决战恶意代码
点击看大图基本信息
- 作者: Ed Skoudis,Lenny Zeltser
- 译者: 陈贵敏 候晓慧等
- 丛书名: 安全技术大系
- 出版社:电子工业出版社
- ISBN:7121009927
- 上架时间:2005-3-14
- 出版日期:2005 年3月
- 开本:16开
- 页码:480
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
让我们联起手来,拿起此书,与被人深恶痛绝的MALWARE(“malicious software”的简称,为破坏系统,甚至使系统崩溃而专门设计的软件,如病毒或特洛伊木马)做斗争。本书就是你战胜这场战争的精良武器,它旨在用预防、检测和处理攻击你的计算机系统和网络的恶意代码所需的工具和技术来武装你。
推荐阅读
内容简介回到顶部↑
你是否经历了:
上了一个网站,硬盘就被恶意格式化了?!
ie浏览器标题栏换成了其他网站的名字?!
默认主页成了其他莫名网址,并且恢复不了?!
在机器上不知什么时候被安装上一个木马程序?!
注册表编辑器被禁止使用?!
计算机系统被改得乱七八糟?!
这都是恶意代码惹的祸!
让我们联起手来,拿起此书,与被人深恶痛绝的malware(“malicious software”的简称,为破坏系统,甚至使系统崩溃而专门设计的软件,如病毒或特洛伊木马)做斗争。
没错!这其实就是一种斗争!本书就是你战胜这场战争的精良武器,它旨在用预防、检测和处理攻击你的计算机系统和网络的恶意代码所需的工具和技术来武装你。本书提供:
·同时针对unix和windows这两个系统所给出的解决方案和实例。
·为使系统安全,可实际操作的、久经时间考验的、现实世界中可采取的行动方案
·建立适合自身情况的免费恶意代码分析实验室的全面指导,免于攻击之苦!
书中讨论了如何预先保证系统安全,以防止这样的攻击;如何发现渗透进你的防御系统的恶意代码;如何分析随时都有可能遇到的malware样本等。本书突出强调实用性,书中详细介绍了保证系统不受恶意代码攻击所能采取的措施,这些措施已经过时间考验并且切实可行。按照书中的技巧,你完全可以构建一个顶尖的防御工具包,用来对付随处发现的恶意代码。
系统管理员、网络工作者、家用计算机用户,特别是安全从业者,都需要利用此书,以此为自己的网络抵御那些随时都在变得更加凶狠的攻击。
上了一个网站,硬盘就被恶意格式化了?!
ie浏览器标题栏换成了其他网站的名字?!
默认主页成了其他莫名网址,并且恢复不了?!
在机器上不知什么时候被安装上一个木马程序?!
注册表编辑器被禁止使用?!
计算机系统被改得乱七八糟?!
这都是恶意代码惹的祸!
让我们联起手来,拿起此书,与被人深恶痛绝的malware(“malicious software”的简称,为破坏系统,甚至使系统崩溃而专门设计的软件,如病毒或特洛伊木马)做斗争。
没错!这其实就是一种斗争!本书就是你战胜这场战争的精良武器,它旨在用预防、检测和处理攻击你的计算机系统和网络的恶意代码所需的工具和技术来武装你。本书提供:
·同时针对unix和windows这两个系统所给出的解决方案和实例。
·为使系统安全,可实际操作的、久经时间考验的、现实世界中可采取的行动方案
·建立适合自身情况的免费恶意代码分析实验室的全面指导,免于攻击之苦!
