》
售價:HK$
173.8
《
我从何来:自我的心理学探问
》
售價:HK$
119.9
《
失败:1891—1900 清王朝的变革、战争与排外
》
售價:HK$
85.8
《
万千心理·我的精神分析之道:复杂的俄狄浦斯及其他议题
》
售價:HK$
104.5
《
荷马:伊利亚特(英文)-西方人文经典影印21
》
售價:HK$
107.8
《
我的心理医生是只猫
》
售價:HK$
49.5
《
股权控制战略:如何实现公司控制和有效激励(第2版)
》
售價:HK$
98.8
內容簡介:
本书系统论述了Rootkit隐遁攻击的概念、原理、应用技术及检测取证。首先,简要回顾了Rootkit的由来、定义、原理、类型及其演化。其次,阐述了Rootkit技术的基础理论,包括硬件系统、软件系统,以及Windows内核驱动程序设计。然后,重点探讨了Rootkit攻击技术的具体类型及其实现,包括用户层Rootkit、内核层Rootkit、固件Rootkit及硬件Rootkit。*后,从防御的角度讨论了Rootkit检测与取证技术,以及Rootkit未来的发展趋势。本书取材新颖,聚焦前沿,内容丰富,可作为IT和安全专业人士的研究指导用书,同时也适合作为高等学校计算机安全专业本科、研究生的参考教材。
關於作者:
张瑜,博士,教授,2009年6月毕业于四川大学计算机学院,获工学博士学位,并获四川大学优秀博士毕业生称号。现任职于海南师范大学信息学院,网络与信息安全学术带头人,海南省信息安全委员会委员。2013年受国家留学基金委资助,赴美国Sam Houston State University访学一年,在网络安全领域与美方进行了深度科研合作。主持国家自然科学基金、教育部、海南省重点研发计划项目、海南省自然科学基金等国家计划项目的研究,在国内外权威期刊上发表论文30余篇,20多篇被SCI、EI收录。已出版《计算机病毒进化论》、《免疫优化理论及其应用》等专著,申请国家发明专利2项。
目錄 :
目 录
第1章 Rootkit概述 ...............................................................................................................1
1.1 Rootkit的由来 ........................................................................................................................1
1.2 Rootkit的定义 ........................................................................................................................3
1.3 Rootkit的原理 ........................................................................................................................3
1.3.1 计算机系统的抽象.....................................................................................................4
1.3.2 Rootkit设计理念 .......................................................................................................7
1.4 Rootkit的类型及其演化 ........................................................................................................8
1.5 本章小结 ...............................................................................................................................11
第2章 硬件系统 ..................................................................................................................13
2.1 保护模式概述 .......................................................................................................................13
2.2 保护模式执行环境 ...............................................................................................................14
2.3 保护模式CPU特权级 .........................................................................................................18
2.4 保护模式内存分段与分页 ...................................................................................................18
2.5 内存访问控制体系 ...............................................................................................................23
2.6 本章小结 ...............................................................................................................................24
第3章 软件系统 ..................................................................................................................25
3.1 Windows系统的设计原则...................................................................................................25
3.2 Windows系统的体系结构...................................................................................................26
3.3 Windows的分段与分页.......................................................................................................27
3.4 Windows系统服务调用机制...............................................................................................28
3.4.1 中断分发...................................................................................................................30
3.4.2 异常分发...................................................................................................................32
