利用Python開(kāi)源工具分析惡意代碼

定　價(jià)：￥99.00

作　者：	[韓] 趙涏元等著；武傳海譯
出版社：	人民郵電出版社
叢編項(xiàng)：	圖靈程序設(shè)計(jì)叢書
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

ISBN：	9787115472984	出版時(shí)間：	2018-01-01	包裝：	平裝
開(kāi)本：	16開(kāi)	頁(yè)數(shù)：	482	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　惡意代碼分析過(guò)程中，重要的是掌握惡意代碼的特征，此時(shí)需要靈活運(yùn)用線上服務(wù)的快速分析數(shù)據(jù)和主要惡意代碼的數(shù)據(jù)庫(kù)?！独肞ython開(kāi)源工具分析惡意代碼》從應(yīng)對(duì)入侵事故一線業(yè)務(wù)人員角度出發(fā)，介紹了分析惡意代碼時(shí)的Python 等眾多開(kāi)源工具的使用方法，也給出了可以迅速應(yīng)用于實(shí)際業(yè)務(wù)的解決方案。

作者簡(jiǎn)介

　　趙涏元（chogar@naver.com）目前在KB投資證券公司負(fù)責(zé)安全工作，管理安全防范項(xiàng)目組（http：//www.boanproject.com）。在A3 Security公司做過(guò)5年滲透測(cè)試咨詢顧問(wèn)，在滲透測(cè)試項(xiàng)目管理、網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)、源代碼診斷等多種領(lǐng)域執(zhí)行過(guò)漏洞診斷。之后在KTH安全團(tuán)隊(duì)負(fù)責(zé)移動(dòng)服務(wù)和云服務(wù)安全、應(yīng)對(duì)侵權(quán)事故等業(yè)務(wù)。與人合著《Kali Linux & BackTrack滲透測(cè)試實(shí)戰(zhàn)》《Android惡意代碼分析與滲透測(cè)試》等，現(xiàn)與安全防范項(xiàng)目組成員一起活躍在各個(gè)領(lǐng)域。崔祐碩目前在（株）韓國(guó)信息保護(hù)教育中心（KISEC，Korean Information Security Education Center）f-NGS研究所負(fù)責(zé)安全及相關(guān)領(lǐng)域研究，并在此基礎(chǔ)上舉辦講座，不斷發(fā)表分析報(bào)告書。主要研究惡意代碼分析及發(fā)布、開(kāi)源工具應(yīng)用、Web黑客攻防等，致力于技術(shù)與人文的結(jié)合。曾在（株）Tricubelab分析惡意代碼發(fā)布、研究多種方法，構(gòu)建并測(cè)試惡意代碼相關(guān)開(kāi)源工具，在此過(guò)程中積累創(chuàng)意和經(jīng)驗(yàn)。負(fù)責(zé)安全防范項(xiàng)目組的惡意代碼及漏洞部分研究，與人合著《Kali Linux & BackTrack滲透測(cè)試實(shí)戰(zhàn)》，管理Hakawati Lab（www.hakawati.co.kr）博客。李導(dǎo)炅曾在三星SDS負(fù)責(zé)4年Web漏洞診斷業(yè)務(wù)，現(xiàn)在NSHC Red Alert團(tuán)隊(duì)擔(dān)任惡意代碼分析研究員，同時(shí)負(fù)責(zé)教育內(nèi)容開(kāi)發(fā)業(yè)務(wù)。在安全防范項(xiàng)目組負(fù)責(zé)惡意代碼分析項(xiàng)目，關(guān)注并研究開(kāi)源分析與開(kāi)發(fā)。鄭智訓(xùn) 計(jì)算機(jī)信息通信工程專業(yè)在讀，曾任蔚山大學(xué)信息安全興趣小組UOU_Unknown組長(zhǎng)，目前依然參與小組活動(dòng)。在安全防范項(xiàng)目組以惡意代碼分析項(xiàng)目起步，負(fù)責(zé)惡意代碼分析相關(guān)開(kāi)源工具分析與研究項(xiàng)目。正在研究利用開(kāi)源工具開(kāi)發(fā)簡(jiǎn)單高效的惡意代碼分析自動(dòng)化系統(tǒng)。