书中讨论了如何预先保证系统安全,以防止这样的攻击;如何发现渗透进你的防御系统的恶意代码;如何分析随时都有可能遇到的malware样本等。本书突出强调实用性,书中详细介绍了保证系统不受恶意代码攻击所能采取的措施,这些措施已经过时间考验并且切实可行。按照书中的技巧,你完全可以构建一个顶尖的防御工具包,用来对付随处发现的恶意代码。
系统管理员、网络工作者、家用计算机用户,特别是安全从业者,都需要利用此书,以此为自己的网络抵御那些随时都在变得更加凶狠的攻击。
目录回到顶部↑
第1章 介绍 1
1.1 定义问题 2
1.2 为什么恶意代码如此普遍 3
1.2.1 混合的数据和可执行指令:令人惊恐的组合 4
1.2.2 恶意的用户 7
1.2.3 日益增加的同构计算环境 8
1.2.4 空前的连通性 8
1.2.5 不断扩大的缺乏专业技能的用户群 9
1.2.6 这个世界并不是个友善和平的地方 9
1.3 恶意代码的类型 10
1.4 恶意代码的历史 12
1.5 为什么写这本书 15
1.6 有哪些期望 16
1.7 参考文献 18
第2章 病毒 19
2.1 计算机病毒的早期历史 21
2.2 感染机制和目标 24
2.2.1 感染可执行文件 24
2.2.2 感染引导区 28
2.2.3 感染文档文件 31
1.1 定义问题 2
1.2 为什么恶意代码如此普遍 3
1.2.1 混合的数据和可执行指令:令人惊恐的组合 4
1.2.2 恶意的用户 7
1.2.3 日益增加的同构计算环境 8
1.2.4 空前的连通性 8
1.2.5 不断扩大的缺乏专业技能的用户群 9
1.2.6 这个世界并不是个友善和平的地方 9
1.3 恶意代码的类型 10
1.4 恶意代码的历史 12
1.5 为什么写这本书 15
1.6 有哪些期望 16
1.7 参考文献 18
第2章 病毒 19
2.1 计算机病毒的早期历史 21
2.2 感染机制和目标 24
2.2.1 感染可执行文件 24
2.2.2 感染引导区 28
2.2.3 感染文档文件 31
译者序回到顶部↑
Malware为Malicious software的简写,意为“恶意软件”,用以指称设计用于破坏计算机系统的软件。从1981年第一例有记载的计算机病毒出现以来,我们的计算机便工作在Malware的“白色恐怖”之下。计算环境的日益兼容,计算机互联性的日趋完善,缺乏专业技能的计算机用户群的扩大,成为加速计算机产业革命的因素,同时也令如今的计算机面临着更广泛的恶意代码攻击的威胁。据Symantec公司对全世界受感染计算机用户的调查报告显示,超过64%的个人电脑中有含有某种Malware或者Spyware目录。面对这些威胁,无论是安全从业者还是系统管理员,或是普通的计算机用户,都迫切需要掌握相关的防范知识和技能。换句话说:计算机安全已不单单是安全从业者的事情了,大量的普通计算机用户,尤其是众多“网友”,都需要为自己的计算机筑起一道安全“防线”。
我们非常高兴向广大读者推荐这本关于计算机安全方面的出色的专业指南。书中依次讲述了“病毒”、“蠕虫”、“恶意移动代码”、“后门”、“特洛伊木马”、“用户模式RootKits”以及“内核模式RootKits”等Malware。对每一种恶意代码,作者都是从宏观定义入手,详细剖析其攻击方式的基本原理,并提供一些实现的技术细节;然后针对不同类型的攻击提出相应的防御措施。全书风格明快、生动活泼、语言风趣,图文并茂,既有专业的理论分析,又提供了解决实际问题的方法并配以实例讲解,不但适合于计算机安全从业者,而且适合于普通的计算机爱好者,是一本不可多得的计算机安全书籍。
作者Ed Skoudis,是有名的信息安全预测专家、克林顿安全办公室的高级顾问以及网络安全研究会“The Hack-Counter Hack Training Course”的创始人,是多年来一直从事计算机安全工作。Ed Skoudis的另外一部畅销书——“Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses”(中文版译名为《反击黑客》),详细介绍防御各种黑客攻击的技术与方法。而这本书所讲述的Malware要比黑客攻击工具具有更为广泛的内容。
相信在看过这本书之后,我们将会为自己的计算机建立更为坚固的安全防线,在面对Malware的时候不再束手无策!
