微軟Windows操作系統的防禦能力演進,使得Rootkit和Bootkit設計的幾個主要分支陷入了死胡同。以BIOS和芯片組固件為攻擊目標的新型惡意軟件出現,這已經超出了當前Windows安全防護軟件的能力範圍。網絡犯罪集團和惡意行為者將繼續編寫更加持久和隱蔽的攻擊程序,攻防之戰遠沒有結束。
目前,越來越多的安全工程師對高級可持續惡意軟件威脅如何繞過操作系統級別的安全機制感興趣。那麼,如何發現並逆向、有效分析這些高級威脅?
新書推薦這裡我們介紹一本新書《Rootkit和Bootkit:現代惡意軟件逆向分析和下一代威脅》。
書中的每一部分都反映了高級威脅發展演進的新階段,包括從它們一開始僅作為概念證明出現的階段,到威脅發動者展開投遞傳播的階段,最後到它們在更隱蔽且有針對性的攻擊中被利用的階段。
本書的另一個主題是針對操作系統啟動引導過程的早期階段的逆向工程技術的開發。一般來說,在PC啟動引導過程的長鏈條中,一段代碼運行的時間越早,它就越不容易被觀察到。長期以來,這種可觀察性的缺乏一直與安全性在概念上有所混淆。然而,當我們深入探究這些突破底層操作系統技術(如Secure Boot)的Bootkit和BIOS注入威脅的取證方法時,我們發現在這裡通過隱匿實現的安全性並不比計算機科學的其他領域更好。短時間後(在互聯網時間範圍內越來越短),相對於防禦者而言,通過隱匿實現安全的方法對攻擊者更有利。這一觀點在其他有關這一主題的書籍中還沒有得到充分的闡述,所以我們試圖填補這一空白。
送書活動在本文評論區回覆你對這本書的期待或想法。即日起,截止到2022年3月4日星期五12:00,截取評論點讚最多的三位,每位中獎者將會獲得《Rootkit和Bootkit:現代惡意軟件逆向分析和下一代威脅》一本。
書籍詳情◼列舉豐富的真實案例,聚焦關鍵代碼,注意事項明確。
◼有豐富的配套材料,如所需使用的工具、IDA Pro插件的源代碼。
◼受眾廣泛,不僅面向計算機惡意軟件分析師,嵌入式系統開發人員和雲安全專家也可從本書受益。
這本書有什麼乾貨
在第一部分中,我們將探索Rootkit,還將介紹Windows內核的內部機理—內核向來是Rootkit運行的場所。
在第二部分中,我們將重點轉向操作系統的引導過程和在Windows加強其內核模式後開發的Bootkit。我們將從攻擊者的角度剖析系統引導過程的各個階段,特別關注新的UEFI固件方案及其漏洞。
在第三部分中,我們將重點討論針對BIOS和固件的經典操作系統Rootkit攻擊和現代Bootkit攻擊的取證工作。
如何閱讀本書
書中討論的所有威脅樣本以及其他配套材料都可以在https://nostarch.com/rootkits/找到。這個站點還給出了Bootkit分析所需要使用的工具,例如我們在最初研究中所使用的IDA Pro插件的源代碼。
留言列表