-
Вышла книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита"
Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)
Издательство: БХВ-Петербург, 2006 г.
304 стр.
ISBN 5-94157-868-7
Тираж: 2000 экз.
Формат: 60x90/16
В книге рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.
В частности, в книге подробно рассмотрены:
• Различные методики перехвата API функций в UserMode, в частности
o Перехват функций методом правки IAT и таблицы отложенного импорта с примерами на Delphi и С
o Перехват функций методом правки первых байт машинного кода и первых команд машинного кода с примерами
o Перехват методом внедрения кода при помощи механизма сигнатур и точек останова
• Перехват функций в KernelMode, в частности:
o Перехват методом правки адресов в KiST
o Перехват методом правки машинного кода ядра
o Перехват вектора Int 2E и sysenter
• DKOM руткиты – методики маскировки в KernelMode и UserMode без перехвата функций с примерами
• Функции мониторинга в KernelMode – пример реализации слежения за запуском процессов и загрузкой исполняемых файлов
• Клавиатурные шпионы
o Классический кейлоггер на базе ловушек
o Опрос клавиатуры по таймеру
o Драйвер-фильтр клавиатуры с подробным рассмотрением принципа его работы и примером
o Руткит-кейлоггер, работающий в User-Mode
o Руткит-кейлоггер, работающий в Kernel-Mode
o Методики слежения за буфером обмена с примерами
• Принципы работы и примеры Trojan-Downloader и Trojan-Dropper
• Пример слежения за сетевой активностью (на примере RAW Socket)
В книге рассмотрены различные утилиты ( в том числе и утилита AVZ), предназначенные для поиска и нейтрализации вредоносных программ и хакерских «закладок», причем основное внимание уделено бесплатным программам. Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.
На прилагаемом компакт-диске приведены исходные тексты примеров, антивирусная утилита AVZ и некоторые дополнительные материалы.
Книга предназначена для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.
Ссылки на On-Line магазины, в которых книга уже появилась:
Ozon Books.ru
Параллельно с русскоязычным вариантов вышла книга на английском. Название - "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591, издательство A-List Publishing. Подробнее см. на amazon
Последний раз редактировалось Alexey P.; 04.09.2006 в 19:48.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Заказали, ждем, когда появится в Питере =)
-
Я сегодня посмотрел - книга появилась наконец в наличии на Ozon.
-
-
-
-
Junior Member
- Вес репутации
- 65
Я тоже заказал себе эту книгу. Думаю, что она будет для меня не менее полезной чем AVZ. Жду с нетерпением, когда привезут.
Вместе с ней заказал ещё одну книгу про Rootkits, автора Дениса Колисниченко.
-
Вчера получил и прочитал. Узнал пару-тройку интересных вещей, которые, думаю, пригодятся.
Вообще, ожидал несколько более развернутого описания заразы, но для первого релиза бука очень даже ничего =)) Олегу респект!
-
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?
-
-
Сообщение от
MOCT
Книга появилась в местном магазине, правда всего 3 экз. Купил себе, уже читаю. Второе издание случаем не планируется? А то есть некоторое кол-во найденных опечаток и замечаний. Сюда постить или в нетмайл?
Опечатки и замечания - можно оптом на емаил, я внесу в базу - на случай переиздания.
to Xen
если будет второй релиз - я потараюсь расширить. Но тут наклыдвает отпечаток объем и целевая аудитория. Более детальное описание потребует объема листов эдак 450-500.
-
-
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.
-
Сообщение от
Xen
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
+1
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить
-
-
Сообщение от
Xen
Будет время, закину свои замечания, ибо по мере прочтения обнаружил несколько логических неувязок.
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Да, объем, конечно, придется слегка расширить. С другой стороны, не совсем понятно, зачем в книге приведена таблица номеров функций в KiST и т.д.