参加本书翻译和校对工作的还有芦洁、杨扬、鲍亮、邬丽红、韩琪和赵景等。
限于译者水平,错误与不当之处在所难免,敬请广大读者批评指正。
译者于西安电子科技大学
我们非常高兴向广大读者推荐这本关于计算机安全方面的出色的专业指南。书中依次讲述了“病毒”、“蠕虫”、“恶意移动代码”、“后门”、“特洛伊木马”、“用户模式RootKits”以及“内核模式RootKits”等Malware。对每一种恶意代码,作者都是从宏观定义入手,详细剖析其攻击方式的基本原理,并提供一些实现的技术细节;然后针对不同类型的攻击提出相应的防御措施。全书风格明快、生动活泼、语言风趣,图文并茂,既有专业的理论分析,又提供了解决实际问题的方法并配以实例讲解,不但适合于计算机安全从业者,而且适合于普通的计算机爱好者,是一本不可多得的计算机安全书籍。
作者Ed Skoudis,是有名的信息安全预测专家、克林顿安全办公室的高级顾问以及网络安全研究会“The Hack-Counter Hack Training Course”的创始人,是多年来一直从事计算机安全工作。Ed Skoudis的另外一部畅销书——“Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses”(中文版译名为《反击黑客》),详细介绍防御各种黑客攻击的技术与方法。而这本书所讲述的Malware要比黑客攻击工具具有更为广泛的内容。
相信在看过这本书之后,我们将会为自己的计算机建立更为坚固的安全防线,在面对Malware的时候不再束手无策!
参加本书翻译和校对工作的还有芦洁、杨扬、鲍亮、邬丽红、韩琪和赵景等。
限于译者水平,错误与不当之处在所难免,敬请广大读者批评指正。
译者于西安电子科技大学
前言回到顶部↑
几年前,我曾在Virginia州的McLean参加了一个关于入侵检测的特别会议。与会者被分为四个小组,负责对入侵检测相关领域的技术的发展水平进行评估和将来的研究方向提出一些建议。最后,每个小组选出一名代表为所有与会者展示他们小组的研究成果。虽然每个小组的报告都很有趣,而且都值得一听,不过,研究恶意代码那一小组对恶意代码领域的发展所做的报告深深地吸引了我。他们的结论是:这几年来,在恶意代码的特征描述和识别方面并没有太大的实质性进展。大家想想,病毒已经存在了至少二十年了,人们仍然在编写着各种恶意代码,并让它们四处蔓延,但是,我们根本不会奢望会听到类似于“如今哪个可靠的程序可以准确而高效地检测到几乎所有的恶意代码”这样跨越式的进步。然而并不是所有人都这么认为。一些没有参加会议的研究人员根本不会同意恶意代码小组的说法,但我相信这样的人只是少数。为了更好地识别和对付恶意代码,我们正在进行着大量相关的研究工作但是要在理解和检测恶意软件方面取得突破性的进展我们还有相当漫长的路。
极具讽刺意味的是,如今的计算世界里到处都充斥着恶意软件。病毒和蠕虫都非常普遍,在报纸、杂志和电视上经常都能看到有关“最新且最强大”的病毒或蠕虫的报道。即便是计算机新手都知道病毒是什么以及它们为什么不受欢迎。数年前就有人开发出了“创建你自己的病毒”这样的工具包。在十年前,公开的“电脑黑客工具”站点还非常罕见,而在今天的互联网上却是盛极一时。然而,对于想要获得恶意软件的人来说,并不一定要从“电脑黑客工具”网站才能获得他们想要的。2002年8月,计算机紧急响应小组协调中心(the Computer Emergency Response Team Coordination Center,CERT/CC)报道:一个搞恶作剧的家伙修改了OpenSSH中所有的源代码,使其中包含了特洛伊木马程序。一些毫无防备的用户进入OpenSSH和它的镜像站点,他们本想通过各主机之间加密的网络传输非常安全地下载OpenSSH。但事与愿违,他们却将包含在OpenSSH源码中的木马程序引入腹地,这使得攻击者获得了对他们系统的远程控制。即便是本书——“Malware: Fighting Malicious Code”的作者,全世界能够识别各种类型攻击的为数不多的专家之一,Ed Skoudis本人,在本书的第一章中指出:他曾在他的某一台计算机上发现过数个执行暴力的口令破解的木马程序。恶意软件一点也不罕见;相反它还很流行,而且这一状况正在加剧。
