Rootkit隐遁攻击技术及其防范PDF电子书下载

第1章 Rootkit概述 1

1.1 Rootkit的由来 1

1.2 Rootkit的定义 3

1.3 Rootkit的原理 3

1.3.1 计算机系统的抽象 4

1.3.2 Rootkit设计理念 7

1.4 Rootkit的类型及其演化 8

1.5 本章小结 11

第2章 硬件系统 13

2.1 保护模式概述 13

2.2 保护模式执行环境 14

2.3 保护模式CPU特权级 18

2.4 保护模式内存分段与分页 18

2.5 内存访问控制体系 23

2.6 本章小结 24

第3章 软件系统 25

3.1 Windows系统的设计原则 25

3.2 Windows系统的体系结构 26

3.3 Windows的分段与分页 27

3.4 Windows系统服务调用机制 28

3.4.1 中断分发 30

3.4.2 异常分发 32

3.4.3 系统服务分发 33

3.5 本章小结 35

第4章 Windows内核驱动程序 37

4.1 概述 37

4.2 重要数据结构 41

4.2.1 IRP 42

4.2.2 I/O堆栈 45

4.2.3 IRP的传递与完成 47

4.3 WDM驱动的基本结构 48

4.3.1 DriverEntry 48

4.3.2 AddDevice 53

4.3.3 IRP处理例程 54

4.3.4 Unload 54

4.3.5 内核驱动程序实例 54

4.4 本章小结 56

第5章 用户层Rootkit 57

5.1 用户层Rootkit概述 57

5.2 用户层Rootkit技术 58

5.2.1 IAT钩子 58

5.2.2 Inline Function钩子 69

5.2.3 DLL注入 75

5.2.4 DLL劫持 78

5.3 本章小结 85

第6章 内核层Rootkit 87

6.1 内核层Rootkit概述 87

6.2 内核层Rootkit技术 88

6.2.1 系统表格钩子 89

6.2.2 映像修改 129

6.2.3 过滤驱动程序 139

6.2.4 直接内核对象操纵（DKOM） 143

6.3 本章小结 145

第7章 底层Rootkit 147

7.1 扩展的处理器模式 147

7.1.1 系统管理模式 148

7.1.2 虚拟机技术 149

7.2 固件 150

7.2.1 板载BIOS 150

7.2.2 扩展ROM 152

7.2.3 ACPI组件 152

7.2.4 UEFI组件 152

7.3 硬件 154

7.4 本章小结 154

第8章 Rootkit检测与取证分析 155

8.1 Rootkit检测概述 155

8.2 Rootkit检测技术 158

8.2.1 IAT Hook检测示例 159

8.2.2 IRP Hook检测示例 160

8.2.3 IDT Hook检测示例 162

8.2.4 MSR Hook检测示例 165

8.2.5 SSDT Hook检测示例 174

8.2.6 Inline Hook检测示例 176

8.2.7 基于免疫的Rootkit检测技术 177

8.3 Rootkit检测工具 191

8.4 Rootkit取证分析 193

8.4.1 证据的获取与存储 194

8.4.2 取证分析 194

8.5 Rootkit取证工具 238

8.5.1 磁盘镜像工具 238

8.5.2 内存镜像工具 241

8.5.3 内存分析工具 243

8.5.4 进程转储工具 243

8.5.5 时间轴取证工具 243

8.5.6 证据收集工具 244

8.5.7 电子邮件取证工具 244

8.5.8 大数据取证分析工具 245

8.6 本章小结 246

第9章 Rootkit的未来 247

9.1 Rootkit的发展趋势 247

9.2 Rootkit的防御方向 248

参考文献 251