惡意代碼原理、技術與防范( 簡體 字) | |
| 作者:奚琪,秦艷鋒,舒輝 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 出版社:電子工業出版社 |  3dWoo書號: 56334詢問書籍請說出此書號! 有庫存 NT售價: 295 元 |
| 出版日:7/1/2023 | |
| 頁數:236 | |
| 光碟數:0 | |
站長推薦:   | |
| 印刷:黑白印刷 | 語系: ( 簡體 字 ) |
| ISBN:9787121457456 | 加入購物車 │加到我的最愛 (請先登入會員) |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證, 繁體書的下載亦請直接連絡出版社) | |
第1章 惡意代碼概述 1
1.1 惡意代碼的概念 1 1.1.1 惡意代碼的定義 1 1.1.2 惡意代碼的類型 2 1.1.3 惡意代碼攻擊模型 4 1.2 惡意代碼的發展歷程 5 1.2.1 產生階段 5 1.2.2 初級發展階段 6 1.2.3 互聯網爆發階段 6 1.2.4 專業綜合階段 7 1.3 惡意代碼的命名 8 1.3.1 個性化命名方法 8 1.3.2 三元組命名方法 9 1.4 惡意代碼的傳播途徑 10 1.5 惡意代碼的發展趨勢 10 1.6 思考題 10 第2章 引導型惡意代碼 11 2.1 Windows引導過程 11 2.1.1 固件BIOS引導過程 11 2.1.2 UEFI的引導過程 14 2.1.3 Windows操作系統引導過程 17 2.2 引導型病毒 19 2.2.1 引導型病毒的原理 20 2.2.2 引導型病毒的實現 20 2.3 引導型Bootkit 22 2.3.1 基于MBR的Bootkit 22 2.3.2 基于UEFI的Bootkit 24 2.4 思考題 26 第3章 計算機病毒 27 3.1 計算機病毒概述 27 3.1.1 計算機病毒的基本概念 27 3.1.2 計算機病毒的原理 28 3.2 Win32病毒 32 3.2.1 PE文件的格式 32 3.2.2 Win32病毒關鍵技術 37 3.3 宏病毒 41 3.3.1 宏病毒概述 41 3.3.2 宏病毒的原理 42 3.3.3 宏病毒的防范 45 3.4 腳本病毒 46 3.4.1 Windows腳本 46 3.4.2 PowerShell病毒原理 47 3.4.3 腳本病毒的防范 49 3.5 思考題 49 第4章 特洛伊木馬 51 4.1 木馬概述 51 4.1.1 木馬的基本概念 51 4.1.2 木馬的組成與通信架構 55 4.1.3 木馬的工作流程 57 4.1.4 木馬的植入方法 58 4.2 木馬的啟動技術 60 4.2.1 利用系統配置啟動 60 4.2.2 利用注冊表啟動 61 4.2.3 利用劫持技術啟動 62 4.2.4 利用計劃任務啟動 65 4.2.5 其他方式 66 4.3 木馬的隱藏技術 66 4.3.1 文件隱藏 66 4.3.2 進程隱藏 69 4.3.3 通信隱藏 70 4.4 思考題 73 第5章 蠕蟲 74 5.1 蠕蟲概述 74 5.1.1 蠕蟲的定義 74 5.1.2 蠕蟲的分類 75 5.1.3 蠕蟲的行為特征 76 5.2 蠕蟲的工作原理 77 5.2.1 蠕蟲的組成與結構 77 5.2.2 蠕蟲的工作流程 78 5.3 典型蠕蟲分析 79 5.3.1 “震網”蠕蟲簡介 79 5.3.2 “震網”蠕蟲的工作原理 79 5.4 蠕蟲的防范 82 5.5 思考題 83 第6章 Rootkit 84 6.1 Rootkit概述 84 6.1.1 Rootkit的定義 84 6.1.2 Rootkit的特性 84 6.1.3 Rootkit的分類 85 6.2 Rootkit技術基礎 85 6.2.1 Windows系統的分層結構 85 6.2.2 用戶層到內核層的轉換 87 6.3 應用層Rootkit 88 6.3.1 