《RootKit系统灰色地带的潜伏者(原书第2版)》是一本讲解“遁术、隐术”的计算机图书，

正如作者所言，本书主要面向新进入安全领域的专业人员，目的是鼓励他们认识到工具的局限性，脱离工具而独立思考，切不能成为工具的奴隶。显然，本书不是教你去做坏事，而是利用所学加强自身以及所在企业的网络安全，提高网络攻击的归因能力，做一名优秀的事件预防和响应人员。

作者布伦登·奥利里行文流畅、文笔优雅、引经据典、比喻形象生动，能够把复杂的技术性问题化解为简单的思想，让人很容易领会。

《RootKit系统灰色地带的潜伏者(原书第2版)》是Amazon五星级畅销书，rootkit领域的重要著作，计算机安全领域公认经典。从反取证角度，深入、系统解读rootkit的本质和核心技术，以及如何构建属于自己的rootkit武器。包含大量模块化示例，行文风趣幽默，颇具实战性和可读性。

《RootKit系统灰色地带的潜伏者(原书第2版)》共分四部分。第一部分(第1～6章)，全新阐释rootkit 本质、rootkit与反取证关系、安全领域态势，以及反取证技术的策略、应对建议和攻击优势。之后，从硬件、软件(系统)、行业工具和内核空间方面介绍rootkit调查过程和利用反取证技术破坏调查过程的策略，使你对取证和反取证有全新了解。第二部分(第7～8章)，主要介绍rootkit如何阻止磁盘分析和可执行文件的分析，而调查人员如何利用有效的工具和策略来分析辅助存储器(例如磁盘分析、卷分析、文件系统分析以及未知二进制分析)中可能留下的rootkit痕迹，并对内存驻留和多级释放器技术及用户态Exec(Userland Exec)理念进行了深入剖析。第三部分(第9～15章)主要详解攻击者利用rootkit破坏数据收集过程和造成“一切安好”的假象的前沿实用策略：阻止在线取证、内核模式策略、更改调用表、更改代码、更改内核对象、创建隐秘通道和部署带外rootkit。第四部分(第16章)，高屋建瓴地重新总结了rootkit的核心策略，以及如何识别隐藏的rootkit、注意事项和如何处理感染等。本书由布伦登·奥利里著。

译者序

献给“孙悟空”

前言

第一部分 基础知识

第1章 清空思想

 1.1 不速之客

 1.2 提炼一个更确切的定义

1.2.1 攻击循环

1.2.2 rootkit在攻击循环中的角色

1.2.3 单级释放器与多级释放器

1.2.4 其他部署方法

1.2.5 确切的学术性定义

1.2.6 不要混淆设计目标与实现

1.2.7 rootkit技术——力量倍增器

1.2.8 金·费尔比式比喻：破坏与毁坏

1.2.9 为何使用隐身技术？rootkit不能被发现吗

 1.3 rootkit不等于恶意软件

1.3.1 感染源

1.3.2 广告软件和间谍软件

1.3.3 僵尸网络的兴起

1.3.4 引入：愚人飞客病毒

1.3.5 恶意软件与rootkit

 1.4 谁在开发和使用rootkit

1.4.1 市场营销

1.4.2 数字版权管理

1.4.3 不是rootkit，而是种功能

1.4.4 法律实施

1.4.5 商业间谍

1.4.6 政治间谍

1.4.7 网络犯罪

1.4.8 谁开发了颇具艺术感的rootkit

1.4.9 rootkit的道德性

 1.5 慑魄惊魂：战场伤员分类

 1.6 总结

第2章 反取证综述

 2.1 事件响应

2.1.1 入侵检测系统(和入侵防御系统)

2.1.2 异常行为

2.1.3 发生故障

 2.2 计算机取证

2.2.1 rootkit不是隐身的吗?为什么还要进行反取证

2.2.2 假定最糟糕案例的场景

2.2.3 取证技术分类：第一种方法

2.2.4 取证技术分类：第二种方法

2.2.5 在线取证

2.2.6 当关机不再是种选择

2.2.7 关于拔掉电源插头的争论

2.2.8 崩溃转储或者不进行崩溃转储

2.2.9 事后检查分析

2.2.10 非本地数据

 2.3 AF策略

2.3.1 数据销毁

2.3.2 数据隐藏

2.3.3 数据转换

2.3.4 数据伪造

2.3.5 数据源消除

 2.4 AF技术的总体建议

2.4.1 使用定制工具

2.4.2 低且慢与焦土策略

2.4.3 避免特定实例攻击

2.4.4 使用分层防御

 2.5 不明身份者具有优势

 ……

第3章 硬件概述

第4章 系统概述

第5章 行业工具

第6章 内核空间中的玄机

第二部分 事后分析

第7章 阻止磁盘分析

第8章 阻止可执行文件分析

第三部分 在线取证

第9章 阻止在线取证

第10章 用C语言创建shellcode

第11章 更改调用表

第12章 更改代码

第13章 更改内核对象

第14章 隐秘通道

第15章 转到带外

第四部分 结束语

第16章 rootkit之道