Rootkits-Windows内核的安全防护2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

Rootkits-Windows内核的安全防护PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 销声匿迹1

1.1 攻击者的动机1

1.1.1　潜行的角色2

1.1.2　不需潜行的情况3

1.2 rootkit的定义3

1.3 rootkit存在的原因4

1.3.1 远程命令和控制4

1.3.2 软件窃听5

1.3.3 rootkit的合法使用5

1.4 rootkit的存在历史6

1.5 rootkit的工作方式7

1.5.1 打补丁7

1.5.2　复活节彩蛋7

1.5.3 间谍件修改7

1.5.4　源代码修改8

1.5.5　软件修改的合法性8

1.6 rootkit与其他技术的区别9

1.6.1 rootkit不是软件利用工具9

1.6.2 rootkit不是病毒10

1.7 rootkit与软件利用工具11

1.8　攻击型rootkit技术14

1.8.1 HIPS14

1.8.2 NIDS15

1.8.3　绕过IDS/IPS15

1.8.4　绕过取证分析工具16

1.9 小结17

第2章　破坏内核19

2.1 重要的内核组件20

2.2 rootkit的结构设计20

2.3 在内核中引入代码23

2.4　构建Windows设备驱动程序24

2.4.1 设备驱动程序开发工具包24

2.4.2 构建环境24

2.4.3 文件25

2.5　加载和卸载驱动程序28

2.6 对调试语句进行日志记录28

2.7 融合rootkit：用户和内核模式的融合29

2.7.1 I/O请求报文30

2.7.2　创建文件句柄33

2.7.3 添加符号链接35

2.8 加载rootkit36

2.8.1 草率方式36

2.8.2　正确方式38

2.9　从资源中解压缩．sys文件40

2.10 系统重启后的考验42

2.11 小结43

第3章 硬件相关问题45

3.1 环0级46

3.2 CPU表和系统表47

3.3 内存页48

3.3.1 内存访问检查49

3.3.2 分页和地址转换50

3.3.3 页表查询51

3.3.4 页目录项52

3.3.5 页表项53

3.3.6 重要表的只读访问53

3.3.7 多个进程使用多个页目录54

3.3.8 进程和线程54

3.4 内存描述符表55

3.4.1 全局描述符表55

3.4.2 本地描述符表56

3.4.3 代码段56

3.4.4 调用门56

3.5 中断描述符表56

3.6　系统服务调度表60

3.7　控制寄存器60

3.7.1 控制寄存器060

3.7.2　其他控制寄存器61

3.7.3 EFlags寄存器61

3.8 多处理器系统61

3.9 小结63

第4章 古老的钩子艺术65

4.1 用户空间钩子65

4.1.1 导入地址表钩子67

4.1.2 内联函数钩子68

4.1.3　将DLL注入到用户空间进程中70

4.2 内核钩子74

4.2.1 钩住系统服务描述符表75

4.2.2　修改SSDT内存保护机制76

4.2.3　钩住SSDT79

4.3　混合式钩子方法99

4.3.1 进入进程的地址空间99

4.3.2 钩子的内存空间103

4.4　小结105

第5章 运行时补丁107

5.1 detour补丁108

5.1.1 用MigBot重定控制流程路径109

5.1.2 检查函数字节110

5.1.3 记录被重写的指令112

5.1.4　使用NonPagedPool内存114

5.1.5 运行时地址修正115

5.2 跳转模板119

5.3 补丁方法的变型126

5.4 小结127

第6章 分层驱动程序129

6.1 键盘嗅探器130

6.2 剖析KLOG rootkit134

6.3 文件过滤器驱动程序146

6.4 小结161

第7章 直接内核对象操作163

7.1 DKOM的优缺点163

7.2　确定操作系统的版本165

7.2.1 用户模式的自确定165

7.2.2 内核模式的自确定167

7.2.3 在注册表中查询操作系统版本167

7.3 用户空间与设备驱动程序的通信169

7.4 DKOM隐藏技术173

7.4.1 隐藏进程173

7.4.2　隐藏设备驱动程序179

7.4.3 同步问题183

7.5 使用DKOM提升令牌权限和组187

7.5.1　修改进程令牌187

7.5.2 伪造Windows Event Viewer201

7.6 小结203

第8章　操纵硬件205

8.1 为何使用硬件206

8.2　修改固件207

8.3　访问硬件208

8.3.1 硬件地址208

8.3.2 访问硬件与访问RAM的区别209

8.3.3 定时问题210

8.3.4 I/O总线210

8.3.5　访问BIOS212

8.3.6　访问PCI和PCMCIA设备213

8.4 访问键盘控制器示例213

8.4.1 8259键盘控制器213

8.4.2　修改LED指示器214

8.4.3　强制重启220

8.4.4　击键监视器220

8.5　微码更新227

8.6 小结228

第9章 隐秘通道229

9.1 远程命令、控制和数据窃取230

9.2 伪装TCP/IP协议231

9.2.1 注意通信量模式231

9.2.2 不以明文发送数据232

9.2.3 充分利用时间因素232

9.2.4　隐藏在DNS请求中233

9.2.5 对ASCII编码有效负载进行隐写操作233

9.2.6 使用其他TCP/IP通道234

9.3 TCP/IP内核中支持rootkit的TDI接口235

9.3.1 构建地址结构235

9.3.2　创建本地地址对象237

9.3.3　根据上下文创建TDI端点240

9.3.4　将端点与本地地址进行关联243

9.3.5 连接到远程服务器（发送TCP握手消息）245

9.3.6　将数据发送到远程服务器247

9.4　原始网络操作250

9.4.1 在Windows XP上实现原始套接字250

9.4.2 绑定到接口251

9.4.3 使用原始套接字进行嗅探252

9.4.4　使用原始套接字进行杂乱嗅探253

9.4.5 使用原始套接字发送报文254

9.4.6　伪造源信息254

9.4.7 弹回报文254

9.5 TCP/IP内核中支持rootkit的NDIS接口255

9.5.1 注册协议255

9.5.2 协议驱动程序回调函数260

9.5.3　移动完整报文266

9.6　主机仿真273

9.6.1 创建MAC地址273

9.6.2　处理ARP协议273

9.6.3 IP网关276

9.6.4　发送报文276

9.7 小结280

第10章　rootkit检测281

10.1 检测rootkit的存在281

10.1.1 守护门口282

10.1.2　扫描“空间”284

10.1.3　查找钩子284

10.2 检测rootkit的行为293

10.2.1 检测隐藏的文件和注册表键294

10.2.2　检测隐藏的进程294

10.3 小结297