應用層Hooking技術 88 6.3.2 注入技術 90 6.3.3 應用層Hooking實例 92 6.4 內核層Rootkit 93 6.4.1 內核層Hooking 94 6.4.2 DKOM技術 95 6.4.3 內核層Hooking實例 97 6.5 Rootkit的防范與檢測 101 6.5.1 Rootkit的防范 101 6.5.2 Rootkit的檢測 102 6.6 思考題 103 第7章 智能手機惡意代碼 104 7.1 智能手機惡意代碼概述 104 7.1.1 智能手機操作系統 104 7.1.2 智能手機惡意代碼簡述 105 7.1.3 智能手機惡意代碼的傳播途徑 106 7.2 Android惡意代碼 107 7.2.1 Android概述 107 7.2.2 Android進程沙箱逃逸技術 107 7.2.3 Android應用程序簽名機制繞過技術 107 7.2.4 Android惡意代碼實例 108 7.3 iOS惡意代碼 110 7.3.1 iOS概述 110 7.3.2 iOS代碼簽名繞過技術 110 7.3.3 iOS安全啟動鏈劫持技術 111 7.3.4 iOS沙盒逃逸技術 112 7.3.5 iOS后臺持久化技術 112 7.3.6 iOS內核地址空間布局隨機化突破技術 113 7.3.7 iOS惡意代碼實例 113 7.3.8 iOS應用程序插件開發 115 7.4 智能手機惡意代碼防范 117 7.4.1 防范策略 117 7.4.2 防范工具 118 7.5 思考題 120 第8章 特征碼定位與免殺 121 8.1 惡意代碼的特征碼 121 8.1.1 特征碼的基本概念 121 8.1.2 特征碼的類型 122 8.2 特征碼定位原理 122 8.2.1 分塊填充定位法 122 8.2.2 分塊保留定位法 124 8.2.3 特征定位工具應用 127 8.3 惡意代碼免殺技術 130 8.3.1 PE文件頭免殺方法 130 8.3.2 導入表免殺方法 131 8.3.3 代碼段免殺方法 133 8.3.4 數據段免殺方法 137 8.3.5 利用編譯器轉換的免殺方法 138 8.4 思考題 138 第9章 加密技術與加殼技術 139 9.1 加密技術 139 9.1.1 加密技術概述 139 9.1.2 加密算法簡介 139 9.1.3 軟件的加密 143 9.1.4 加密策略 146 9.2 加殼技術 147 9.2.1 軟件殼概述 147 9.2.2 軟件殼的分類 148 9.2.3 加殼原理與實現 151 9.3 虛擬機保護技術 156 9.3.1 虛擬機保護技術概述 156 9.3.2 虛擬機保護技術的實現 157 9.4 思考題 159 第10章 代碼混淆技術 160 10.1 代碼混淆技術概述 160 10.1.1 代碼混淆技術的定義 160 10.1.2 代碼混淆技術的功能 160 10.1.3 代碼混淆技術的優缺點 161 10.1.4 代碼混淆技術的分類 161 10.2 語法層混淆 162 10.2.1 填充和壓縮 162 10.2.2 標志符替代 162 10.2.3 編碼混淆 163 10.2.4 字符串混淆 163 10.2.5 函數參數混淆 163 10.2.6 語法層混淆的缺陷 164 10.3 控制流混淆 165 10.3.1 控制流壓扁法 165 10.3.2 分支引入法 167 10.3.3 利用異常處理隱藏條件分支 169 10.4 數據混淆 171 10.4.1 整型混淆 171 10.4.2 布爾混淆 172 10.4.3 常量混淆 173 10.4.4 數組混淆 173 10.4.5 結構混淆 174 10.5 思考題 175 第11章 反動態分析技術 176 11.1 反動態分析技術概述 176 11.1.1 反動態分析技術的分類 176 11.1.2 反動態分析技術的依賴性 177 11.2 反調試技術 177 11.2.1 探測調試器 177 11.2.2 識別調試器行為 