恶意软件、Rootkit和僵尸网络(恶意软件、Rootkit和僵尸网络领域经典入门书，译著双馨，10余家安全机构联袂，Amazon五星书)

内容简介

本书是恶意软件、rootkit和僵尸网络领域的经典入门书，也被誉为是该领域的一本书，10余家安全机构联袂，Amazon五星书。由知名的安全技术专家撰写，中国信息安全测评中心软件安全实验室主任领衔翻译，译著双馨。本书既从攻击者的角度详细介绍了恶意软件的技术原理、攻击流程和攻击方法，又从防御者的角度深入讲解了恶意软件的分析方法以及应对各种威胁的解决方案和实践。书中包含大量案例，不仅实践性强，而且还颇有趣味。
本书共分为四部分。第一部分（第1～4章）迅速导入“基础知识”，介绍当前面临的威胁、主要网络攻击手段，使读者能充分了解什么是恶意软件、rootkit和僵尸网络。第二部分（第5～8章），是本书核心部分，从更高的视角来讲解以下内容：攻击者的恶意软件操作形式；网络犯罪团体的组织形式；攻击者如何利用现有技术去创建、部署、管理可控的恶意软件和僵尸网络，涵盖整个威胁流程，使读者对恶意软件编写者的思维方式和操作方法有深入了解，参考价值。这部分还将阐明普通用户如何于不知不觉中成为网络犯罪组织的参与者，以及攻击者获益链条。第三部分（第9～11章），主要讲解“企业应对方案”，引导读者进一步了解威胁处理方法、提高系统安全性的秘技、了解现有系统安全性的实用性方法，以及识别和缓解潜在威胁的业界实践。第四部分（第12章），此部分回顾本书所讲内容，并着重讨论了恶意软件、rootkit和僵尸网络今后的发展态势，使读者了解目前反恶意软件领域的前沿研究工作。

目录

目　　录
本书赞誉
译者序
序
前言
第一部分　基础知识
第1章　背景知识1
1.1　一次恶意软件遭遇1
1.2　目前所面临的威胁概述2
1.3　对国家安全构成的威胁3
1.4　开启旅程4
1.5　本章小结5
参考文献5
第2章　恶意软件简史6
2.1　计算机病毒6
2.1.1　计算机病毒的分类7
2.1.2　早期挑战11
2.2　恶意软件12
2.2.1　恶意软件分类12
2.2.2　恶意软件的发展21
2.3　风险软件24
2.4　恶意软件开发套件25
2.5　恶意软件的影响26
2.6　本章小结26
第3章　rootkit的隐藏28
3.1　什么是rootkit28
3.2　环境的结构29
3.2.1　操作系统内核29
3.2.2　用户态和内核态29
3.2.3　ring30
3.2.4　从用户态转换到内核态30
3.3　rootkit的类型33
3.3.1　用户态rootkit33
3.3.2　内核态rootkit34
3.4　rootkit技术34
3.4.1　hooking34
3.4.2　DLL注入37
3.4.3　直接内核对象操纵38
3.5　应对rootkit38
3.6　本章小结39
第4章　僵尸网络的兴起41
4.1　什么是僵尸网络41
4.1.1　主要特点42
4.1.2　关键组件43
4.1.3　C&C结构44
4.2　僵尸网络的使用48
4.2.1　分布式拒绝服务攻击49
4.2.2　点击欺诈49
4.2.3　垃圾邮件转发50
4.2.4　单次安装付费代理51
4.2.5　大规模信息获取52
4.2.6　信息处理52
4.3　僵尸网络的保护机制53
4.3.1　防弹主机53
4.3.2　动态DNS54
4.3.3　Fast-Fluxing技术54
4.3.4　域名变化地址57
4.4　对抗僵尸网络59
4.4.1　技术战线60
4.4.2　法律战线61
4.5　本章小结63
4.6　参考文献64
第二部分　恶劣的现状
第5章　威胁生态系统65
5.1　威胁生态系统组成65
5.1.1　技术因素66
5.1.2　人为因素74
5.1.3　威胁生态系统的演进78
5.2　持续性威胁79
5.2.1　攻击方法79
5.2.2　攻击的收益82
5.3　恶意软件经济84
5.4　本章小结86
第6章　恶意软件工厂89
6.1　逃避反病毒检测的必要性90
6.1.1　恶意软件事件处理过程91
6.1.2　恶意软件检测98
6.1.3　反病毒产品绕过技术101
6.2　建立恶意软件军队的必要性111
6.2.1　下一代恶意软件工具套件111
6.2.2　独立的防护工具112
6.2.3　恶意软件装甲军队的作用114
6.3　恶意软件工厂115
6.3.1　恶意软件流水线115
6.3.2　攻击者工具的获得119
6.3.3　恶意软件日益泛滥120
6.4　本章小结121
第7章　感染载体123
7.1　感染载体概述123
7.1.1　物理媒介125
7.1.2　电子邮件127
7.1.3　即时通信和聊天软件130
7.1.4　社交网络132
7.1.5　URL链接134
7.1.6　文件共享140
7.1.7　软件漏洞141
7.2　变成感染载体的可能性143
7.3　本章小结144
第8章　受感染系统146
8.1　恶意软件感染过程146
8.1.1　安装恶意软件文件150
8.1.2　设置恶意软件的持久性154
8.1.3　移除恶意软件安装证据155
8.1.4　向恶意软件传递控制权156
8.2　活跃的恶意软件157
8.2.1　在系统中长期潜伏158
8.2.2　和攻击者通信161
8.2.3　执行有效载荷163
8.3　本章小结164
第三部分　企业的应对
第9章　组织保护167
9.1　威胁事件响应者168
9.2　理解系统的价值169
9.2.1　系统对于组织的价值169
9.2.2　系统对于攻击者的价值173
9.3　理解系统的特征175
9.3.1　系统类型176
9.3.2　运营影响177
9.3.3　主机数据的敏感度178
9.3.4　系统用户179
9.3.5　网络位置179
9.3.6　资