圖書目錄

1　開(kāi)源軟件與Python環(huán)境 1
1．1　關(guān)于開(kāi)源軟件 2
如果管理人員熟悉開(kāi)源軟件 2
1．2　Python簡(jiǎn)介 3
1．3　搭建Python環(huán)境與程序發(fā)布 3
1．3．1　在Windows下搭建Python環(huán)境 3
1．3．2　使用Eclipse與PyDev搭建Python開(kāi)發(fā)環(huán)境 7
1．3．3　使用pyinstaller發(fā)布程序 12
1．4　從Github站點(diǎn)下載開(kāi)源工具 15
1．5　安裝Python模塊 17
1．6　小結(jié) 19
2　通過(guò)peframe學(xué)習(xí)PE文件結(jié)構(gòu) 20
2．1　PE文件結(jié)構(gòu) 21
2．1．1　DOS Header結(jié)構(gòu)體 23
2．1．2　DOS Stub Program 26
2．1．3　IMAGE_NT_HEADER結(jié)構(gòu)體 26
2．2　分析peframe工具 28
2．2．1　IMPORT模塊 29
2．2．2　預(yù)處理部分 30
2．2．3　分析main函數(shù) 35
2．2．4　peframe中的函數(shù) 40
2．3　惡意代碼的特征因子 136
2．3．1　殺毒結(jié)果 136
2．3．2　散列值 137
2．3．3　加殼器 138
2．3．4　節(jié)區(qū)名與熵 139
2．3．5　API 141
2．3．6　字符串 143
2．3．7　PE元數(shù)據(jù) 144
2．4　小結(jié) 145
3　惡意代碼分析服務(wù) 146
3．1　惡意代碼分析環(huán)境 147
3．1．1　自動(dòng)分析服務(wù)種類 147
3．1．2　惡意代碼分析Live CD介紹 148
3．1．3　收集惡意代碼 151
3．2　線上分析服務(wù) 166
3．2．1　VirusTotal服務(wù) 166
3．2．2　應(yīng)用VirusTotal服務(wù)API 173
3．2．3　使用URLquery查看感染惡意代碼的網(wǎng)站 188
3．2．4　使用hybrid-analysis分析惡意代碼 190
3．3　小結(jié) 192
4　使用Cuckoo Sandbox 193
4．1　Cuckoo Sandbox定義 195
4．2　Cuckoo Sandbox特征 196
4．3　安裝Cuckoo Sandbox 197
4．3．1　安裝Ubuntu 14．04 LTS 199
4．3．2　安裝VMware Tools 203
4．3．3　鏡像站點(diǎn) 205
4．3．4　安裝輔助包與庫(kù) 206
4．3．5　安裝必需包與庫(kù) 207
4．3．6　設(shè)置tcpdump 213
4．4　安裝沙箱 214
4．4．1　安裝沙箱 214
4．4．2　安裝增強(qiáng)功能 218
4．4．3　安裝Python與Python-PIL 219
4．4．4　關(guān)閉防火墻與自動(dòng)更新 220
4．4．5　網(wǎng)絡(luò)設(shè)置 221
4．4．6　設(shè)置附加環(huán)境 223
4．4．7　安裝Agent．py 224
4．4．8　生成虛擬機(jī)備份 228
4．4．9　通過(guò)復(fù)制添加沙箱 229
4．5　設(shè)置Cuckoo Sandbox 232
4．5．1　設(shè)置cuckoo．conf 232
4．5．2　設(shè)置processing．conf 236
4．5．3　設(shè)置reporting．conf 238
4．5．4　設(shè)置virtualbox．conf 239
4．5．5　設(shè)置auxiliary．conf 242
4．5．6　設(shè)置memory．conf 243
4．6　運(yùn)行Cuckoo Sandbox引擎 247
4．6．1　Community．py 248
4．6．2　使用最新Web界面 250
4．6．3　上傳分析文件 252
4．6．4　調(diào)試模式 255
4．6．5　使用經(jīng)典Web界面 256
4．7　Cuckoo Sandbox報(bào)告 257
4．7．1　JSONdump報(bào)告 257
4．7．2　HTML報(bào)告 258
4．7．3　MMDef報(bào)告 259
4．7．4　MAEC報(bào)告 260
4．8　Api．py分析 262
4．8．1　POST-/tasks/create/file 263
4．8．2　POST-/tasks/create/url 264
4．8．3　GET- /tasks/list 264