184 11.2.3 干擾調試器 189 11.3 虛擬機檢測技術 193 11.3.1 檢測虛擬機痕跡 194 11.3.2 從內存中檢測虛擬機 195 11.3.3 檢測通信I/O端口 198 11.4 思考題 199 第12章 惡意代碼防范技術 200 12.1 惡意代碼防范技術概述 200 12.1.1 惡意代碼防范技術的發展 200 12.1.2 惡意代碼的防范思路 200 12.2 惡意代碼檢測技術 201 12.2.1 惡意代碼檢測技術概述 201 12.2.2 特征碼檢測技術 205 12.2.3 動態檢測技術 210 12.2.4 其他檢測技術 212 12.3 惡意代碼清除 214 12.3.1 清除惡意代碼的一般原則 214 12.3.2 清除惡意代碼的原理 215 12.3.3 清除惡意代碼的方法 216 12.4 惡意代碼預防 217 12.4.1 惡意代碼查殺軟件 217 12.4.2 系統監控技術 219 12.4.3 系統免疫技術 219 12.4.4 系統加固技術 221 12.5 數據備份與數據恢復 221 12.5.1 數據備份 222 12.5.2 數據恢復 223 12.6 思考題 225 參考文獻 226 本書首先介紹惡意代碼的原理和實現技術,并詳細介紹了引導型惡意代碼、計算機病毒、特洛伊木馬、蠕蟲、Rootkit、智能手機惡意代碼等,然后結合實例進行深入分析,接著從惡意代碼生存對抗入手,詳細介紹了特征碼定位與免殺、加密與加殼、代碼混淆、反動態分析等反檢測技術,從實際應用的角度分析了它們的優勢與不足,最后介紹了惡意代碼防范技術,包括惡意代碼檢測技術、惡意代碼清除、惡意代碼預防和數據備份與數據恢復等。本書結構合理、概念清晰、內容翔實,結合了豐富的實例和代碼剖析技術的本質。書中每章末都附有思考題,以方便講授和開展自學。本書可作為高等學校網絡空間安全、信息安全等專業相關課程的教材,也可作為計算機科學與技術、網絡工程等專業相關課程的教學參考書,還可作為信息技術人員、網絡安全技術人員的參考用書。
叢書序
進入21世紀以來,信息技術的快速發展和深度應用使得虛擬世界與物理世界加速融合,網絡資源與數據資源進一步集中,人與設備通過各種無線或有線手段接入整個網絡,各種網絡應用、設備、人逐漸融為一體,網絡空間的概念逐漸形成。人們認為,網絡空間是繼海、陸、空、天之后的第五維空間,也可以理解為物理世界之外的虛擬世界,是人類生存的“第二類空間”。信息網絡不僅滲透到人們日常生活的方方面面,同時也控制了國家的交通、能源、金融等各類基礎設施,還是軍事指揮的重要基礎平臺,承載了巨大的社會價值和國家利益。因此,無論是技術實力雄厚的黑客組織,還是技術發達的國家機構,都在試圖通過對信息網絡的滲透、控制和破壞,獲取相應的價值。網絡空間安全問題自然成為關乎百姓生命財產安全、關系戰爭輸贏和國家安全的重大戰略問題。 要解決網絡空間安全問題,必須掌握其科學發展規律。但科學發展規律的掌握非一朝一夕之功,治水、訓火、利用核能都曾經歷了漫長的歲月。無數事實證明,人類是有能力發現規律和認識真理的。國內外學者已出版了大量網絡空間安全方面的著作,當然,相關著作還在像雨后春筍一樣不斷涌現。我相信有了這些基礎和積累,一定能夠推出更高質量、更高水平的網絡空間安全著作,以進一步推動網絡空間安全創新發展和進步,促進網絡空間安全高水平創新人才培養,展現網絡空間安全最新創新研究成果。 “網絡空間安全系列叢書”出版的目標是推出體系化的、獨具特色的網絡空間安全系列著作。叢書主要包括五大類:基礎類、密碼類、系統類、網絡類、應用類。部署上可動態調整,堅持“寧缺毋濫,成熟一本,出版一本”的原則,希望每本書都能提升讀者的認識水平,也希望每本書都能成為經典范本。 非常感謝電子工業出版社為我們搭建了這樣一個高端平臺,能夠使英雄有用武之地,也特別感謝編委會和作者們的大力支持和鼎力相助。 限于作者的水平,本叢書難免存在不足之處,敬請讀者批評指正。 馮登國 院士 前言 進入21世紀以來,計算機系統、智能終端和網絡逐步成為人類社會活動中不可或缺的部分。