新書推薦:
《
一间只属于自己的房间 女性主义先锋伍尔夫代表作 女性精神独立与经济独立的象征,做自己,比任何事都更重要
》
售價:NT$
203.0
《
泉舆日志 幻想世界宝石生物图鉴
》
售價:NT$
611.0
《
养育女孩 : 官方升级版
》
售價:NT$
230.0
《
跨界:蒂利希思想研究
》
售價:NT$
500.0
《
千万别喝南瓜汤(遵守规则绘本)
》
售價:NT$
203.0
《
大模型启示录
》
售價:NT$
510.0
《
东法西渐:19世纪前西方对中国法的记述与评价
》
售價:NT$
918.0
《
养育男孩:官方升级版
》
售價:NT$
230.0
|
| 編輯推薦: |
介绍众多Python开源工具使用方法,立足入侵事故一线应对业务需求。
涵盖大量静态动态分析示例,轻松掌握并快速应用。
以内存分析为代表讲解分析技巧,实现各领域实操。
|
| 內容簡介: |
|
恶意代码分析过程中,重要的是掌握恶意代码的特征,此时需要灵活运用线上服务的快速分析数据和主要恶意代码的数据库。《利用Python开源工具分析恶意代码》从应对入侵事故一线业务人员角度出发,介绍了分析恶意代码时的Python 等众多开源工具的使用方法,也给出了可以迅速应用于实际业务的解决方案。
|
| 關於作者: |
赵涏元(chogar@naver.com)
目前在KB投资证券公司负责安全工作,管理安全防范项目组(http:www.boanproject.com)。在A3 Security公司做过5年渗透测试咨询顾问,在渗透测试项目管理、网络应用开发、源代码诊断等多种领域执行过漏洞诊断。之后在KTH安全团队负责移动服务和云服务安全、应对侵权事故等业务。与人合著《Kali Linux & BackTrack渗透测试实战》《Android恶意代码分析与渗透测试》等,现与安全防范项目组成员一起活跃在各个领域。
崔?v硕
目前在(株)韩国信息保护教育中心(KISEC,Korean Information Security Education Center)f-NGS研究所负责安全及相关领域研究,并在此基础上举办讲座,不断发表分析报告书。主要研究恶意代码分析及发布、开源工具应用、Web黑客攻防等,致力于技术与人文的结合。曾在(株)Tricubelab分析恶意代码发布、研究多种方法,构建并测试恶意代码相关开源工具,在此过程中积累创意和经验。负责安全防范项目组的恶意代码及漏洞部分研究,与人合著《Kali Linux & BackTrack渗透测试实战》,管理Hakawati Lab(www.hakawati.co.kr)博客。
李导炅
曾在三星SDS负责4年Web漏洞诊断业务,现在NSHC Red Alert团队担任恶意代码分析研究员,同时负责教育内容开发业务。在安全防范项目组负责恶意代码分析项目,关注并研究开源分析与开发。
郑智训
计算机信息通信工程专业在读,曾任蔚山大学信息安全兴趣小组UOU_Unknown组长,目前依然参与小组活动。在安全防范项目组以恶意代码分析项目起步,负责恶意代码分析相关开源工具分析与研究项目。正在研究利用开源工具开发简单高效的恶意代码分析自动化系统。
|
| 目錄:
|
1 开源软件与Python环境1
1.1 关于开源软件2
如果管理人员熟悉开源软件2
1.2 Python简介3
1.3 搭建Python环境与程序发布3
1.3.1 在Windows下搭建Python环境3
1.3.2 使用Eclipse与PyDev搭建Python开发环境7
1.3.3 使用pyinstaller发布程序12
1.4 从Github站点下载开源工具15
1.5 安装Python模块17
1.6 小结19
2 通过peframe学习PE文件结构20
2.1 PE文件结构21
2.1.1 DOS Header结构体23
2.1.2 DOS Stub Program26
2.1.3 IMAGE_NT_HEADER结构体26
2.2 分析peframe工具28
2.2.1 IMPORT模块29
2.2.2 预处理部分30
2.2.3 分析main函数35
2.2.4 peframe中的函数40
2.3 恶意代码的特征因子136
2.3.1 杀毒结果136
2.3.2 散列值137
2.3.3 加壳器138
2.3.4 节区名与熵139
2.3.5 API141
2.3.6 字符串143
2.3.7 PE元数据144
2.4 小结145
3 恶意代码分析服务146
3.1 恶意代码分析环境147
3.1.1 自动分析服务种类147
3.1.2 恶意代码分析Live CD介绍148
3.1.3 收集恶意代码151
3.2 线上分析服务166
3.2.1 VirusTotal服务166
3.2.2 应用VirusTotal服务API173
3.2.3 使用URLquery查看感染恶意代码的网站188
3.2.4 使用hybrid-analysis分析恶意代码190
3.3 小结192
4 使用Cuckoo Sandbox193
4.1 Cuckoo Sandbox定义195
4.2 Cuckoo Sandbox特征196
4.3 安装Cuckoo Sandbox197
4.3.1 安装Ubuntu 14.04 LTS199
4.3.2 安装VMware Tools203
4.3.3 镜像站点205
4.3.4 安装辅助包与库206
4.3.5 安装必需包与库207
4.3.6 设置tcpdump213
4.4 安装沙箱214
4.4.1 安装沙箱214
4.4.2 安装增强功能218
4.4.3 安装Python与Python-PIL219
