 |
-- 會員 / 註冊 --
|
 |
|
|
|
Linux二進位分析 ( 簡體 字) |
| 作者:[美]里安 奧尼爾(Ryan ONeill) | 類別:1. -> 作業系統 -> Linux
2. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:人民郵電出版社 |  3dWoo書號: 48032
詢問書籍請說出此書號!【缺書】
NT售價: 295 元 |
| 出版日:12/1/2017 |
| 頁數:254 |
| 光碟數:0 |
|
站長推薦:  |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787115469236 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
| 前言: |
內容簡介:
二?制分析?于信息安全?界逆向工程中的一种技?,通?利用可?行的机器代?(二?制)?分析?用程序的控制?构和?行方式,有助于信息安全??人?更好地分析各种漏洞、病毒以及?意?件,?而找到相?的解?方案。
《Linux二?制分析》是一本剖析Linux ELF工作机制的??,共分?9章,其?容涵?了Linux?境和相?工具、ELF二?制格式、Linux?程追?、ELF病毒技?、Linux二?制保?、Linux中的ELF二?制取?分析、?程?存取?分析、?展核心文件快照技?、Linux/proc/kcore分析等。
《Linux二?制分析》适合具有一定的Linux操作知?,且了解C?言?程技巧的信息安全??人???。
|
目錄:第1章 Linux環境和相關工具 1
1.1 Linux工具 1
1.1.1 GDB 2
1.1.2 GNU binutils中的objdump 2
1.1.3 GNU binutils中的objcopy 3
1.1.4 strace 3
1.1.5 ltrace 4
1.1.6 基本的ltrace命令 4
1.1.7 ftrace 4
1.1.8 readelf 4
1.1.9 ERESI——ELF反編譯系統介面 5
1.2 有用的設備和檔 6
1.2.1 /proc//maps 6
1.2.2 /proc/kcore 6
1.2.3 /boot/System.map 6
1.2.4 /proc/kallsyms 7
1.2.5 /proc/iomem 7
1.2.6 ECFS 7
1.3 連結器相關環境指針 7
1.3.1 LD_PRELOAD環境變數 8
1.3.2 LD_SHOW_AUXV環境變數 8
1.3.3 連結器腳本 9
1.4 總結 10
第2章 ELF二進位格式 11
2.1 ELF檔案類型 12
2.2 ELF程式頭 14
2.2.1 PT_LOAD 14
2.2.2 PT_DYNAMIC——動態段的Phdr 15
2.2.3 PT_NOTE 17
2.2.4 PT_INTERP 17
2.2.5 PT_PHDR 17
2.3 ELF節頭 18
2.3.1 .text節 20
2.3.2 .rodata節 20
2.3.3 .plt節 21
2.3.4 .data節 21
2.3.5 .bss節 21
2.3.6 .got.plt節 21
2.3.7 .dynsym節 21
2.3.8 .dynstr節 22
2.3.9 .rel.*節 22
2.3.10 .hash節 22
2.3.11 .symtab節 22
2.3.12 .strtab節 23
2.3.13 .shstrtab節 23
2.3.14 .ctors和.dtors節 23
2.4 ELF符號 27
2.4.1 st_name 28
2.4.2 st_value 28
2.4.3 st_size 28
2.4.4 st_other 28
2.4.5 st_shndx 29
2.4.6 st_info 29
2.5 ELF重定位 34
2.6 ELF動態連結 43
2.6.1 輔助向量 44
2.6.2 瞭解PLT/GOT 46
2.6.3 重溫動態段 49
2.7 編碼一個ELF解析器 52
2.8 總結 55
第3章 Linux進程追蹤 57
3.1 ptrace的重要性 57
3.2 ptrace請求 58
3.3 進程寄存器狀態和標記 60
3.4 基於ptrace的調試器示例 61
3.5 ptrace調試器 67
3.6 高級函數追蹤軟體 75
3.7 ptrace和取證分析 75
3.8 進程鏡像重建 77
3.8.1 重建進程到可執行檔的挑戰 78
3.8.2 重建可執行檔的挑戰 78
3.8.3 添加節頭表 79
3.8.4 重建過程演算法 79
3.8.5 在32位測試環境中使用Quenya重建進程 81
3.9 使用ptrace進行代碼注入 83
3.10 簡單的例子演示複雜的過程 91
3.11 code_inject工具演示 92
3.12 ptrace反調試技巧 92
3.13 總結 94
第4章 ELF病毒技術——Linux/UNIX病毒 95
4.1 ELF病毒技術 96
4.2 設計ELF病毒面臨的挑戰 97
4.2.1 寄生代碼必須是獨立的 97
4.2.2 字串存儲的複雜度 99
4.2.3 尋找存放寄生代碼的合理空間 100
4.2.4 將執行控制流傳給寄生代碼 100
4.3 ELF病毒寄生代碼感染方法 101
4.3.1 Silvio填充感染 101
4.3.2 逆向text感染 106
4.3.3 data段感染 108
4.4 PT_NOTE到PT_LOAD轉換感染 110
4.5 感染控制流 112
4.5.1 直接PLT感染 113
4.5.2 函數蹦床(function trampolines) 113
4.5.3 重寫.ctors/.dtors函數指標 114
4.5.4 GOT感染或PLT/GOT重定向 115
4.5.5 感染資料結構 115
4.5.6 函數指標重寫 115
4.6 進程記憶體病毒和rootkits——遠端代碼注入技術 115
4.6.1 共用庫注入 116
4.6.2 text段代碼注入 120
4.6.3 可執行檔注入 120