А вообще, я бы сделал более четкий упор на последовательность изложения: кто занимается упомянутым ПО, зачем, каким рискам подвергаются рядовые пользователи, техническая реализация угроз, нейтрализация и защита. Не забыв про каждый более-менее значащий вектор развития малваря, как-то вирусы, лоадеры, дайлеры, дропперы, пассграбберы и т.д.
таблица KiST полезна для понимания примеров, чтобы было ясно, откуда номера берутся. Кроме того, SVV выводтт номера перехваченных функций, но не их имена ... вот я и сделал сводную таблицу таблиц. А что непривычного в исходниках, если не секрет ?
-
-
Да просто народ к C привык.
-
-
Сообщение от
MOCT
+1
и еще - содержимое компакт-диска нужно продумать. диск с 6 мб - это не серьезно. хотя с другой стороны, все подряд тоже класть не стоит. а вот кучку описаний заразы в формате html (например, с сайта) можно было бы поместить
С диском есть проблема - на него можно помещать только собственные примеры и собственное ПО. И все ... т.е. для размещения любой FreeWare утилиты нужно письменное трехстороннее соглашение (разработчик ПО + автор книги + издательство).
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
Xen
Еще... сурсы на дельфях это ахтунг =) уж больно непривычно выглядят.
Ну не скажи На моё решение купить книгу во многом повляло то, что там "учавствует" Delphi К стати для самой AVZ Delphi является родным языком. Не считая конечно драйвера, написанного на MSVC++ на сколько мне известно.
Т.к. книгу я ещё не читал, то приходится судить пока по отзывам других участников.
Если в книге действительно есть ошибки, опечатки и у автора есть чем дополнить книгу, то я ЗА второе издание
-
Delphi, С, какая разница, кто знает C тот с Pascal прочтет
Книга очень полезная, особенно понравилось описание методов внедрения зверей. Книжек на русском языке по этому вопросу крайне мало, особенно с уклоном в разбор механизмов работы зловредов.
Однако во втором издании хотелось бы увидеть более ровный уровень изложения: описание зверей дано на уровне "для администратора и программиста", затем описание утилит - "для начинающего пользователя", методика поиска и удаления - "для опытного пользователя". Вообще для книги с названием "Rootkits ... обнаружение и защита" крайне мало раскрыта тема непосредственно обнаружения и защиты: 44 страницы с листингами и рисунками из 292, а вопросы защиты всплывают только местами, по ходу обсуждения.
-
Delphi, С, какая разница, кто знает C тот с Pascal прочтет
прочесть прочтет, но это же лишний раз надо мозг напрячь, вспоминая, что есть конструкции типа @CallbackProc или MyCoolPointer^
-
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.
Все, прекращаю холивар =))
-
Junior Member
- Вес репутации
- 65
Сообщение от
Xen
Все, прекращаю холивар =))
В связи с этим лови ответ в ПМ.
P. S. Сейчас звонили из курьерской службы. Сегодня уже смогу начать читать книгу. Ура
-
Сообщение от
Xen
2Yanis: изучай C/C++! Он портабельнее, удобнее и много что еще =) а на Borland C++ Builder можно клепать софтинки не хуже, чем на дельфях.
Все, прекращаю холивар =))
На самом то деле 90% всех исходников дублируются - т.е. есть на CD есть полностью идентичные варианты на C.
to Minos
По поводу защиты вообще исходно не планировалось описание утилит и методов, это возниклоо в процессе. Тут все так и было задумано - на моем сайте вближайшее время появятся материалы с разбором актуальных зловредов. Начало уже положено - это разделы с советами по лечению ПК и описания распространенных зловредов.
-
-
Junior Member
- Вес репутации
- 63
Очень похожа, начиная со 2-й главы, на Хугландскую, правда в последней методика продумана лучше. Но это лишь мое личное мнение.
Книжка хорошая "для старта", введения в проблему.
Думаю, по ходу повествования надо было указывать, откуда бралась/переводилась информация.
Было бы интереснее и прямолинейнее.
[URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]