3.4.3 系统服务分发...........................................................................................................33
3.5 本章小结 ...............................................................................................................................35
第4章 Windows内核驱动程序 ...........................................................................................37
4.1 概述 .......................................................................................................................................37
4.2 重要数据结构 .......................................................................................................................41
4.2.1 IRP ............................................................................................................................42
4.2.2 IO堆栈 ....................................................................................................................45
4.2.3 IRP的传递与完成 ...................................................................................................47
4.3 WDM驱动的基本结构 .......................................................................................................48
4.3.1 DriverEntry ...............................................................................................................48
4.3.2 AddDevice.................................................................................................................53
4.3.3 IRP处理例程 ...........................................................................................................54
4.3.4 Unload .......................................................................................................................54
4.3.5 内核驱动程序实例...................................................................................................54
4.4 本章小结 ...............................................................................................................................56
第5章 用户层Rootkit .........................................................................................................57
5.1 用户层Rootkit概述 .............................................................................................................57
5.2 用户层Rootkit技术 .............................................................................................................58
5.2.1 IAT钩子 ...................................................................................................................58
5.2.2 Inline Function钩子 .................................................................................................69
5.2.3 DLL注入 ..................................................................................................................75
5.2.4 DLL劫持 ..................................................................................................................78
5.3 本章小结 ...............................................................................................................................85
第6章 内核层Rootkit .........................................................................................................87
6.1 内核层Rootkit概述 .............................................................................................................87
6.2 内核层Rootkit技术 .............................................................................................................88
6.2.1 系统表格钩子...........................................................................................................89
6.2.2 映像修改.................................................................................................................129
6.2.3 过滤驱动程序.........................................................................................................139