4.6.4 重定位代碼注入——ET_REL注入 120
4.7 ELF反調試和封裝技術 121
4.7.1 PTRACE_TRACEME技術 121
4.7.2 SIGTRAP處理技術 122
4.7.3 /proc/self/status技術 122
4.7.4 代碼混淆技術 123
4.7.5 字串表轉換技術 124
4.8 ELF病毒檢測和殺毒 124
4.9 總結 126
第5章 Linux二進位保護 127
5.1 ELF二進位加殼器 127
5.2 存根機制和用戶層執行 128
5.3 保護器存根的其他用途 133
5.4 現存的ELF二進位保護器 133
5.4.1 DacryFile——Grugq於2001年發佈 134
5.4.2 Burneye——Scut於2002年發佈 134
5.4.3 Shiva——Neil Mehta和Shawn Clowes於2003年發佈 135
5.4.4 Mays Veil——Ryan ONeill於2014年發佈 136
5.5 下載Maya保護的二進位檔案 142
5.6 二進位保護中的反調試 142
5.7 防模擬技術 143
5.7.1 通過系統調用檢測類比 144
5.7.2 檢測模擬的CPU不一致 144
5.7.3 檢測特定指令之間的時延 144
5.8 混淆方法 145
5.9 保護控制流完整性 145
5.9.1 基於ptrace的攻擊 145
5.9.2 基於安全性漏洞的攻擊 146
5.10 其他資源 147
5.11 總結 147
第6章 Linux下的ELF二進位取證分析 149
6.1 檢測入口點修改技術 150
6.2 檢測其他形式的控制流劫持 154
6.2.1 修改.ctors/.init_array節 154
6.2.2 檢測PLT/GOT鉤子 155
6.2.3 檢測函數蹦床 158
6.3 識別寄生代碼特徵 159
6.4 檢查動態段是否被DLL注入 161
6.5 識別逆向text填充感染 164
6.6 識別text段填充感染 166
6.7 識別被保護的二進位檔案 170
6.8 IDA Pro 175
6.9 總結 175
第7章 進程記憶體取證分析 177
7.1 進程記憶體佈局 178
7.1.1 可執行檔記憶體映射 179
7.1.2 程式堆 179
7.1.3 共用庫映射 180
7.1.4 棧、VDSO和vsyscall 180
7.2 進程記憶體感染 181
7.2.1 進程感染工具 181
7.2.2 進程感染技術 182
7.3 檢測ET_DYN注入 184
7.3.1 Azazel:用戶級rootkit檢測 184
7.3.2 映射出進程的位址空間 184
7.3.3 查找棧中的LD_PRELOAD 187
7.3.4 檢測PLT/GOT鉤子 188
7.3.5 ET_DYN注入內部原理 190
7.3.6 操縱VDSO 194
7.3.7 共用目的檔案載入 195
7.3.8 檢測.so注入的啟發方法 196
7.3.9 檢測PLT/GOT鉤子的工具 197
7.4 Linux ELF核心文件 198
7.5 總結 204
第8章 ECFS——擴展核心檔快照技術 205
8.1 歷史 205
8.2 ECFS原理 206
8.3 ECFS入門 206
8.3.1 將ECFS嵌入到核心處理器中 207
8.3.2 在不終止進程的情況下使用ECFS快照 208
8.4 libecfs——解析ECFS文件的庫 208
8.5 readecfs工具 209
8.6 使用ECFS檢測被感染的進程 210
8.6.1 感染主機進程 210
8.6.2 捕獲並分析ECFS快照 211
8.6.3 使用readecfs提取寄生代碼 215
8.6.4 Azazel用戶級rootkit分析 216
8.7 ECFS參考指南 224
8.7.1 ECFS符號表重建 225
8.7.2 ECFS節頭 226
8.7.3 使用ECFS檔作為常規的核心檔 229
8.7.4 libecfs API的使用 229
8.8 使用ECFS恢復中斷的進程 230
8.9 瞭解更多ECFS相關內容 231
8.10 總結 232
第9章 Linux/proc/kcore分析 233
9.1 Linux內核取證分析和rootkit 233
9.2 沒有符號的備份vmlinux 234
9.3 探索/proc/kcore和GDB 236
9.4 直接修改sys_call_table 237
9.4.1 檢測sys_call_table修改 238
9.4.2 內核函數蹦床 238
9.4.3 函數蹦床示例 239
9.4.4 檢測函數蹦床 241
9.4.5 檢測中斷處理器修復 243
9.5 Kprobe rootkit 243
9.6 調試寄存器rootkit——DRR 244
9.7 VFS層rootkit 244
9.8 其他內核感染技術 245
9.9 vmlinux和.altinstructions修補 245
9.9.1 .altinstructions和.altinstr_replace 246
9.9.2 arch/x86/include/asm/alternative.h代碼片段 246
9.9.3 使用textify驗證內核代碼完整性 247
9.9.4 使用textify檢查sys_call_table 247
9.10 使用taskverse查看隱藏進程 248
9.11 感染的LKM——內核驅動 249
9.11.1 方法一:感染LKM檔——符號劫持 249
9.11.2 方法二:感染LKM檔——函數劫持 249
9.11.3 檢測被感染的LKM 250
9.12 /dev/kmem和/dev/mem 250
9.12.1 /dev/mem 251
9.12.2 FreeBSD /dev/kmem 251
9.13 K-ecfs ——內核ECFS 251
9.14 內核駭客工具 252
9.14.1 通用的逆向工程和調試 253
9.14.2 高級內核劫持/調試介面 253
9.14.3 本章提到的論文 253
9.15 總結 254
|
| 序: |
|