4．8．4　GET-/tasks/view 266
4．8．5　GET- /tasks/delete 267
4．8．6　GET-/tasks/report 267
4．8．7　GET-/tasks/screenshots 269
4．8．8　GET-/files/view 269
4．8．9　GET-/files/get 270
4．8．10　GET-/pcap/get 270
4．8．11　GET-/machine/list 270
4．8．12　GET-/machines/view 272
4．8．13　GET-/cuckoo/status 272
4．9　Cuckoo Sandbox實(shí)用工具 273
4．9．1　clean．sh 273
4．9．2　process．py 274
4．9．3　stats．py 274
4．9．4　submit．py 275
4．10　分析結(jié)果 275
4．10．1　Quick Overview 276
4．10．2　Static Analysis 279
4．10．3　Behavioral Analysis 280
4．10．4　Network Analysis 281
4．10．5　Dropped Files 282
4．11　使用Volatility的內(nèi)存分析結(jié)果 282
4．11．1　Process List 283
4．11．2　Services 284
4．11．3　Kernel Modules 285
4．11．4　Device Tree 285
4．11．5　Code Injection 286
4．11．6　Timers 286
4．11．7　Messagehooks 287
4．11．8　API Hooks 287
4．11．9　Callbacks 288
4．11．10　Yarascan 288
4．11．11　SSDT 288
4．11．12　IDT 289
4．11．13　GDT 289
4．12　Admin功能 290
4．13　比較功能 290
4．14　小結(jié) 292
5　惡意代碼詳細(xì)分析 293
5．1　查看Cuckoo Sandbox分析結(jié)果 294
5．2　線上分析報(bào)告 295
5．3　手動(dòng)詳細(xì)分析 296
5．4　小結(jié) 323
6　其他分析工具 324
6．1　使用viper分析與管理二進(jìn)制文件 325
6．1．1　安裝viper 325
6．1．2　使用viper 326
6．1．3　viper命令 327
6．1．4　模塊 337
6．2　使用ClamAV對(duì)惡意代碼分類 354
6．3　使用pyew管理與分析惡意代碼 363
6．3．1　查看幫助 365
6．3．2　查看導(dǎo)入表 368
6．3．3　在VirusTotal中檢測(cè)文件 370
6．3．4　查看URL信息 371
6．3．5　檢測(cè)PDF文件 373
6．4　使用pescanner檢測(cè)惡意代碼 379
6．4．1　使用Yara簽名進(jìn)行檢測(cè) 381
6．4．2　檢測(cè)可疑API函數(shù) 383
6．4．3　查看熵值 385
6．5　使用PEStudio分析可疑文件 385
6．6　分析網(wǎng)絡(luò)包 388
6．6．1　使用captipper分析網(wǎng)絡(luò)包 388
6．6．2　使用pcap-analyzer分析網(wǎng)絡(luò)包 390
6．6．3　使用net-creds獲取重要信息 393
6．7　使用各種開(kāi)源工具分析惡意代碼文件 395
6．8　使用Docker容器 402
6．8．1　Docker定義 402
6．8．2　關(guān)于Docker Hub 403
6．8．3　使用REMnux Docker鏡像 405
6．9　小結(jié) 408
7　利用內(nèi)存分析應(yīng)對(duì)入侵事故 409
7．1　Volatility簡(jiǎn)介與環(huán)境搭建 410
參考社區(qū)（維基頁(yè)面） 415
7．2　使用Volatility分析惡意代碼 416
7．3　開(kāi)源工具：TotalRecall 424
7．4　使用Redline分析內(nèi)存 433
7．5　Volatility插件使用與推薦 441
7．6　使用Rekall進(jìn)行內(nèi)存取證分析 445
7．7　使用VolDiff比較內(nèi)存分析結(jié)果 462
7．8　使用DAMM比較內(nèi)存分析結(jié)果 471
7．9　惡意代碼內(nèi)存分析示例 474
7．10　通過(guò)攻擊模擬了解內(nèi)存轉(zhuǎn)儲(chǔ)用法 477
7．11　小結(jié) 482