1.1 SMB会话的安全弱点 1
1.1.1 SMB概述 1
1.1.2 远程访问共享资源流程 1
第一章 针对Windows的侵入 1
1.1.3 实现SMB的部件 3
1.1.4 基于SMB会话的认证过程 5
1.1.5 SMB数据结构 5
1.1.6 SMB安全弱点 7
1.2 缓存区溢出 9
1.2.1 缓存区溢出概述 9
1.1.7 防范措施 9
1.2.2 溢出攻击实现原理 10
1.2.3 远程溢出攻击流程 14
1.2.4 编写shellcode的要点 15
1.2.5 explorit代码编写要点 17
1.2.6 溢出攻击的防范 17
1.3 Windows Web服务的安全弱点 18
1.3.1 Unicode解析错误漏洞 18
1.3.2 IIS HACK 19
1.3.3 Codebrws.asp Showcode.asp 19
1.3.4 扩展名为.htr程序的一些漏洞 19
1.3.6 Index Server存在返回漏洞 20
1.3.7 后缀为printer的文件的溢出 20
1.3.5 扩展名为idq或ida文件漏洞 20
1.3.8 WebDav 21
1.3.9 MDAC 21
1.3.10 SQL Server弱口令 22
1.3.11 SQL注入 22
1.4 脚本运行的安全弱点 22
1.4.1 MIME漏洞 22
1.4.2 创建和解释执行ActiveX对象 23
1.4.3 利用OBJECT的DATA漏洞 23
1.4.4 利用shell.application 24
2.1.2 Telnet 25
2.1.1 计划任务 25
2.1 利用系统提供的控制工具 25
第二章 攻击后的控制与通信 25
2.1.3 Terminal服务 26
2.2 特制的控制程序——木马 26
2.2.1 木马的基本功能实现 26
2.2.2 植入木马的途径 27
2.2.3 木马的启动 27
2.2.4 木马文件的隐藏与自我保护 30
2.2.5 隐藏木马进程 30
2.3 通信的隐藏 31
2.3.1 反弹端口 31
2.3.2 端口劫持 31
2.4.1 键盘钩子 32
2.4 木马关键技术 32
2.3.3 icmp隧道 32
2.4.2 Windows2000/XP服务与后门技术 33
2.4.3 schost管理的服务 41
2.4.4 远程注入DLL 44
2.4.5 木马的清除 45
第三章 病毒和蠕虫 50
3.1 概述 50
3.2 典型蠕虫分析 51
3.2.1 莫里斯蠕虫 51
3.2.2 梅丽莎(Melissa) 51
3.2.3 爱虫(loveletter) 51
3.2.4 求职信(Klez) 52
3.2.5 红色代码(CodeRed) 53
3.2.6 尼姆达(Nimda) 54
3.2.7 冲击波(Worm.Blaster) 55
3.2.8 Sql蠕虫王 55
第四章 IDS概述 57
4.1 概述 57
4.2 IDS的发展历程 57
4.3 设计IDS应考虑的关键因素 58
4.3.1 入侵检测系统应具备的功能: 58
4.3.2 IDS性质特征 59
4.3.3 IDS的数据收集机制 59
4.4.1 异常检测 60
4.3.4 IDS体系结构的设计 60
4.4 常用的入侵检测技术 60
4.4.2 误用检测 61
4.4.3 基于系统关键程序的安全规格描述方法 62
第五章 Snort剖析 63
5.1 Snort规则 63
5.2 Snort各功能模块分析 64
5.2.1 Snort主体流程及流程分析 64
第六章 基于代理的分布式入侵检测系统的实现 79
6.1 基于代理的分布式入侵检测系统的现状 79
6.2.1 IDFW的组成 81
6.2.2 控制中心的实现 81
6.2 IDFW框架结构与实现 81
6.2.3 控制器的实现 92
6.3 基于网络的代理的实现 93
6.3.1 总体描述 93
6.3.2 网络代理的结束机制 94
6.4 基于主机代理的实现 96
6.4.1 总体描述 96
6.4.2 解析规则建立规则链 97
6.4.3 枚举具有端口映射的进程 99
6.4.4 读取进程内容 111
6.4.5 特征码匹配 116
参考文献 118