Rootkit和Bootkit 现代恶意软件逆向分析和下一代威胁

本书将教你了解和对抗深藏在机器引导过程或UEFI固件中的复杂而高级的威胁。借助来自三位安全专家的大量案例研究和专业研究，你将了解恶意软件的开发过程，从TDL3这样的Rootkit到现在的UEFI植入，并考察它们如何感染系统，如何通过重启持续存在并规避安全软件的检查。当你检查和剖析真正的恶意软件时，你会学到：如何启动Windows系统（包括32位、64位和UEFI模式），以及在哪里找到漏洞。详细的启动过程的安全机制（如SecureBoot),包括VSM(VirtualSecureMode)和DeviceGuard概述。用于分析真实恶意软件(包括Rovnix/Carberp、Gapz、TDL4等Bootkit软件,以及臭名昭著的TDL3和Festi等Rootkit软件）的逆向工程和取证技术。如何使用仿真和Bochs、IDAPro等工具执行静态和动态分析。如何更好地理解针对BIOS和UEFI固件的威胁交付阶段，以便创建检测功能。如何使用虚拟化工具（例如VMwareWorkstation）对Bootkit进行逆向工程，以及如何使用IntelChipsec工具深入进行取证分析。网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序，攻防之战远没有结束。通过本书，读者可以探索恶意软件分析的前沿技术。

安和博士，资深网络安全专家，高级工程师，曾长期在网络安全专业技术机构从事重量网络安全应急响应工作，深谙恶意代码的监测发现、逆向分析和应急处置工作，出版恶意代码研究领域的译著一部、移动安全领域的著作一部，参与发布多项网络安全领域的国家标准和行业标准，获得多项网络安全领域的国家发明专利授权。

序言
前言
致谢
关于作者
关于技术审校
第一部分Rootkit
第1章Rootkit原理：TDL3案例研究
1.1TDL3在真实环境中的传播历史
1.2感染例程
1.3控制数据流
1.4隐藏的文件系统
1.5小结：TDL3也有“天敌”
第2章FestiRootkit：优选的垃圾邮件和DDoS僵尸网络
2.1Festi僵尸网络的案例
2.2剖析Rootkit驱动程序
2.3Festi网络通信协议
2.4绕过安全和取证软件
2.5C&C：故障的域名生成算法
2.6恶意的功能
2.7小结
第3章观察Rootkit感染
3.1拦截的方法
3.2恢复系统内核
3.3伟大的Rootkit军备竞赛：一个怀旧的笔记
3.4小结
第二部分Bootkit
第4章Bootkit的演变
4.1第一个Bootkit恶意程序
4.2Bootkit病毒的演变
4.3新一代Bootkit恶意软件
4.4小结
第5章操作系统启动过程要点
5.1Windows引导过程的高级概述
5.2传统引导过程
5.3Windows系统的引导过程
5.4小结
第6章引导过程安全性
6.1ELAM模块
6.2微软内核模式代码签名策略
6.3Secure：Boot技术
6.4Windows10中基于虚拟化的安全
6.5小结
第7章Bootkn感染技术
7.1MBR感染技术
7.2VBR／IPL感染技术
7.3小结
第8章使用lDAPro对Bootkit进行静态分析
8.1分析BootkitMBR
8.2VBR业务分析技术
8.3高级IDAPro的使用：编写自定义MBR加载器
8.4小结
8.5练习
第9章Bootkit动态分析：仿真和虚拟化
9.1使用Bochs进行仿真
9.2使用WlMlwareWorkstation进行虚拟化
9.3微软Hyper-V和OracleVirtualBox
9.4小结
9.5练习
第10章MBR和VBR感染技术的演变：Olmasco
10.1Dropper
10.2Bootkit的功能
10.3Rootkit的功能
10.4小结
第11章lPLBootkit：Rovnix和Carlberp
11.1Rovnix的演化
11.2Bootkit架构
11.3感染系统
11.4感染后的引导过程和IPL
11.5内核模式驱动程序的功能
11.6隐藏的文件系统
11.7隐藏的通信信道
11.8案例研究：与carberp的联系
11.9小结
第12章Gapz：高级VBR感染
12.1CapzDropper
12.2使用GapzBootkit感染系统
12.3GapzRootkit的功能
12.4隐藏存储
12.5小结
第13章MBR勒索软件的兴起
13.1现代勒索软件简史
13.2勒索软件与Bootkit功能
13.3勒索软件的运作方式
13.4分析Petya勒索软件
13.5分析Satana勒索软件
13.6小结
第14章UEFI与MBR／VBR引导过程
14.1统一可扩展固件接口
14.2传统BIOS和UEFI引导过程之间的差异
14.3GUID分区表的细节
14.4UEFI固件的工作原理
14.5小结
第15章当代UEFIBootkit
15.1传统BIOS威胁的概述
15.2所有硬件都有固件
15.3感染BIOS的方法
15.4理解Rootkit注入
15.5真实环境中的LIEFIRootkit
15.6小结
第16章UEFl固件漏洞
16.1固件易受攻击的原因
16.2对LIEFI固件漏洞进行分类
16.3uEFI固件保护的历史
16.4IntelBootGuard
16.5SMM模块中的漏洞
16.6s3引导脚本中的漏洞
16.7Intel管理引擎中的漏洞
16.8小结
第三部分防护和取证技术
第17章UEFISecureBoot的工作方式
17.1什么是SecureBoot
17.2LIEFISecureBoot实现细节
17.3攻击SecureBoot
17.4通过验证和测量引导保护SecureBoot
17.5IntelBootGuard
17.6ARM可信引导板
17.7验证引导与固件Rootkit
17.8小结
第18章分析隐藏文件系统的方法
18.1隐藏文件系统概述
18.2从隐藏的文件系统中检索Bootldt数据
18.3解析隐藏的文件系统映像
18.4HiddenFsReader工具
18.5小结
第19章BIOS／UEFI取证：固件获取和分析方法
19.1取证技术的局限性
19.2为什么固件取证很重要
19.3了解固件获取
19.4实现同件获取的软件方法
19.5实现固件获取的硬件方法
19.6使用UEFITool分析固件映像
19.7使用Chinese分析固件映像
19.8小结