4.4.4 关闭防火墙与自动更新220
4.4.5 网络设置221
4.4.6 设置附加环境223
4.4.7 安装Agent.py224
4.4.8 生成虚拟机备份228
4.4.9 通过复制添加沙箱229
4.5 设置Cuckoo Sandbox232
4.5.1 设置cuckoo.conf232
4.5.2 设置processing.conf236
4.5.3 设置reporting.conf238
4.5.4 设置virtualbox.conf239
4.5.5 设置auxiliary.conf242
4.5.6 设置memory.conf243
4.6 运行Cuckoo Sandbox引擎247
4.6.1 Community.py248
4.6.2 使用最新Web界面250
4.6.3 上传分析文件252
4.6.4 调试模式255
4.6.5 使用经典Web界面256
4.7 Cuckoo Sandbox报告257
4.7.1 JSONdump报告257
4.7.2 HTML报告258
4.7.3 MMDef报告259
4.7.4 MAEC报告260
4.8 Api.py分析262
4.8.1 POST-taskscreatefile263
4.8.2 POST-taskscreateurl264
4.8.3 GET- taskslist264
4.8.4 GET-tasksview266
4.8.5 GET- tasksdelete267
4.8.6 GET-tasksreport267
4.8.7 GET-tasksscreenshots269
4.8.8 GET-filesview269
4.8.9 GET-filesget270
4.8.10 GET-pcapget270
4.8.11 GET-machinelist270
4.8.12 GET-machinesview272
4.8.13 GET-cuckoostatus272
4.9 Cuckoo Sandbox实用工具273
4.9.1 clean.sh273
4.9.2 process.py274
4.9.3 stats.py274
4.9.4 submit.py275
4.10 分析结果275
4.10.1 Quick Overview276
4.10.2 Static Analysis279
4.10.3 Behavioral Analysis280
4.10.4 Network Analysis281
4.10.5 Dropped Files282
4.11 使用Volatility的内存分析结果282
4.11.1 Process List283
4.11.2 Services284
4.11.3 Kernel Modules285
4.11.4 Device Tree285
4.11.5 Code Injection286
4.11.6 Timers286
4.11.7 Messagehooks287
4.11.8 API Hooks287
4.11.9 Callbacks288
4.11.10 Yarascan288
4.11.11 SSDT288
4.11.12 IDT289
4.11.13 GDT289
4.12 Admin功能290
4.13 比较功能290
4.14 小结292
5 恶意代码详细分析293
5.1 查看Cuckoo Sandbox分析结果294
5.2 线上分析报告295
5.3 手动详细分析296
5.4 小结323
6 其他分析工具324
6.1 使用viper分析与管理二进制文件325
6.1.1 安装viper325
6.1.2 使用viper326
6.1.3 viper命令327
6.1.4 模块337
6.2 使用ClamAV对恶意代码分类354
6.3 使用pyew管理与分析恶意代码363
6.3.1 查看帮助365
6.3.2 查看导入表368
6.3.3 在VirusTotal中检测文件370
6.3.4 查看URL信息371
6.3.5 检测PDF文件373
6.4 使用pescanner检测恶意代码379
6.4.1 使用Yara签名进行检测381
6.4.2 检测可疑API函数383
6.4.3 查看熵值385
6.5 使用PEStudio分析可疑文件385
6.6 分析网络包388
6.6.1 使用captipper分析网络包388
6.6.2 使用pcap-analyzer分析网络包390
6.6.3 使用net-creds获取重要信息393
6.7 使用各种开源工具分析恶意代码文件395
6.8 使用Docker容器402
6.8.1 Docker定义402
6.8.2 关于Docker Hub403
6.8.3 使用REMnux Docker镜像405
6.9 小结408
7 利用内存分析应对入侵事故409
7.1 Volatility简介与环境搭建410
参考社区(维基页面)415
7.2 使用Volatility分析恶意代码416
7.3 开源工具:TotalRecall424
7.4 使用Redline分析内存433
7.5 Volatility插件使用与推荐441
7.6 使用Rekall进行内存取证分析445
7.7 使用VolDiff比较内存分析结果462
7.8 使用DAMM比较内存分析结果471
7.9 恶意代码内存分析示例474
7.10 通过攻击模拟了解内存转储用法477
7.11 小结482
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