恶意软件不能凭空存在,它不能魔法般地自己潜入系统和网络设备中。就像生物学上的寄生虫寄居在某个宿主的一个或多个薄弱处一样,恶意软件想要运行并达到预期的结果也需要有特定的条件。而今天的计算世界,为恶意软件提供了一个近乎理想的环境,这对于恶意软件的作者来说是幸运的,而对于用户群则是不幸的。为什么呢?首先,因为如今比较通用的软件都存在许多容易受到攻击的弱点。特别的,为了降低开发成本并为自己的软件产品赢得竞争力,进而获得最大的利润,大多数软件发行商都是匆匆地完成软件的开发。他们生产的代码通常没有经过认真的设计、开发以及足够的测试。最终开发出的就是充满漏洞的软件——它们表现异常,或者,更糟的是,导致了安装这些软件的系统表现异常,在许多情况下,这为作恶者提供了利用异常环境执行恶意软件并/或者安装更多恶意软件的机会,这样恶意者就能实现他们所想要做的(例如捕捉键盘的输出)。事实上,由于没有针对软件产业的管理条例,而用户群天真无邪地继续购买和使用到处是漏洞的软件、并且不去修补那些已经发现的漏洞,所以说,恶意软件确实拥有一个“目标充足”的环境供其滋生。
还有更糟糕的,破解工具的可用性发生了很大变化。不久前,人们在得到某个破解工具后还得花些功夫去学习如何使用它。大多数破解工具的用户界面是语义含糊的命令行界面,只有工具的开发者才会使用。这些工具的帮助设施事实上并不存在。其结果就是很难甚至无法使用这些工具,只有少数人可以使用这些工具,并以此为荣。因此,与安全相关的威胁水平并不是很高。然而,随着时间的推移,破解工具的可用性有了很大的改善。现在许多工具都很容易操作,因此被戏称为“儿童脚本(kiddie scripts)”。如果某个“攻击者”想要利用它们做些什么的话,只需下载这些工具并输入少量信息(比如说,只需回答“你想攻击哪个IP地址?”),然后将鼠标指针移动到按钮“Go”上并点击一下。儿童脚本的出现和几个世纪前枪支的出现具有很多相似之处。在枪支大量用于战斗以前,综合考虑所有因素,人数多的一方比人数少的一方有很大的优势。枪支成为重要的“平衡器”。尽管稍有不同,但儿童脚本同样是个重要的平衡器。使用儿童脚本还不大可能完成一个经验丰富的攻击者所能做的事情,但是,一个毫无经验的攻击者却至少可以完成很多甚至大多数的攻击。
部署恶意软件的各种动机也令我们眼界大开。传统意义上的“黑客”如今只是计算机世界敌对势力中的一小部分潜在的力量。有组织的犯罪已经潜入计算领域,正在寻找机会,比如进行未经许可的资金传输。商业间谍机构、心存不满或是贪婪的内部人员、军队和政府部门的“信息战”专家、遭到爱人抛弃的人、第三者、身份窃贼(identity thieves)、甚至是计算机恐怖分子,都被列于倾向于突破系统和网络安全防线的众多人群之列。计算机安全专家认为攻击者实施攻击需要一定的能力、高明的手段和合适的机会。恶意软件转变为攻击者的能力。如果我们想到今天的计算环境是如此地多种多样、以及有这么多种人群可以偷偷地获得对系统和网络的访问权的话,我们就会明白机会简直多得令人难以置信。
然而,我们并没有完全输掉这场战争。与恶意软件的战争中至有少数的几个亮点。如今,反病毒软件得到了广泛的应用,例如,如果我们能够定期更新我们的反病毒软件,那么在检测和清除相当数量的恶意软件——特别是(并不限于)Windows和Macintosh系统中的病毒和蠕虫方面是非常有效的。反病毒软件的成功在某种程度上体现了与恶意软件斗争的胜利。但是,这类软件中的绝大多数是相当简单的,正如你将在本书第二章中看到的那样,然而,更糟的是,还有许多用户仍然没有在自己的Windows和Macintosh系统上安装反病毒软件,或者,即使他们安装了反病毒软件,他们也有可能不会去进行必要的更新。正如这本书的其它章节所提到的那样,有人也开发了一些针对其它种类的恶意软件的检测和清除软件,但是,同反病毒软件一样,缺乏(往往是最需要这类软件的组织)广泛的部署是这类软件的主要局限。
