本书提供了经过证明的预防技术，用现实世界的案例研究和实例揭示了黑客们是如何使用很容易得到的工具渗透和劫持系统的。本书详细介绍了新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。

克里斯托弗 C.埃里森,是安全行业的老兵，20世纪90年代从学校毕业时就投身于这一职业。他是经验丰富的逆向工程和恶意软件研究人员。从DOS时代到现在，他见证了日益复杂精密的恶意软件开发。他目前是EMS安全分布——RSA的首席恶意软件科学家和恶意软件情报团队不错经理。

对本书第1版的赞誉
推荐序
译者序
作者简介
前言
致谢
第一部分恶意软件
第1章恶意软件传播5
1.1恶意软件仍是王者5
1.2恶意软件的传播现状5
1.3为什么他们想要你的工作站6
1.4难以发现的意图6
1.5这是桩生意7
1.6恶意软件传播的主要技术7
1.6.1社会工程8
1.6.2文件执行9
1.7现代恶意软件的传播技术12
1.7.1StormWorm13
1.7.2变形14
1.7.3混淆16
1.7.4动态域名服务18
1.7.5FastFlux19
1.8恶意软件传播注入方向20
1.8.1电子邮件20
1.8.2恶意网站23
1.8.3网络仿冒25
1.8.4对等网络（P2P）28
1.8.5蠕虫31
1.9小结32
第2章恶意软件功能33
2.1恶意软件安装后会做什么33
2.1.1弹出窗口33
2.1.2搜索引擎重定向36
2.1.3数据盗窃43
2.1.4点击欺诈45
2.1.5身份盗窃46
2.1.6击键记录49
2.1.7恶意软件的表现53
2.2识别安装的恶意软件55
2.2.1典型安装位置55
2.2.2在本地磁盘上安装56
2.2.3修改时间戳56
2.2.4感染进程57
2.2.5禁用服务57
2.2.6修改Windows注册表58
2.3小结58
第二部分Rootkit
第3章用户模式Rootkit62
3.1Rootkit63
3.1.1时间轴64
3.1.2Rootkit的主要特征64
3.1.3Rootkit的类型66
3.2用户模式Rootkit67
3.2.1什么是用户模式Rootkit67
3.2.2后台技术68
3.2.3注入技术71
3.2.4钩子技术79
3.3用户模式Rootkit实例81
3.4小结87
第4章内核模式Rootkit88
4.1底层：x86体系结构基础89
4.1.1指令集体系结构和操作系统89
4.1.2保护层次89
4.1.3跨越层次90
4.1.4内核模式：数字化的西部蛮荒91
4.2目标：Windows内核组件92
4.2.1Win32子系统92
4.2.2这些API究竟是什么93
4.2.3守门人：NTDLL.DLL93
4.2.4委员会功能：WindowsExecutive（NTOSKRNL.EXE）94
4.2.5Windows内核（NTOSKRNL.EXE）94
4.2.6设备驱动程序94
4.2.7Windows硬件抽象层（HAL）95
4.3内核驱动程序概念95
4.3.1内核模式驱动程序体系结构96
4.3.2整体解剖：框架驱动程序97
4.3.3WDF、KMDF和UMDF98
4.4内核模式Rootkit99
4.4.1内核模式Rootkit简介99
4.4.2内核模式Rootkit所面对的挑战99
4.4.3方法和技术101
4.5内核模式Rootkit实例119
4.5.1Clandestiny创建的Klog119
4.5.2Aphex创建的AFX122
4.5.3JamieButler、PeterSilberman和C.H.A.O.S创建的FU和FUTo124
4.5.4SherriSparks和JamieButler创建的ShadowWalker125
4.5.5He4Team创建的He4Hook127
4.5.6Honeynet项目创建的Sebek130
4.6小结131
第5章虚拟Rootkit133
5.1虚拟机技术概述133
5.1.1虚拟机类型134
5.1.2系统管理程序135
5.1.3虚拟化策略136
5.1.4虚拟内存管理137
5.1.5虚拟机隔离137
5.2虚拟机Rootkit技术137
5.2.1矩阵里的Rootkit：我们是怎么到这里的138
5.2.2什么是虚拟Rootkit138
5.2.3虚拟Rootkit的类型139
5.2.4检测虚拟环境140
5.2.5脱离虚拟环境146
5.2.6劫持系统管理程序147
5.3虚拟Rootkit实例148
5.4小结153
第6章Rootkit的未来155
6.1复杂性和隐蔽性的改进156
6.2定制的Rootkit161
6.3数字签名的Rootkit162
6.4小结162
第三部分预防技术
第7章防病毒167
7.1现在和以后：防病毒技术的革新167
7.2病毒全景168
7.2.1病毒的定义168
7.2.2分类169
7.2.3简单病毒170
7.2.4复杂病毒172
7.3防病毒——核心特性和技术173
7.3.1手工或者“按需”扫描174
7.3.2实时或者“访问时”扫描174
7.3.3基于特征码的检测175
7.3.4基于异常/启发式检测176
7.4对防病毒技术的作用的评论177
7.4.1防病毒技术擅长的方面177
7.4.2防病毒业界的领先者177
7.4.3防病毒的难题177
7.5防病毒业界的未来179
7.6小结和对策180
第8章主机保护系统182
8.1个人防火墙功能182
8.2弹出窗口拦截程序184
8.2.1Chrome185
8.2.2Firefox186
8.2.3MicrosoftEdge187
8.2.4Safari187
8.2.5一般的弹出式窗口拦截程序代码实例187
8.3小结190
第9章基于主机的入侵预防191
9.1HIPS体系结构191
9.2超过入侵检测的增长193
9.3行为与特征码194
9.3.1基于行为的系统195
9.3.2基于特征码的系统196
9.4反检测躲避技术196
9.5如何检测意图200
9.6HIPS和安全的未来201
9.7小结202
第10章Rootkit检测203
10.1Rootkit作者的悖论203
10.2Rootkit检测简史204
10.3检测方法详解207
10.3.1系统服务描述符表钩子207
10.3.2IRP钩子
……
附录A系统安全分析：建立你自己的Rootkit检测程序