《僵尸网络 网络程序杀手》PDF下载

  • 购买积分:11 如何计算积分?
  • 作  者:克雷格·席勒著
  • 出 版 社:北京:科学出版社
  • 出版年份:2009
  • ISBN:9787030249432
  • 页数:294 页
图书介绍:本书介绍了僵尸网络的概念、检测工具和技术、Ourmon的安装及检测、IRC和僵尸网络的关系,以及如何应对僵尸网络等内容。

第1章 僵尸网络:呼吁行动 1

前言 2

网络程序杀手 3

问题有多大? 3

僵尸网络的概念史 4

僵尸病毒的新闻案例 11

业界反响 15

小结 15

快速回顾 16

常见问题 17

第2章 僵尸网络概述 19

什么是僵尸网络? 20

僵尸网络的生命周期 20

漏洞利用 21

召集和保护僵尸网络客户端 24

等候命令并接受payload 27

僵尸网络究竟做什么? 28

吸收新成员 28

DDoS 31

广告软件(Adware)和Clicks4Hire的安装 33

僵尸网络垃圾邮件和网络钓鱼连接 35

存储和分配偷窃或非法(侵犯)知识产权的信息资料 37

勒索软件(Ransomware) 41

数据挖掘 41

汇报结果 41

销毁证据,放弃(僵尸)客户端 41

僵尸网络经济 42

垃圾邮件和网络钓鱼攻击 42

恶意广告插件和Clicks4Hire阴谋 43

Ransomware勒索软件 45

小结 45

快速回顾 46

常见问题 48

第3章 僵尸网络C&C的替换技术 51

简介:为什么会有C&C的替换技术? 52

追溯C&C的发展历史 53

DNS和C&C技术 53

域名技术 54

多宿(Multihoming) 54

可替换控制信道 55

基于Web的C&C服务器 55

基于回声的僵尸网络 55

P2P僵尸网络 57

即时消息(IM)C&C 57

远程管理工具 58

降落区(drop zone)和基于FTP的C&C 58

基于DNS的高级僵尸网络 60

小结 61

快速回顾 62

常见问题 62

第4章 僵尸网络 63

简介 64

SDBot 64

别名 64

感染途径 65

被感染的标志 65

注册表项 66

新生成的文件 67

病毒传播 67

RBot 68

别名 68

感染途径 68

被感染的标志 68

Agobot 72

别名 72

感染途径 72

被感染的标志 73

传播 75

Spybot 76

别名 76

感染途径 76

被感染的标志 77

注册表项 77

不正常的流量 79

传播 79

Mytob 80

别名 80

感染途径 81

被感染的标志 81

系统文件夹 81

不正常的流量 81

传播 81

小结 82

快速回顾 83

常见问题 84

第5章 僵尸网络检测:工具和技术 87

简介 88

滥用 88

垃圾邮件和滥用 91

网络设施:工具和技术 92

SNMP和网络流:网络监控工具 94

防火墙和日志 97

第二层的交换机和隔离技术 98

入侵检测 101

主机的病毒检测 104

作为IDS例子的Snort 109

Tripwire 112

暗网、蜜罐和其他陷阱 114

僵尸网络检测中的取证技术和工具 116

过程 117

事件日志 119

防火墙日志 125

反病毒软件日志 127

小结 134

快速回顾 134

常见问题 137

第6章 Ourmon:概述和安装 139

简介 140

案例分析:在黑暗中跌撞前行的事情 141

案例1:DDoS(分布式拒绝服务) 141

案例2 外部并行扫描 143

案例3 僵尸客户端 144

案例4 僵尸服务器 145

Ourmon如何工作 146

Ourmon的安装 149

Ourmon安装提示和窍门 151

小结 153

快速回顾 153

常见问题 154

第7章 Ourmon:异常检测工具 157

简介 158

Ourmon网页接口 158

原理简介 162

TCP异常检测 163

TCP端口报告:30秒视图 164

TCP蠕虫图表 170

TCP每小时摘要 171

UDP异常检测 173

E-mail异常检测 175

小结 177

快速回顾 178

常见问题 179

第8章 IRC和僵尸网络 181

简介 182

IRC协议 182

Ourmon的RRDTOOL统计与IRC报告 185

IRC报告的格式 185

检测IRC僵尸网络客户端 190

检测IRC僵尸网络服务器 194

小结 197

快速回顾 197

常见问题 198

第9章 ourmon高级技术 201

简介 202

自动包捕获 202

异常检测触发器 203

触发器应用实例 205

Ourmon事件日志 209

搜索Ourmon日志的技巧 209

嗅探IRC消息 212

优化系统 215

买一个双核(Dual-Core)CPU 216

使用不同的电脑,分开前端与后端 216

买一个双核,双CPU的主板 217

扩大内核的环缓存 217

减少中断 218

小结 218

快速回顾 218

常见问题 220

第10章 使用沙盒工具应对僵尸网络 221

简介 222

CWSandbox介绍 223

组件介绍 226

检查分析报告的样本 231

〈analysis〉部分 231

分析82f78a89bde09a71ef99b3ced b991bcc.exe 232

分析Arman.exe 233

解释分析报告 237

僵尸病毒是如何安装的? 238

病毒如何感染新主机 239

僵尸病毒如何保护本地主机和自己? 240

联系哪个C&C服务器以及如何联系 243

僵尸病毒如何更新? 244

进行了什么样的恶意操作? 245

在线沙盒对僵尸病毒的监测结果 249

小结 251

快速回顾 252

常见问题 253

第11章 情报资源 255

简介 256

辨别企业/大学应该尽力收集的信息 256

反汇编 258

可找到公用信息的地方/组织 260

反病毒、反间谍软件、反恶意软件的网页 260

专家和志愿者组织 261

邮件列表和讨论团体 263

会员组织以及如何获得资格 263

审查成员 264

保密协议 264

什么可以共享 264

什么不能共享 264

违背协议的潜在影响 265

利益冲突 265

获取信息时如何处理 266

情报收集在法律相关的执行方面扮演的角色 267

小结 267

快速回顾 268

常见问题 269

第12章 应对僵尸网络 271

简介 272

放弃不是一个选项 272

为什么会有这个问题? 273

刺激需求:金钱,垃圾邮件,以及网络钓鱼 274

法律实施问题 275

软件工程的棘手问题 276

缺乏有效的安全策略或者过程 277

执行过程中的挑战 278

我们应该做什么? 279

有效的方法 279

如何应对僵尸网络? 282

报告僵尸网络 283

绝地反击 284

法律的实施 288

暗网、蜜罐和僵尸网络颠覆 288

战斗的号角 290

小结 291

快速回顾 291

常见问题 293