多种恶意软件并存,并且它们似乎都在快速地变得越来越复杂,这使得在我们所知道的恶意软件和对它的处理能力之间产生了巨大的差距。如果我们想要缩小这个差距,我们在理解和处理恶意软件方面需要大跨步地发展,而不是缓慢前进。详细、全面地理解恶意软件是怎样工作,以及怎样防范它们是缩小这个差距最有效的催化剂。“Malware: Fighting Malicious Code”就是这样一本书。作者Ed Skoudis在第一章简单地介绍了必要的基础知识,然后在后续章节中介绍了每一种恶意软件——病毒、蠕虫、恶意移动代码、后门、特洛伊木马、用户模式Rootkits、内核模式Rootkits、更深层次的恶意软件和混合恶意软件。然后他描述了恶意软件植入系统的各种情形,并且以如何安全有效地分析潜在的和真正的恶意软件作为本书的结束部分。我最喜欢的章节是第八章(关于“内核模式Rootkits”),因为Ed选择了一个含有许多零散知识的主题,并用非常详细和易于理解的结构将这些知识组织起来。必须承认,我在读过这一章后也是非常地不安,因为我第一次意识到破坏内核居然有这么多高明的方法。之后,我摆弄自己的一个Linux系统,尝试着用Ed所介绍的方法来确保系统的内核层没有遭到破坏。我发现读过这一章后,自己可以将别人在Windows系统而不是Linux系统上花费大量时间所做的事情做得更加出色。第十章(关于“情节”)是对Ed在前面九章中介绍的内容的应用。情节和案例研究是将理论进行运用的最好办法,而作者恰在案例这一章中以非常好的形式实现了这一点。学习恶意软件总是非常有趣,但是如果你在阅读的时候不知道该做些什么的话,那恐怕很难有所收获。整本书确定了针对可能遭遇的威胁的高效、切实可行的解决方案,并详细介绍了如何实施这些方案。
我从没有看到过像“Malware: Fighting Malicious Code”这样清晰而系统讲解有关这样一组恶意软件的本质的问题。Ed是一个顶级的SANS教员,如果你对他所写的是否能够像他所讲的一样出色表示怀疑,读一下这本书吧,你的疑虑将会烟消云散。他可以将一切相关技术描述得简单易懂,却又不减少技术含量,这一点是很少有作者能够做得到。不论所讨论的主题涉及了多少技术问题,他都会频频插入幽默的语句作为点睛之笔,令这本书保持了较高水平的趣味性。我一直在想,这几年来又有多少学生参加了我的各种计算机安全课程,如果参加之前他们有了这本书,也许就不会来学习这些课程了。
——E. Eugene Schultz, Ph.D., CISSP, CISM
极具讽刺意味的是,如今的计算世界里到处都充斥着恶意软件。病毒和蠕虫都非常普遍,在报纸、杂志和电视上经常都能看到有关“最新且最强大”的病毒或蠕虫的报道。即便是计算机新手都知道病毒是什么以及它们为什么不受欢迎。数年前就有人开发出了“创建你自己的病毒”这样的工具包。在十年前,公开的“电脑黑客工具”站点还非常罕见,而在今天的互联网上却是盛极一时。然而,对于想要获得恶意软件的人来说,并不一定要从“电脑黑客工具”网站才能获得他们想要的。2002年8月,计算机紧急响应小组协调中心(the Computer Emergency Response Team Coordination Center,CERT/CC)报道:一个搞恶作剧的家伙修改了OpenSSH中所有的源代码,使其中包含了特洛伊木马程序。一些毫无防备的用户进入OpenSSH和它的镜像站点,他们本想通过各主机之间加密的网络传输非常安全地下载OpenSSH。但事与愿违,他们却将包含在OpenSSH源码中的木马程序引入腹地,这使得攻击者获得了对他们系统的远程控制。即便是本书——“Malware: Fighting Malicious Code”的作者,全世界能够识别各种类型攻击的为数不多的专家之一,Ed Skoudis本人,在本书的第一章中指出:他曾在他的某一台计算机上发现过数个执行暴力的口令破解的木马程序。恶意软件一点也不罕见;相反它还很流行,而且这一状况正在加剧。
