本书系统论述了Rootkit隐遁攻击的概念、原理、应用技术及检测取证。首先,简要回顾了Rootkit的由来、定义、原理、类型及其演化。其次,阐述了Rootkit技术的基础理论,包括硬件系统、软件系统,以及Windows内核驱动程序设计。然后,重点探讨了Rootkit攻击技术的具体类型及其实现,包括用户层Rootkit、内核层Rootkit、固件Rootkit及硬件Rootkit。后,从防御的角度讨论了Rootkit检测与取证技术,以及Rootkit未来的发展趋势。 本书取材新颖,聚焦前沿,内容丰富,可作为IT和安全专业人士的研究指导用书,同时也适合作为高等学校计算机安全专业本科、研究生的参考教材。
张瑜,博士,教授,2009年6月毕业于四川大学计算机学院,获工学博士学位,并获四川大学博士毕业生称号。现任职于海南师范大学信息学院,网络与信息安全学术带头人,海南省信息安全委员会委员。2013年受国家留学基金委资助,赴美国Sam Houston State University访学一年,在网络安全领域与美方进行了深度科研合作。主持国家自然科学基金、教育部、海南省重点研发计划项目、海南省自然科学基金等国家计划项目的研究,在国内外期刊上30余篇,20多篇被SCI、EI收录。已出版《计算机病毒进化论》、《免疫优化理论及其应用》等专著,申请国家发明专利2项。
目 录
第1章 Rootkit概述 ...............................................................................................................1
1.1 Rootkit的由来 ........................................................................................................................1
1.2 Rootkit的定义 ........................................................................................................................3
1.3 Rootkit的原理 ........................................................................................................................3
1.3.1 计算机系统的抽象.....................................................................................................4
1.3.2 Rootkit设计理念 .......................................................................................................7
1.4 Rootkit的类型及其演化 ........................................................................................................8
1.5 本章小结 ...............................................................................................................................11
第2章 硬件系统 ..................................................................................................................13
2.1 保护模式概述 .......................................................................................................................13
2.2 保护模式执行环境 ...............................................................................................................14
2.3 保护模式CPU特权级 .........................................................................................................18
2.4 保护模式内存分段与分页 ...................................................................................................18
2.5 内存访问控制体系 ...............................................................................................................23
2.6 本章小结 ...............................................................................................................................24
第3章 软件系统 ..................................................................................................................25
3.1 Windows系统的设计原则...................................................................................................25
3.2 Windows系统的体系结构...................................................................................................26
3.3 Windows的分段与分页.......................................................................................................27
3.4 Windows系统服务调用机制...............................................................................................28
3.4.1 中断分发...................................................................................................................30
3.4.2 异常分发...................................................................................................................32
3.4.3 系统服务分发...........................................................................................................33
3.5 本章小结 ...............................................................................................................................35
第4章 Windows内核驱动程序 ...........................................................................................37
4.1 概述 .......................................................................................................................................37
4.2 重要数据结构 .......................................................................................................................41
4.2.1 IRP ............................................................................................................................42
4.2.2 I/O堆栈 ....................................................................................................................45
4.2.3 IRP的传递与完成 ...................................................................................................47
4.3 WDM驱动的基本结构 .......................................................................................................48
4.3.1 DriverEntry ...............................................................................................................48
4.3.2 AddDevice.................................................................................................................53
4.3.3 IRP处理例程 ...........................................................................................................54
4.3.4 Unload .......................................................................................................................54
4.3.5 内核驱动程序实例...................................................................................................54
4.4 本章小结 ...............................................................................................................................56
第5章 用户层Rootkit .........................................................................................................57
5.1 用户层Rootkit概述 .............................................................................................................57
5.2 用户层Rootkit技术 .............................................................................................................58
5.2.1 IAT钩子 ...................................................................................................................58
5.2.2 Inline Function钩子 .................................................................................................69
5.2.3 DLL注入 ..................................................................................................................75
5.2.4 DLL劫持 ..................................................................................................................78
5.3 本章小结 ...............................................................................................................................85
第6章 内核层Rootkit .........................................................................................................87
6.1 内核层Rootkit概述 .............................................................................................................87
6.2 内核层Rootkit技术 .............................................................................................................88
6.2.1 系统表格钩子...........................................................................................................89
6.2.2 映像修改.................................................................................................................129
6.2.3 过滤驱动程序.........................................................................................................139
6.2.4 直接内核对象操纵(DKOM) ............................................................................143
6.3 本章小结 .............................................................................................................................145
第7章 底层Rootkit ...........................................................................................................147
7.1 扩展的处理器模式 .............................................................................................................147
7.1.1 系统管理模式.........................................................................................................148
7.1.2 虚拟机技术.............................................................................................................149
7.2 固件 .....................................................................................................................................150
7.2.1 板载BIOS ..............................................................................................................150
7.2.2 扩7
非常满意 推荐大家购买
对有一定技术基础的有用,这本书是理论多些
发货快,服务好,好好好好好好
