Просмотр полной версии : Вышла книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита"
Зайцев Олег
04.09.2006, 09:15
http://z-oleg.com/secur/books/book1.jpg
Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)
Издательство: БХВ-Петербург, 2006 г.
304 стр.
ISBN 5-94157-868-7
Тираж: 2000 экз.
Формат: 60x90/16
В книге рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.
В частности, в книге подробно рассмотрены:
• Различные методики перехвата API функций в UserMode, в частности
o Перехват функций методом правки IAT и таблицы отложенного импорта с примерами на Delphi и С
o Перехват функций методом правки первых байт машинного кода и первых команд машинного кода с примерами
o Перехват методом внедрения кода при помощи механизма сигнатур и точек останова
• Перехват функций в KernelMode, в частности:
o Перехват методом правки адресов в KiST
o Перехват методом правки машинного кода ядра
o Перехват вектора Int 2E и sysenter
• DKOM руткиты – методики маскировки в KernelMode и UserMode без перехвата функций с примерами
• Функции мониторинга в KernelMode – пример реализации слежения за запуском процессов и загрузкой исполняемых файлов
• Клавиатурные шпионы
o Классический кейлоггер на базе ловушек
o Опрос клавиатуры по таймеру
o Драйвер-фильтр клавиатуры с подробным рассмотрением принципа его работы и примером
o Руткит-кейлоггер, работающий в User-Mode
o Руткит-кейлоггер, работающий в Kernel-Mode
o Методики слежения за буфером обмена с примерами
• Принципы работы и примеры Trojan-Downloader и Trojan-Dropper
• Пример слежения за сетевой активностью (на примере RAW Socket)
В книге рассмотрены различные утилиты ( в том числе и утилита AVZ), предназначенные для поиска и нейтрализации вредоносных программ и хакерских «закладок», причем основное внимание уделено бесплатным программам. Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.
На прилагаемом компакт-диске приведены исходные тексты примеров, антивирусная утилита AVZ и некоторые дополнительные материалы.
Книга предназначена для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.
Ссылки на On-Line магазины, в которых книга уже появилась:
Ozon (http://www.ozon.ru/context/detail/id/2811431/?partner=zoleg) Books.ru (http://www.books.ru/shop/books/448604)
Параллельно с русскоязычным вариантов вышла книга на английском. Название - "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591, издательство A-List Publishing. Подробнее см. на amazon (http://www.amazon.com/exec/obidos/tg/detail/-/1931769591?v=glance)
Заказали, ждем, когда появится в Питере =)
Зайцев Олег
05.09.2006, 17:32
Я сегодня посмотрел - книга появилась наконец в наличии на Ozon.
Я тоже заказал себе эту книгу. Думаю, что она будет для меня не менее полезной чем AVZ. Жду с нетерпением, когда привезут.
Вместе с ней заказал ещё одну книгу про Rootkits, автора Дениса Колисниченко.
Вчера получил и прочитал. Узнал пару-тройку интересных вещей, которые, думаю, пригодятся.
Вообще, ожидал несколько более развернутого описания заразы, но для первого релиза бука очень даже ничего =)) Олегу респект!
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?
Зайцев Олег
24.09.2006, 21:59
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?
Опечатки и замечания - можно оптом на емаил, я внесу в базу - на случай переиздания.
to Xen
если будет второй релиз - я потараюсь расширить. Но тут наклыдвает отпечаток объем и целевая аудитория. Более детальное описание потребует объема листов эдак 450-500.
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
+1 :)
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить
Зайцев Олег
24.09.2006, 23:04
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.
таблица KiST полезна для понимания примеров, чтобы было ясно, откуда номера берутся. Кроме того, SVV выводтт номера перехваченных функций, но не их имена ... вот я и сделал сводную таблицу таблиц. А что непривычного в исходниках, если не секрет ?
Да просто народ к C привык.
Зайцев Олег
25.09.2006, 08:46
+1 :)
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить
С диском есть проблема - на него можно помещать только собственные примеры и собственное ПО. И все ... т.е. для размещения любой FreeWare утилиты нужно письменное трехстороннее соглашение (разработчик ПО + автор книги + издательство).
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Ну не скажи ;) На моё решение купить книгу во многом повляло то, что там "учавствует" Delphi :) К стати для самой AVZ Delphi является родным языком. Не считая конечно драйвера, написанного на MSVC++ на сколько мне известно.
Т.к. книгу я ещё не читал, то приходится судить пока по отзывам других участников.
Если в книге действительно есть ошибки, опечатки и у автора есть чем дополнить книгу, то я ЗА второе издание :)
Delphi, С, какая разница, кто знает C тот с Pascal прочтет ;)
Книга очень полезная, особенно понравилось описание методов внедрения зверей. Книжек на русском языке по этому вопросу крайне мало, особенно с уклоном в разбор механизмов работы зловредов.
Однако во втором издании хотелось бы увидеть более ровный уровень изложения: описание зверей дано на уровне "для администратора и программиста", затем описание утилит - "для начинающего пользователя", методика поиска и удаления - "для опытного пользователя". Вообще для книги с названием "Rootkits ... обнаружение и защита" крайне мало раскрыта тема непосредственно обнаружения и защиты: 44 страницы с листингами и рисунками из 292, а вопросы защиты всплывают только местами, по ходу обсуждения.
