PDA

Просмотр полной версии : Вышла книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита"



Зайцев Олег
04.09.2006, 09:15
http://z-oleg.com/secur/books/book1.jpg
Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)


Издательство: БХВ-Петербург, 2006 г.
304 стр.
ISBN 5-94157-868-7
Тираж: 2000 экз.
Формат: 60x90/16


В книге рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.
В частности, в книге подробно рассмотрены:
• Различные методики перехвата API функций в UserMode, в частности
o Перехват функций методом правки IAT и таблицы отложенного импорта с примерами на Delphi и С
o Перехват функций методом правки первых байт машинного кода и первых команд машинного кода с примерами
o Перехват методом внедрения кода при помощи механизма сигнатур и точек останова
• Перехват функций в KernelMode, в частности:
o Перехват методом правки адресов в KiST
o Перехват методом правки машинного кода ядра
o Перехват вектора Int 2E и sysenter
• DKOM руткиты – методики маскировки в KernelMode и UserMode без перехвата функций с примерами
• Функции мониторинга в KernelMode – пример реализации слежения за запуском процессов и загрузкой исполняемых файлов
• Клавиатурные шпионы
o Классический кейлоггер на базе ловушек
o Опрос клавиатуры по таймеру
o Драйвер-фильтр клавиатуры с подробным рассмотрением принципа его работы и примером
o Руткит-кейлоггер, работающий в User-Mode
o Руткит-кейлоггер, работающий в Kernel-Mode
o Методики слежения за буфером обмена с примерами
• Принципы работы и примеры Trojan-Downloader и Trojan-Dropper
• Пример слежения за сетевой активностью (на примере RAW Socket)

В книге рассмотрены различные утилиты ( в том числе и утилита AVZ), предназначенные для поиска и нейтрализации вредоносных программ и хакерских «закладок», причем основное внимание уделено бесплатным программам. Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.
На прилагаемом компакт-диске приведены исходные тексты примеров, антивирусная утилита AVZ и некоторые дополнительные материалы.
Книга предназначена для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.

Ссылки на On-Line магазины, в которых книга уже появилась:
Ozon (http://www.ozon.ru/context/detail/id/2811431/?partner=zoleg) Books.ru (http://www.books.ru/shop/books/448604)

Параллельно с русскоязычным вариантов вышла книга на английском. Название - "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591, издательство A-List Publishing. Подробнее см. на amazon (http://www.amazon.com/exec/obidos/tg/detail/-/1931769591?v=glance)

Xen
04.09.2006, 20:39
Заказали, ждем, когда появится в Питере =)

Зайцев Олег
05.09.2006, 17:32
Я сегодня посмотрел - книга появилась наконец в наличии на Ozon.

[ру]
07.09.2006, 11:57
Заказал ))) Жду )))

Yanis
20.09.2006, 13:11
Я тоже заказал себе эту книгу. Думаю, что она будет для меня не менее полезной чем AVZ. Жду с нетерпением, когда привезут.
Вместе с ней заказал ещё одну книгу про Rootkits, автора Дениса Колисниченко.

Xen
24.09.2006, 10:21
Вчера получил и прочитал. Узнал пару-тройку интересных вещей, которые, думаю, пригодятся.

Вообще, ожидал несколько более развернутого описания заразы, но для первого релиза бука очень даже ничего =)) Олегу респект!

MOCT
24.09.2006, 21:22
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?

Зайцев Олег
24.09.2006, 21:59
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?
Опечатки и замечания - можно оптом на емаил, я внесу в базу - на случай переиздания.
to Xen
если будет второй релиз - я потараюсь расширить. Но тут наклыдвает отпечаток объем и целевая аудитория. Более детальное описание потребует объема листов эдак 450-500.

Xen
24.09.2006, 22:45
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.

Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.

Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.

А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.

MOCT
24.09.2006, 23:03
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.

+1 :)
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить

Зайцев Олег
24.09.2006, 23:04
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.

Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.

Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.

А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.
таблица KiST полезна для понимания примеров, чтобы было ясно, откуда номера берутся. Кроме того, SVV выводтт номера перехваченных функций, но не их имена ... вот я и сделал сводную таблицу таблиц. А что непривычного в исходниках, если не секрет ?

pig
25.09.2006, 01:55
Да просто народ к C привык.

Зайцев Олег
25.09.2006, 08:46
+1 :)
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить
С диском есть проблема - на него можно помещать только собственные примеры и собственное ПО. И все ... т.е. для размещения любой FreeWare утилиты нужно письменное трехстороннее соглашение (разработчик ПО + автор книги + издательство).

Yanis
26.09.2006, 15:12
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Ну не скажи ;) На моё решение купить книгу во многом повляло то, что там "учавствует" Delphi :) К стати для самой AVZ Delphi является родным языком. Не считая конечно драйвера, написанного на MSVC++ на сколько мне известно.

Т.к. книгу я ещё не читал, то приходится судить пока по отзывам других участников.
Если в книге действительно есть ошибки, опечатки и у автора есть чем дополнить книгу, то я ЗА второе издание :)

Minos
26.09.2006, 20:26
Delphi, С, какая разница, кто знает C тот с Pascal прочтет ;)
Книга очень полезная, особенно понравилось описание методов внедрения зверей. Книжек на русском языке по этому вопросу крайне мало, особенно с уклоном в разбор механизмов работы зловредов.
Однако во втором издании хотелось бы увидеть более ровный уровень изложения: описание зверей дано на уровне "для администратора и программиста", затем описание утилит - "для начинающего пользователя", методика поиска и удаления - "для опытного пользователя". Вообще для книги с названием "Rootkits ... обнаружение и защита" крайне мало раскрыта тема непосредственно обнаружения и защиты: 44 страницы с листингами и рисунками из 292, а вопросы защиты всплывают только местами, по ходу обсуждения.

