恶意软件分析诀窍与工具箱-对抗流氓软件的技术与利器-(含光盘)

内容简介

　　针对多种常见威胁的强大而循序渐进的解决方案

　　我们将《恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器》称为工具箱，是因为每个诀窍都给出了解决某个特定问题或研究某个给定威胁的原理和详细的步骤。在配书光盘中提供了补充资源，您可以找到相关的支持文件和原始程序。您将学习如何使用这些工具分析恶意软件，有些工具是作者自己开发的，另外数百个工具则是可以公开下载的。如果您的工作涉及紧急事件响应、计算机取证、系统安全或者反病毒研究，那么本书将会为您提供极大的帮助。

　　 ●学习如何在不暴露身份的前提下进行在线调查

　　 ●使用蜜罐收集由僵尸和蠕虫分布的恶意软件

　　 ●分析java*、pdf文件以及office文档中的可疑内容

　　 ●使用虚拟或基础硬件建立一个低预算的恶意软件实验室

　　 ●通用编码和加密算法的逆向工程

　　 ●建立恶意软件分析的内存取证平台

　　 ●研究主流的威胁，如zeus、silent
banker、coreflood、conficker、virut、clampi、bankpatch、blackenergy等

目录

《恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器》

第1章 行为隐匿?

1.1 洋葱路由器(tor)?

1.2 使用tor研究恶意软件?

1.3 tor缺陷?

1.3.1 速度?

1.3.2 不可信赖的tor操作员?

1.3.3 tor阻止列表?

1.4 代理服务器和协议?

1.4.1 超文本传输协议(http)?

1.4.2 socks4?

1.4.3 socks5?

1.5 基于web的匿名代理?

1.6 保持匿名的替代方法?

1.6.1 蜂窝internet连接?

1.6.2 虚拟专用网?

1.7 且匿名?

第2章 蜜罐?

2.1 nepenthes蜜罐?

2.1.1 利用nepenthes收集恶意软件样本?

2.1.2 使用irc日志进行实时攻击监视?

2.1.3 使用基于python的 http接收nepenthes提交的文件?

2.2 使用dionaea蜜罐?

2.2.1 使用dionaea收集恶意软件样本?

2.2.2 使用基于python的http接收dionaea提交的文件?

2.2.3 实时事件通告以及使用xmpp共享二进制文件?

2.2.4 分析重放dionea记录的攻击?

2.2.5 使用p0f工具被动识别远程主机操作系统?

2.2.6 使用sqlite 和gnuplot绘制dionaea记录的攻击模式图?

第3章 恶意软件分类?

3.1 使用clamav分类?

3.1.1 检查现有clamav特征码?

3.1.2 创建自定义clamav特征码数据库?

3.2 使用yara分类?

3.2.1 将clamav特征码转换到yara格式特征码?

3.2.2 使用yara和peid识别加壳文件?

3.2.3 使用yara检测恶意软件的能力?

3.3 工具集成?

3.3.1 使用python识别文件类型及哈希算法?

3.3.2 编写python多杀毒扫描软件?

3.3.3 python中检测恶意pe文件?

3.3.4 使用ssdeep查找相似恶意软件?

3.3.5 使用ssdeep检测自修改代码?

3.3.6 使用ida和bindiff检测自修改代码?

第4章 沙箱和多杀毒扫描软件?

4.1 公用杀毒扫描软件?

4.1.1 使用virus total扫描文件?

4.1.2 使用jotti扫描文件?

4.1.3 使用novirusthanks扫描文件?

4.1.4 启用数据库的python多杀毒上传程序?

4.2 多杀毒扫描软件的比较?

4.3 公用沙箱分析?

4.3.1 使用threatexpert分析恶意软件?

4.3.2 使用cwsandbox分析恶意软件?

4.3.3 使用anubis分析恶意软件?

4.3.4 编写joebox autoit脚本?

4.3.5 使用joebox应对路径依赖型恶意软件?

4.3.6 使用joebox应对进程依赖型动态链接库?

4.3.7 使用joebox设置主动型http代理?

4.3.8 使用沙箱结果扫描项目?

第5章 域名与ip地址?

5.1 研究可疑域名?

5.1.1 利用whois研究域?

5.1.2 解析dns主机名?

5.2 研究ip地址?

5.3 使用被动dns和其他工具进行研究?

5.3.1 使用bfk查询被动dns?

5.3.2 使用robtex检查dns记录?

5.3.3 使用domaintools执行反向ip搜索?

5.3.4 使用dig启动区域传送?

5.3.5 使用dnsmap暴力攻击子域?

5.3.6 通过shadowserver将ip地址映射到asn?

5.3.7 使用rbl检查ip信誉?

5.4 fast flux域名?

5.4.1 使用被动dns和ttl检测fast flux网络?

5.4.2 跟踪fast flux域名?

5.5 ip地址地理映射?

第6章 文档、shellcode和url?

6.1