6.2.4 直接内核对象操纵(DKOM) ............................................................................143
6.3 本章小结 .............................................................................................................................145
第7章 底层Rootkit ...........................................................................................................147
7.1 扩展的处理器模式 .............................................................................................................147
7.1.1 系统管理模式.........................................................................................................148
7.1.2 虚拟机技术.............................................................................................................149
7.2 固件 .....................................................................................................................................150
7.2.1 板载BIOS ..............................................................................................................150
7.2.2 扩7
內容試閱 :
前 言
社会信息化与网络泛在化已成为全球趋势。无处不在、如影相随的信息网络,极大地改变了人们的生产与生活方式,深刻地影响着社会发展的方方面面。网络和信息技术的加速渗透与深度应用,引发了人们对于网络空间安全的担忧。2014年成立的中央网络安全和信息化领导小组,标志着网络空间安全问题已提升为国家战略。
近年来,网络攻击者(黑客)利用日益增强的网络依赖性和不断涌现的软件漏洞,通过隐匿恶意软件远程渗透、潜伏并控制目标网络系统,悄无声息地窃取敏感信息、实施网络犯罪并伺机发起网络攻击,获取政治、经济和军事利益,已造成了严重的网络安全威胁。
网络犯罪的趋利化,促使网络攻击者不断革新网络攻击理念,创新网络攻击方式,竭力占据网络攻防的技术优势。隐遁攻击(Evasion Attacks)就是在此背景下出现并迅速发展起来的一种恶意网络攻击新形态,具有极大的破坏力。所谓隐遁攻击,是指一种利用隐遁技术,通过伪装或修饰网络攻击痕迹,以规避、阻碍信息安全系统检测与取证的恶意网络攻击。攻击者对已被渗透的目标网络系统发动的隐遁攻击,犹如隐形战机在雷达未能有效探测的情况下发起的攻击,如入无人之境,令人束手无策,安全威胁极大。
在各类隐遁攻击方式中,Rootkit隐遁攻击无疑最具威胁性,它钩挂系统服务,调用、篡改系统内核数据,寓攻击于无形之中,来无影去无踪,攻击威力极大。所谓Rootkit隐遁攻击,是指借助尖端的Rootkit技术来隐匿自身及其攻击痕迹,从而阻碍、规避取证分析的一种新型恶意网络攻击。其威胁性主要体现在两个方面:①通过钩挂系统服务调用以更改指令执行路径,致使传统的网络安全防御工具难以检测取证;②通过篡改系统内核数据,使其毫无察觉地潜伏于目标系统中多年,而用户对此却一无所知。
此类攻击案例不胜枚举,例如,2010年著名的黑客大会(Black Hat)上,Barnaby Jack 利用Rootkit隐遁技术,使ATM机狂吐现金,震撼全场;2012年波及全球的Flame攻击,造成多数国家机密资料失窃,攻击力极强;2013年震惊世界的美国棱镜计划,隐秘渗透目标系统并植入恶意软件,实施暗中监控、窃取政情军情,并发起定向隐遁攻击,危害极大;2016年乌克兰电网攻击事件,黑客利用隐遁攻击致使30座变电站停运,造成超过23万名居民陷入无电可用的困境。这些网络攻击案例表明,黑客早已利用顶尖的Rootkit隐遁技术,通过先期渗透并潜伏于目标网络系统中,窃取敏感信息、实施网络犯罪、发起悄无声息且破坏力巨大的隐遁攻击,已成为一种非常严重的网络安全威胁。
更为严重的是,为了规避、阻碍传统的磁盘文件系统取证分析,Rootkit隐遁攻击已开始采用驻留内存、伪装内存等反取证对抗措施,造成无证可取、取得伪证等后果。主要体现在两个方面:①驻留内存的Rootkit隐遁攻击。此类攻击表现为:无磁盘文件,Rootkit全部在内存中加载运行,目标机器关机后,实施攻击的文件映像自我删除、自动消失,致使无证可取。②伪装内存的Rootkit隐遁攻击。此类攻击表现为:即使有磁盘文件,但其在内存中运行后便实施内存视图伪装,以蒙混欺骗相关实时检测取证工具,致使取得伪证。因此,作为一种隐遁网络攻防的有力武器,Rootkit及其防御技术已成为信息安全领域研究者所共同关注的热点。从Rootkit隐遁攻击的发展趋势来看,对Rootkit隐遁攻击进行深入研究与分析,已是大势所趋、势在必行。
然而,目前国内几乎没有关于Rootkit隐遁攻击及其防范全面系统的论述,也几乎没有一部专门阐述Rootkit隐遁攻击技术及防范的著作。在这种背景下,为了促成国内网络空间安全技术的研究,重视Rootkit隐遁攻击的理论指导作用和实践应用效用,笔者结合自己多年来在网络安全、恶意代码取证及免疫计算等领域的研究与体会,特编撰拙著,以期抛砖引玉。
本书全面翔实地介绍了Rootkit的起源、定义、演化发展、检测与取证分析,系统研究并总结了Rootkit隐遁攻击技术的内在机理,包括硬件系统基础、软件系统基础,以及Windows内核驱动程序设计等。并在此基础上,深入研究探讨了Rootkit隐遁攻击技术的不同类型与应用场景,包括用户层Rootkit、内核层Rootkit和底层Rootkit等。然后,从防御的角度探究了Rootkit隐遁攻击的检测与取证分析方法。因此,本书所涉主题有矛有盾、攻防兼备。从矛的方面来说,Rootkit隐遁攻击技术的研究,为网络空间进攻武器研发提供了研究思路;从盾的角度来说,Rootkit防御技术的研究,为检测取证防御产品的研制提供了参考与借鉴。
全书分为9章。第1章为Rootkit概述,介绍了Rootkit的起源、定义和演化发展等;第2章讨论了Rootkit的硬件系统基础,介绍了保护模式及其执行环境、CPU特权级、内存分段与分页,以及内存访问控制体系等;第3章讨论了Rootkit的软件系统基础,包括Windows设计原则、体系结构、分段与分页,以及系统服务调用机制等;第4章从程序设计的角度阐述了Windows内核驱动程序设计及相关概念、原理,为Rootkit设计开发提供支撑;第5章讨论了用户层Rootkit原理及相关技术实现;第6章介绍了内核层Rootkit原理及相关技术实现;第7章讨论了底层Rootkit的相关原理;第8章探讨了Rootkit防御技术,包括Rootkit检测与取证分析方法,并结合笔者的工作提出了一些新的思路与观点;第9章为本书的结论部分,展望了Rootkit未来的发展方向与趋势。
本书的研究与撰写工作获得了国家自然科学基金(编号:61262077、61462025)、国家留学基金委、海南省重点研发计划项目(编号: ZDFY2016013)和海南师范大学学术专著出版基金等研究项目的资助。
本书从各种论文、书刊、期刊及网络中引用了大量资料,有的已在参考文献中列出,有的无法查证,在此谨向所有作者表示衷心的感谢!此外,衷心感谢美国Sam Houston State University的Qingzhong Liu博士,在笔者于2013―2014年在该校作访问学者期间,在生活和科研上给予了很大的支持与帮助!真诚感谢四川大学计算机学院的李涛教授的栽培与教诲!感谢海南师范大学信息学院的罗自强博士、曹均阔博士、刘晓文博士、何书前博士的支持与帮助!
作 者
2016年9月