恶意软件不能凭空存在,它不能魔法般地自己潜入系统和网络设备中。就像生物学上的寄生虫寄居在某个宿主的一个或多个薄弱处一样,恶意软件想要运行并达到预期的结果也需要有特定的条件。而今天的计算世界,为恶意软件提供了一个近乎理想的环境,这对于恶意软件的作者来说是幸运的,而对于用户群则是不幸的。为什么呢?首先,因为如今比较通用的软件都存在许多容易受到攻击的弱点。特别的,为了降低开发成本并为自己的软件产品赢得竞争力,进而获得最大的利润,大多数软件发行商都是匆匆地完成软件的开发。他们生产的代码通常没有经过认真的设计、开发以及足够的测试。最终开发出的就是充满漏洞的软件——它们表现异常,或者,更糟的是,导致了安装这些软件的系统表现异常,在许多情况下,这为作恶者提供了利用异常环境执行恶意软件并/或者安装更多恶意软件的机会,这样恶意者就能实现他们所想要做的(例如捕捉键盘的输出)。事实上,由于没有针对软件产业的管理条例,而用户群天真无邪地继续购买和使用到处是漏洞的软件、并且不去修补那些已经发现的漏洞,所以说,恶意软件确实拥有一个“目标充足”的环境供其滋生。
还有更糟糕的,破解工具的可用性发生了很大变化。不久前,人们在得到某个破解工具后还得花些功夫去学习如何使用它。大多数破解工具的用户界面是语义含糊的命令行界面,只有工具的开发者才会使用。这些工具的帮助设施事实上并不存在。其结果就是很难甚至无法使用这些工具,只有少数人可以使用这些工具,并以此为荣。因此,与安全相关的威胁水平并不是很高。然而,随着时间的推移,破解工具的可用性有了很大的改善。现在许多工具都很容易操作,因此被戏称为“儿童脚本(kiddie scripts)”。如果某个“攻击者”想要利用它们做些什么的话,只需下载这些工具并输入少量信息(比如说,只需回答“你想攻击哪个IP地址?”),然后将鼠标指针移动到按钮“Go”上并点击一下。儿童脚本的出现和几个世纪前枪支的出现具有很多相似之处。在枪支大量用于战斗以前,综合考虑所有因素,人数多的一方比人数少的一方有很大的优势。枪支成为重要的“平衡器”。尽管稍有不同,但儿童脚本同样是个重要的平衡器。使用儿童脚本还不大可能完成一个经验丰富的攻击者所能做的事情,但是,一个毫无经验的攻击者却至少可以完成很多甚至大多数的攻击。
部署恶意软件的各种动机也令我们眼界大开。传统意义上的“黑客”如今只是计算机世界敌对势力中的一小部分潜在的力量。有组织的犯罪已经潜入计算领域,正在寻找机会,比如进行未经许可的资金传输。商业间谍机构、心存不满或是贪婪的内部人员、军队和政府部门的“信息战”专家、遭到爱人抛弃的人、第三者、身份窃贼(identity thieves)、甚至是计算机恐怖分子,都被列于倾向于突破系统和网络安全防线的众多人群之列。计算机安全专家认为攻击者实施攻击需要一定的能力、高明的手段和合适的机会。恶意软件转变为攻击者的能力。如果我们想到今天的计算环境是如此地多种多样、以及有这么多种人群可以偷偷地获得对系统和网络的访问权的话,我们就会明白机会简直多得令人难以置信。