Delphi, С, какая разница, кто знает C тот с Pascal прочтет
прочесть прочтет, но это же лишний раз надо мозг напрячь, вспоминая, что есть конструкции типа @CallbackProc или MyCoolPointer^
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.
Все, прекращаю холивар =))
Все, прекращаю холивар =))
В связи с этим лови ответ в ПМ.
P. S. Сейчас звонили из курьерской службы. Сегодня уже смогу начать читать книгу. Ура :D
Зайцев Олег
28.09.2006, 17:06
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.
Все, прекращаю холивар =))
На самом то деле 90% всех исходников дублируются - т.е. есть на CD есть полностью идентичные варианты на C.
to Minos
По поводу защиты вообще исходно не планировалось описание утилит и методов, это возниклоо в процессе. Тут все так и было задумано - на моем сайте вближайшее время появятся материалы с разбором актуальных зловредов. Начало уже положено - это разделы с советами по лечению ПК и описания распространенных зловредов.
Очень похожа, начиная со 2-й главы, на Хугландскую, правда в последней методика продумана лучше. Но это лишь мое личное мнение.
Книжка хорошая "для старта", введения в проблему.
Думаю, по ходу повествования надо было указывать, откуда бралась/переводилась информация.
Было бы интереснее и прямолинейнее.
Зайцев Олег
10.02.2007, 21:44
Очень похожа, начиная со 2-й главы, на Хугландскую, правда в последней методика продумана лучше. Но это лишь мое личное мнение.
Книжка хорошая "для старта", введения в проблему.
Думаю, по ходу повествования надо было указывать, откуда бралась/переводилась информация.
Было бы интереснее и прямолинейнее.
А собственно информация бралась из моего личного опыта. Книга ориентирована на сисадмина и студента, изучающего информационную безопасность, поэтому материал там на мой взгляд несложный - при написании книги основной целью была задача рассказать читателю об основных принципах и концепциях работы руткитов и кейлоггеров.
EvilPhantasy
16.02.2007, 16:11
Кстати, Хоглунд не в восторге от использования его примеров и текста без какого-либо указания первоисточников. Что это его примеры определить не составляет труда, кто бы что не п.
Между прочим он обиделся. Вообще принято все-таки давать сноски или вносить источники в библиографический список, а то что-то как то больно некрасиво получилось.
Зайцев Олег
16.02.2007, 16:27
Кстати, Хоглунд не в восторге от использования его примеров и текста без какого-либо указания первоисточников. Что это его примеры определить не составляет труда, кто бы что не п.
Между прочим он обиделся. Вообще принято все-таки давать сноски или вносить источники в библиографический список, а то что-то как то больно некрасиво получилось.
Я собственно не могу понять, о каких примерах идет речь ? Все примеры моей книги были созданы и написаны лично мной с нуля, так как политика издательства такова, что при использовании любого примера/исходника или включении на диск любой (даже Freware) утилиты нужно получить письменное разрешение авторов, типа трехстороннего соглашения. Единственное исключение - один из примеров использует дизассемблер длинн команд из afxCodeHook, но afxCodeHook не включен на CD и в тексте описано, где его можно взять. Поэтому наработки Хугланда я не использовал и если внимательно посмотреть, то ставшие основой для моей книги мои же статьи вышли до публикации его книги, в начале 2005-го года. Тогда-же и были созданы использованные в книге примеры, причем примеры то типовые и их проще написать с нуля ...
Я собственно не могу понять, о каких примерах идет речь ?
Об этом (http://www.rootkit.com/blog.php?newsid=627)
Я уже на нескольких форумах видел обсуждения. И очччень не лестные.
Реклама мощная вещь( хоть и отрицательная в этом случае ) , даже на нашем форуме зерегился для сего .Доказывай теперь , что ты не верблюд :)
http://virusinfo.info/showthread.php?goto=newpost&t=7989
EvilPhantasy
17.02.2007, 09:15
И какой смысл рекламировать книгу Хоглунда таким образом? Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.
Зайцев Олег
17.02.2007, 11:10
И какой смысл рекламировать книгу Хоглунда таким образом? Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.
Я вот все никак понять не могу - о каких конкретно исходниках идет речь ?
aintrust
17.02.2007, 11:36
Я видел исходники о которых идет речь, даже студенты хотя бы меняют названия переменных.
EvilPhantasy, чтобы не ссылаться на какие-то мифические исходники, предлагаю сделать так:
- ты публикуешь в этой ветке кусок кода из книжки О.Зайцева (или хотя бы указываешь на страницу книжки, где этот код находится);
- и тут же рядом публикуешь этот же (якобы украденный) кусок кода, написанный Дж.Батлером в его рутките (видимо, имеется ввиду FU).
И потом мы все вместе сравниваем эти куски (вплоть до имен переменных, о которых ты сказал, что они совпадают) и делаем вывод, украден код или нет.
Продолжение будет? Стоит ли брать эту книжку или другую посоветуете? Вижу что тема старая. Думаю будет полезно узнать может что новое вышло из данной литературы.
Ничего лучше по данной тематике еще не выходило.
Postscripter
02.07.2010, 16:33
Жалко что тираж маленький и .. уже кончился. Остались только экземпляры на английском. Или я плохо искал?
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot