Rootkit和Bootkit：現代惡意軟體逆向分析和下一代威脅（簡體書）

一本囊括靈活的技巧、操作系統架構觀察以及攻擊者和防禦者創新所使用的設計模式的書，基於三位出色安全專家的大量案例研究和專業研究，主要內容包括：Windows如何啟動，在哪裡找到漏洞；引導過程安全機制(如安全引導)的詳細信息，包括虛擬安全模式(VSM)和設備保護的概述；如何通過逆向工程和取證技術分析真正的惡意軟件；如何使用仿真和Bochs和IDA Pro等工具執行靜態和動態分析；如何更好地瞭解BIOS和UEFI固件威脅的交付階段，以創建檢測功能；如何使用虛擬化工具，如VMware Workstation；深入分析逆向工程中的Bootkit和Intel Chipsec。

聚焦具有創新性的惡意軟件逆向工程，闡述漏洞成因及利用方式，以及如何在現代計算機中實現信任

這是一個不可否認的事實——惡意軟件的使用對計算機安全的威脅越來越大。我們看到到處都是令人擔憂的統計數據，這些數據顯示出惡意軟件的經濟影響、複雜性，以及惡意樣本絕對數量的增加。無論是業界還是學術界，都有比以往更多的安全研究人員在研究惡意軟件，並在很多場合發表研究成果，從博客、行業會議到學術研究和相關書籍。它們從各種角度如逆向工程、最佳實踐、方法論和最佳工具集等廣泛研究惡意軟件。
因此，很多關於惡意軟件分析和自動化工具的討論已經開始，而且每天都在增加。所以你可能想知道：為什麼還有一本關於這個主題的書呢？這本書帶來了哪些新的內容？
首先，雖然這本書討論先進的（我指的是有創新性的）惡意軟件逆向工程，但它涵蓋了所有的基礎知識，比如解釋了為什麼惡意軟件中的那段代碼從一開始就可能出現。這本書解釋了受影響的不同組件的內部工作原理——從平臺的啟動，到通過操作系統加載到不同的內核組件，再到應用層操作（這些操作向下流回內核）。
我發現自己不止一次地解釋，基礎覆蓋與基本覆蓋不同——盡管它確實需要向下擴展到基本層面，即計算的基本構建塊。這樣看來，這本書不僅僅是關於惡意軟件的，它討論了計算機是如何工作的，現代軟件棧是如何同時使用計算機的基本功能和用戶界面的。一旦你了解了這些，你自然而然地就能理解為什麼會出現漏洞，以及漏洞是如何被利用的。
有誰能比那些在許多情況下揭示了真正先進的惡意代碼的作者更好地提供這一指導呢？此外，還要經過深思熟慮和艱苦努力，將這種體驗與計算機的基礎和更大的圖景聯繫起來，比如如何分析和理解具有相似概念特徵的不同問題，這就是這本書應該列在你閱讀清單的第一位的原因。
如果所選擇的內容和方法證明了這樣一本書的必要性，那麼下一個問題就是為什麼以前沒有人接受寫這樣一本書的挑戰。這本書的誕生花費了作者幾年的努力，由此可見，出版這樣一本書是很困難的，不僅需要合適的技能組合（鑒於作者的技術背景，他們顯然能夠滿足這項條件），還需要編輯的支持以及讀者的熱情。
這本書的重點是詮釋如何在現代計算機中實現信任（或者說詮釋了現代計算機為何會缺乏信任），以及如何利用不同的層和它們之間的轉換缺陷來打破下一層所做的假設。這以一種獨特的方式突出了實現安全性所涉及的兩個主要問題：組合（多個層，每個層都依賴於另一個層的正確行為來正常運行）和假設（因為這些層必須默認假設前一個層的行為正確）。作者還分享了他們在工具和方法方面的專業知識，這些工具和方法可用於分析早期的引導組件和操作系統的深層原理。這種跨層方法本身就值得寫成一本書。作為一名讀者，我喜歡這種“買一送一”的方式，很少有作家會這樣做。
使用逆向工程來理解破壞系統通常行為的代碼是一項令人驚嘆的壯舉，它揭示了許多知識。能夠從專業人員那裡學習，了解他們的見解、方法、建議和全面的專業知識是一個難得的機會，再結合自己的學習進度，將有更多收獲。你可以深入研究，使用輔助材料，加以實踐，讓社區、朋友甚至教授（我希望他們能看到這本書給課堂帶來的價值）參與進來。這不是一本僅供閱讀的書，而是一本值得研究的書。

序言
前言
致謝
關於作者
關於技術審校
第一部分　Rootkit
第1章　Rootkit原理：TDL3案例研究2
1.1　TDL3在真實環境中的傳播歷史2
1.2　感染例程3
1.3　控制數據流5
1.4　隱藏的文件系統8
1.5　小結：TDL3也有“天敵”9
第2章　Festi Rootkit：先進的垃圾郵件和DDoS僵屍網絡10
2.1　Festi僵屍網絡的案例10
2.2　剖析Rootkit驅動程序11
2.3　Festi網絡通信協議20
2.4　繞過安全和取證軟件22
2.5　C&C故障的域名生成算法24
2.6　惡意的功能25
2.7　小結28
第3章　觀察Rootkit感染29
3.1　攔截的方法29
3.2　恢復系統內核35
3.3　偉大的Rootkit軍備競賽：一個懷舊的筆記36
3.4　小結37
第二部分　Bootkit
第4章　Bootkit的演變40
4.1　第一個Bootkit惡意程序40
4.2　Bootkit病毒的演變42
4.3　新一代Bootkit惡意軟件43
4.4　小結45
第5章　操作系統啟動過程要點46
5.1　Windows引導過程的高級概述47
5.2　傳統引導過程47
5.3　Windows系統的引導過程48
5.4　小結55
第6章　引導過程安全性56
6.1　ELAM模塊56
6.2　微軟內核模式代碼簽名策略59
6.3　Secure Boot技術64
6.4　Windows 10中基於虛擬化的安全65
6.5　小結66
第7章　Bootkit感染技術68
7.1　MBR感染技術68
7.2　VBR / IPL感染技術75
7.3　小結76
第8章　使用IDA Pro對Bootkit進行靜態分析77
8.1　分析Bootkit MBR78
8.2　VBR業務分析技術86
8.3　高級IDA Pro的使用：編寫自定義MBR加載器88
8.4　小結92
8.5　練習92
第9章　Bootkit動態分析：仿真和虛擬化94
9.1　使用Bochs進行仿真94
9.2　使用VMware Workstation進行虛擬化102
9.3　微軟Hyper-V和Oracle VirtualBox106
9.4　小結107
9.5　練習107
第10章　MBR和VBR感染技術的演變：Olmasco109
10.1　Dropper109
10.2　Bootkit的功能113
10.3　Rootkit的功能115
10.4　小結119
第11章　IPL Bootkit：Rovnix和Carberp120
11.1　Rovnix的演化120
11.2　Bootkit架構121
11.3　感染系統122
11.4　感染後的引導過程和IPL124
11.5　內核模式驅動程序的功能134
11.6　隱藏的文件系統137
11.7　隱藏的通信信道139
11.8　案例研究：與Carberp的聯繫140
11.9　小結143
第12章　Gapz：高級VBR感染144
12.1　Gapz Dropper145
12.2　使用Gapz Bootkit感染系統152
12.3　Gapz Rootkit的功能156
12.4　隱藏存儲158
12.5　小結170
第13章　MBR勒索軟件的興起171
13.1　現代勒索軟件簡史171
13.2　勒索軟件與Bootkit功能172
13.3　勒索軟件的運作方式173
13.4　分析Petya勒索軟件174
13.5　分析Satana勒索軟件187
13.6　小結191
第14章　UEFI與MBR/VBR 引導過程193
14.1　統一可擴展固件接口193
14.2　傳統BIOS和UEFI引導過程之間的差異194
14.3　GUID分區表的細節197
14.4　UEFI固件的工作原理200
14.5　小結211
第15章　當代UEFI Bootkit212
15.1　傳統BIOS威脅的概述213
15.2　所有硬件都有固件218
15.3　感染BIOS的方法221
15.4　理解Rootkit注入224
15.5　真實環境中的UEFI Rootkit229
15.6　小結238
第16章　UEFI固件漏洞239
16.1　固件易受攻擊的原因239
16.2　對UEFI固件漏洞進行分類242
16.3　UEFI固件保護的歷史244
16.4　Intel Boot Guard249
16.5　SMM模塊中的漏洞252
16.6　S3引導腳本中的漏洞256
16.7　Intel管理引擎中的漏洞260
16.8　小結263
第三部分　防護和取證技術
第17章　UEFI Secure Boot的工作方式266
17.1　什麼是Secure Boot266
17.2　UEFI Secure Boot實現細節267
17.3　攻擊Secure Boot279
17.4　通過驗證和測量引導保護Secure Boot282
17.5　Intel Boot Guard283
17.6　ARM可信引導板288
17.7　驗證引導與固件Rootkit292
17.8　小結293
第18章　分析隱藏文件系統的方法294
18.1　隱藏文件系統概述294
18.2　從隱藏的文件系統中檢索Bootkit數據295
18.3　解析隱藏的文件系統映像301
18.4　HiddenFsReader工具302
18.5　小結303
第19章　BIOS/UEFI取證：固件獲取和分析方法304
19.1　取證技術的局限性304
19.2　為什麼固件取證很重要305
19.3　瞭解固件獲取306
19.4　實現固件獲取的軟件方法307
19.5　實現固件獲取的硬件方法313
19.6　使用UEFITool分析固件映像318
19.7　使用Chipsec分析固件映像323
19.8　小結327