Xen
27.09.2006, 18:19
Delphi, С, какая разница, кто знает C тот с Pascal прочтет


прочесть прочтет, но это же лишний раз надо мозг напрячь, вспоминая, что есть конструкции типа @CallbackProc или MyCoolPointer^

Xen
27.09.2006, 18:22
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.

Все, прекращаю холивар =))

Yanis
28.09.2006, 14:49
Все, прекращаю холивар =))
В связи с этим лови ответ в ПМ.

P. S. Сейчас звонили из курьерской службы. Сегодня уже смогу начать читать книгу. Ура :D

Зайцев Олег
28.09.2006, 17:06
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.

Все, прекращаю холивар =))
На самом то деле 90% всех исходников дублируются - т.е. есть на CD есть полностью идентичные варианты на C.
to Minos
По поводу защиты вообще исходно не планировалось описание утилит и методов, это возниклоо в процессе. Тут все так и было задумано - на моем сайте вближайшее время появятся материалы с разбором актуальных зловредов. Начало уже положено - это разделы с советами по лечению ПК и описания распространенных зловредов.

VIKT0R
10.02.2007, 18:49
Очень похожа, начиная со 2-й главы, на Хугландскую, правда в последней методика продумана лучше. Но это лишь мое личное мнение.
Книжка хорошая "для старта", введения в проблему.

Думаю, по ходу повествования надо было указывать, откуда бралась/переводилась информация.
Было бы интереснее и прямолинейнее.

Зайцев Олег
10.02.2007, 21:44
Очень похожа, начиная со 2-й главы, на Хугландскую, правда в последней методика продумана лучше. Но это лишь мое личное мнение.
Книжка хорошая "для старта", введения в проблему.

Думаю, по ходу повествования надо было указывать, откуда бралась/переводилась информация.
Было бы интереснее и прямолинейнее.
А собственно информация бралась из моего личного опыта. Книга ориентирована на сисадмина и студента, изучающего информационную безопасность, поэтому материал там на мой взгляд несложный - при написании книги основной целью была задача рассказать читателю об основных принципах и концепциях работы руткитов и кейлоггеров.

EvilPhantasy
16.02.2007, 16:11
Кстати, Хоглунд не в восторге от использования его примеров и текста без какого-либо указания первоисточников. Что это его примеры определить не составляет труда, кто бы что не п.

Между прочим он обиделся. Вообще принято все-таки давать сноски или вносить источники в библиографический список, а то что-то как то больно некрасиво получилось.

Зайцев Олег
16.02.2007, 16:27
Кстати, Хоглунд не в восторге от использования его примеров и текста без какого-либо указания первоисточников. Что это его примеры определить не составляет труда, кто бы что не п.

Между прочим он обиделся. Вообще принято все-таки давать сноски или вносить источники в библиографический список, а то что-то как то больно некрасиво получилось.
Я собственно не могу понять, о каких примерах идет речь ? Все примеры моей книги были созданы и написаны лично мной с нуля, так как политика издательства такова, что при использовании любого примера/исходника или включении на диск любой (даже Freware) утилиты нужно получить письменное разрешение авторов, типа трехстороннего соглашения. Единственное исключение - один из примеров использует дизассемблер длинн команд из afxCodeHook, но afxCodeHook не включен на CD и в тексте описано, где его можно взять. Поэтому наработки Хугланда я не использовал и если внимательно посмотреть, то ставшие основой для моей книги мои же статьи вышли до публикации его книги, в начале 2005-го года. Тогда-же и были созданы использованные в книге примеры, причем примеры то типовые и их проще написать с нуля ...

VIKT0R
16.02.2007, 22:41
Я собственно не могу понять, о каких примерах идет речь ?

Об этом (http://www.rootkit.com/blog.php?newsid=627)
Я уже на нескольких форумах видел обсуждения. И очччень не лестные.

drongo
16.02.2007, 23:06
Реклама мощная вещь( хоть и отрицательная в этом случае ) , даже на нашем форуме зерегился для сего .Доказывай теперь , что ты не верблюд :)
http://virusinfo.info/showthread.php?goto=newpost&t=7989

EvilPhantasy
17.02.2007, 09:15
И какой смысл рекламировать книгу Хоглунда таким образом? Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.

Зайцев Олег
17.02.2007, 11:10
И какой смысл рекламировать книгу Хоглунда таким образом? Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.
Я вот все никак понять не могу - о каких конкретно исходниках идет речь ?

aintrust
17.02.2007, 11:36
Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.
EvilPhantasy, чтобы не ссылаться на какие-то мифические исходники, предлагаю сделать так:
- ты публикуешь в этой ветке кусок кода из книжки О.Зайцева (или хотя бы указываешь на страницу книжки, где этот код находится);
- и тут же рядом публикуешь этот же (якобы украденный) кусок кода, написанный Дж.Батлером в его рутките (видимо, имеется ввиду FU).

И потом мы все вместе сравниваем эти куски (вплоть до имен переменных, о которых ты сказал, что они совпадают) и делаем вывод, украден код или нет.

tiga
27.01.2009, 16:22
Продолжение будет? Стоит ли брать эту книжку или другую посоветуете? Вижу что тема старая. Думаю будет полезно узнать может что новое вышло из данной литературы.

priv8v
01.02.2009, 20:47
Ничего лучше по данной тематике еще не выходило.

Postscripter
02.07.2010, 16:33
Жалко что тираж маленький и .. уже кончился. Остались только экземпляры на английском. Или я плохо искал?