然而,我们并没有完全输掉这场战争。与恶意软件的战争中至有少数的几个亮点。如今,反病毒软件得到了广泛的应用,例如,如果我们能够定期更新我们的反病毒软件,那么在检测和清除相当数量的恶意软件——特别是(并不限于)Windows和Macintosh系统中的病毒和蠕虫方面是非常有效的。反病毒软件的成功在某种程度上体现了与恶意软件斗争的胜利。但是,这类软件中的绝大多数是相当简单的,正如你将在本书第二章中看到的那样,然而,更糟的是,还有许多用户仍然没有在自己的Windows和Macintosh系统上安装反病毒软件,或者,即使他们安装了反病毒软件,他们也有可能不会去进行必要的更新。正如这本书的其它章节所提到的那样,有人也开发了一些针对其它种类的恶意软件的检测和清除软件,但是,同反病毒软件一样,缺乏(往往是最需要这类软件的组织)广泛的部署是这类软件的主要局限。
多种恶意软件并存,并且它们似乎都在快速地变得越来越复杂,这使得在我们所知道的恶意软件和对它的处理能力之间产生了巨大的差距。如果我们想要缩小这个差距,我们在理解和处理恶意软件方面需要大跨步地发展,而不是缓慢前进。详细、全面地理解恶意软件是怎样工作,以及怎样防范它们是缩小这个差距最有效的催化剂。“Malware: Fighting Malicious Code”就是这样一本书。作者Ed Skoudis在第一章简单地介绍了必要的基础知识,然后在后续章节中介绍了每一种恶意软件——病毒、蠕虫、恶意移动代码、后门、特洛伊木马、用户模式Rootkits、内核模式Rootkits、更深层次的恶意软件和混合恶意软件。然后他描述了恶意软件植入系统的各种情形,并且以如何安全有效地分析潜在的和真正的恶意软件作为本书的结束部分。我最喜欢的章节是第八章(关于“内核模式Rootkits”),因为Ed选择了一个含有许多零散知识的主题,并用非常详细和易于理解的结构将这些知识组织起来。必须承认,我在读过这一章后也是非常地不安,因为我第一次意识到破坏内核居然有这么多高明的方法。之后,我摆弄自己的一个Linux系统,尝试着用Ed所介绍的方法来确保系统的内核层没有遭到破坏。我发现读过这一章后,自己可以将别人在Windows系统而不是Linux系统上花费大量时间所做的事情做得更加出色。第十章(关于“情节”)是对Ed在前面九章中介绍的内容的应用。情节和案例研究是将理论进行运用的最好办法,而作者恰在案例这一章中以非常好的形式实现了这一点。学习恶意软件总是非常有趣,但是如果你在阅读的时候不知道该做些什么的话,那恐怕很难有所收获。整本书确定了针对可能遭遇的威胁的高效、切实可行的解决方案,并详细介绍了如何实施这些方案。
我从没有看到过像“Malware: Fighting Malicious Code”这样清晰而系统讲解有关这样一组恶意软件的本质的问题。Ed是一个顶级的SANS教员,如果你对他所写的是否能够像他所讲的一样出色表示怀疑,读一下这本书吧,你的疑虑将会烟消云散。他可以将一切相关技术描述得简单易懂,却又不减少技术含量,这一点是很少有作者能够做得到。不论所讨论的主题涉及了多少技术问题,他都会频频插入幽默的语句作为点睛之笔,令这本书保持了较高水平的趣味性。我一直在想,这几年来又有多少学生参加了我的各种计算机安全课程,如果参加之前他们有了这本书,也许就不会来学习这些课程了。
——E. Eugene Schultz, Ph.D., CISSP, CISM
评论交流
共有11人开贴评论 18人参与评论 7人参与打分 查看
评价等级:
发表于:2005-6-8 11:40:00
现在,书看到第九章,明显感到是不同的人在翻译,相对来说1-4章翻译的比较好,5-8章翻译的水平就差很多了。在这里,我不知道译者是否会来看到我的意见,但是有些意见我还是会说。我特意在第8章拿铅笔画了感觉翻译差的或语句表达明显错误,词不达意的,句号乱用的,从287页到305页有将近50个。到后面,我也懒的再画了。前一条意见我提到专业素养,真的很有问题。我不知道,翻译本书的是否是计算机专业或相关专业学生或从业者,但从翻译出来的东西来说真的是糟蹋了本书。书籍翻译讲究信、雅、达。本书译者可能是头一次翻译书籍,如果你们有参加下一次翻译机会,请认真一点,用心一点翻译,真的。
)
加载中...| 我要写评论 |
| 查看所有评论交流(共11条) |