人們在享受著數字化帶來的巨大便利的同時,也面臨著來自網絡空間的形形色色的安全威脅。惡意代碼便是其中最大的安全威脅之一。作為影響信息安全領域的重要方面,惡意代碼近年來在國家博弈、組織對抗、社會穩定、個人經濟生活等方面發揮著雙刃劍的作用,引起社會各界的廣泛重視。 本書的內容來源于作者在計算機病毒和惡意代碼領域10余年的教學經驗,以及從事的惡意代碼及防范的研究。書中重點分析了惡意代碼的運行機制,結合現實案例講解了常見惡意代碼的類型。在分析惡意代碼原理和技術的基礎上,著重介紹了惡意代碼針對安全軟件的生存對抗技術。此外,還對惡意代碼的防范進行了探討。全書包括12章,第1章介紹惡意代碼的總體情況;第2~7章分類闡述惡意代碼的工作原理和關鍵技術;第8~11章分析惡意代碼的生存和對抗技術;第12章介紹惡意代碼的防范技術。具體內容如下。 第1章:惡意代碼概述。本章主要介紹惡意代碼的概念,并在此基礎上闡述惡意代碼的發展歷程、基本模型、分類特征、命名方法、傳播途徑和發展趨勢等。 第2章:引導型惡意代碼。本章在講解Windows操作系統引導過程的基礎上,分別探討了固件BIOS和UEFI引導過程的原理和區別。針對不同的固件引導方式,分析了傳統的引導型病毒和近年來經典的Bootkit的運行機制。 第3章:計算機病毒。本章介紹了計算機病毒概念和基本工作機制,并在此基礎上按照二進制、宏和腳本三類常見的文件型病毒,分別介紹了Win32病毒、宏病毒和腳本病毒的實現基礎、原理機制、關鍵技術和防范方法。 第4章:特洛伊木馬。本章詳細介紹了木馬的定義和分類、發展歷程、組成架構、工作流程等,重點分析了木馬的植入、啟動、隱藏等核心技術。 第5章:蠕蟲。本章著重介紹了蠕蟲的特點及危害、組成與結構、傳播模型和工作原理,詳細剖析了“震網”蠕蟲的組成模塊、關鍵技術和運行機制。 第6章:Rootkit。本章介紹了Rootkit的定義、特性、分類等,并在此基礎上分別針對應用層和內核層介紹了兩類Rootkit的技術基礎、方法原理和實現技術。此外,還簡單探討了Rootkit的防范與檢測方法。 第7章:智能手機惡意代碼。本章介紹了智能手機惡意代碼的特點、傳播方法等,針對市場上最主流的Android和iOS操作系統,分析了其安全特點及惡意代碼突破技術,并給出了相應的防范策略。 第8章:特征碼定位與免殺。本章介紹了惡意代碼針對特征碼掃描的突破和繞過技術,重點介紹了特征碼的定位原理、免殺技術,以及針對不同區域的免殺實現方法等。 第9章:加密技術與加殼技術。本章介紹了惡意代碼為了對抗靜態分析所采取的加密技術和加殼技術,重點分析了惡意代碼加密的對象和加密策略、軟件加殼原理和工具,以及虛擬機保護技術等。 第10章:代碼混淆技術。本章介紹了惡意代碼為了提高解析難度所采用的混淆技術,重點從語法層、控制流和數據3個維度介紹了常見的混淆方法。 第11章:反動態分析技術。本章介紹了惡意代碼針對動態調試和行為檢測所采取的反調試和規避技術,重點介紹了惡意代碼常用的探測和干擾調試器,以及運行環境是否為虛擬機的識別方法。 第12章:惡意代碼防范技術。本章主要介紹了惡意代碼的防范策略和具體方法,重點介紹了防范體系的檢測技術,針對預防、檢測、清除、備份與恢復等環節,提出防范策略、實現技術、工具和實施方法。 戰略支援部隊信息工程大學網絡空間安全學院組織了本書的編寫工作。本書的第1、2、6、11章由奚琪編寫,第4、12章由秦艷鋒編寫,第3、5章由舒輝編寫,第7章由周國淼編寫,第8章由朱俊虎編寫,第9章由杜雯雯編寫,第10章由胡雪麗編寫。王清賢教授擔任主審,對全書內容進行了審定。 在本書的統稿過程中,張丹陽、程蘭馨、馬旭攀等做了很多校對工作,衷心感謝他們為本書出版做出的貢獻。電子工業出版社的編輯為本書的順利出版做了大量專業細致的工作,在此一并表示感謝。 本書包含配套教學資源,讀者可登錄華信教育資源網(www.hxedu.com.cn)下載。 網絡技術發展迅猛,限于作者水平,書中難免有疏漏之處,懇請讀者批評指正,使本書得以進一步改進和完善。 作 者 2023年3月 | |