摘要与插图

前　　言
本书是关于恶意软件、rootkit和僵尸网络的入门读物，书中讨论的概念深入浅出，容易阅读和理解。学习完本书以后，读者就可以和同事、本领域的专家就恶意软件、rootkit和僵尸网络进行深入讨论。
本书适用的读者群
本书适合以下人员阅读：负责公司网络和系统安全的人员，需要提升自身的安全专业技术人员，学习相关课程的学生，对恶意软件、rootkit和僵尸网络感兴趣的用户。
本书涉及的内容
本书将介绍一些关于恶意软件、rootkit和僵尸网络的概念和主题。什么是威胁？是什么将它们变得如此危险？网络犯罪人员使用的是什么技术？本书还将着眼于使用这些技术对目标进行攻击的网络犯罪，他们是谁？他们在其中担任什么角色？他们怎样成功地窃取钱财？
本书不仅仅包含计算机安全的黑暗面，也讨论了保护组织网络的一些方法，提出了一些切实可行的步骤和规则，以提高组织的安全性。
怎样使用本书
读者可以从头到尾按照顺序仔细阅读本书，这将使读者有更加清晰的思路，因为本书的后续章节都是建立在前面章节的基础上的。但是这不是阅读本书的方法。尽管章节之间是相互联系的，但是对每个章节而言，可以单独阅读以了解本章的主旨，而没有必要顾虑前后章节的顺序。每个章节在一定程度上也是相互独立的，因此如果读者熟悉某一章节的内容，可以直接跳过该章节。本书也可以作为参考书来使用。
本书架构
本书包含四个部分，共12章。
第一部分　基础知识
第一部分简单介绍当今我们面临的威胁，介绍网络攻击的手段，使读者充分了解什么是恶意软件、rootkit和僵尸网络。第一部分包含四章。
第1章是背景知识，简单介绍了当前面临的威胁，讨论了恶意软件对人们日常生活的影响，使读者快速地进入恶意软件、rootkit和僵尸网络的学习之中。
第2章展示了丰富的恶意软件世界，先介绍了恶意软件技术的发展史，重点是几年的发展状况，恶意软件如何影响和改变数字世界的，以及我们对计算机信息处理技术的理解。根据恶意软件的行为和目的等不同特征，本章对其进行了不同的分类。
第3章介绍了rootkit控制目标主机并且隐藏自身的几种常见技术。
第4章定义了什么是僵尸网络以及其主要的组件，僵尸网络与攻击者通信的不同方法，僵尸网络利用怎样的网络逃避技术来避免执法部门的检测或查处。
第二部分　恶劣的现状
通过阅读第一部分，读者具有了一定的基础知识，并对相关威胁有了一定了解。第二部分是本书的核心，读者将会从更高的视角来了解以下内容：攻击者怎样操作；网络犯罪团体的组织形式；用现有的技术去创建、部署、管理受其控制的恶意软件和僵尸网络。读者将会了解整个威胁的流程：从恶意软件的产生，攻击目标的选择，通过不同的感染载体进行部署，感染系统，到执行恶意软件。第二部分也将阐明普通用户怎样不知不觉地成为网络犯罪组织的参与者，以及攻击者如何从恶意行为中获益。第二部分包括四章。
第5章介绍了威胁生态系统的概念及其构成，不仅讨论了可持续威胁的组成元素，而且包括了其幕后的犯罪分子。该章还深入阐述了这些犯罪分子怎样利用受控主机赚钱，怎样出售窃取的数据，怎样利用普通人作为“洗钱者”来洗钱。
第6章深入讨论了日益增加的恶意软件幕后到底隐藏着什么，恶意软件的数量从前些年的屈指可数到今天的五位数规模。该章讨论了能创造大量的恶意软件，并使它们具备免杀能力的各种工具和方法。为了更好地理解上述工具和方法如何逃过反病毒软件的检测，该章还揭示了反病毒软件常用的特征检测技术。该章还带领读者走进恶意软件