8 (905) 200-03-37 Владивосток
с 09:00 до 19:00
CHN - 1.14 руб. Сайт - 17.98 руб.

Бинарный анализ Linux Операционная система

Цена: 801руб.    (¥44.5)
Артикул: 562462859370

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.

Этот товар на Таобао Описание товара
Продавец:墨涵图书专营店
Адрес:Хэнань
Рейтинг:
Всего отзывов:0
Положительных:0
Добавить в корзину
Другие товары этого продавца
¥931 673руб.
¥49.8896руб.
¥ 49 30.8554руб.
¥741 331руб.

Основная информация
Название книги:
  Бинарный анализ Linux 
Автор:
 Руан 
Цены:
 59.00
Номер ISBN:
 9787115469236
Издательство:
 Люди после прессы
формат:
 16
Фрагментация:
  Установка
Дата публикации:
 2017-12-1
Дата печати:
 2017-12-1
Выбор редактора
В этой книге сначала объясняется практические инструменты анализа целевых файлов в UNIX/Linux и соответствующее содержание бинального формата ELF, отслеживание процессов, различные типы вирусов Linux и Unix, а также то, как использовать технологию вируса ELF.
Вторая половина этой книги представляет, как использовать инструмент Kprobe для взлома ядра, ремонта кода и отладки, как обнаружить и обработать корневик режима ядра и как проанализировать статический код; Инфекция объяснена.
Эта книга заставит читателей исследовать и даже иметь поля, с которыми некоторые эксперты никогда не контактировали, и официально вступают в мир компьютерного хакера.
Читатель этой книги
Если вы инженер -программист или реверс -инженер, вы хотите изучить соответствующий контент, связанный с бинарным анализом Linux, эта книга действительно является мудрым выбором.Эта книга предоставляет решения для реализации бинарного анализа в области безопасности, доказательств и анти -вируса.Эта книга также подходит для энтузиастов безопасности и инженеров системы.Чтобы лучше понять содержание этой книги, читатели должны иметь определенный фонд программирования C -языка и знание командной строки Linux.
Содержание этой книги
Внутренний принцип работы бинального формата эльфа;
Инфекция и анализ вируса Unix;
Бинарное подкрепление и программное обеспечение анти -затмевающей технологии;
Восстановить исполняемый файл и память процесса;
Обход антибуггирования в вредоносном ПО;
Технология бинарного анализа;
Дизайн -эльф -связанные инструменты на языке C;
Как использовать Ptrace для эксплуатации памяти.
Исходный код этой книги можно загрузить через www.epubit.com.cn/book/details/4696.
Введение
Бинарный анализ принадлежит к технологии в обратной инженерии индустрии информационной безопасности. и вирусы и вредоносные программы, чтобы найти соответствующее решение.
«Бинарный анализ Linux» - это книга, которая анализирует рабочую механизм ELF Linux. В бинарном анализе Linux Elf, анализе доказательств памяти процесса, технологии моментального снимка основного файла расширения, анализа Linux/Proc/Kcore и т. Д.
«Бинарный анализ Linux» подходит для практиков по информационной безопасности, которые обладают определенными знаниями в области операции Linux и понимают специалистов по информационной безопасности, которые понимают навыки языкового программирования C.
об авторе
Ryan O' Neill (ELF) является исследователем компьютерной безопасности и инженером -программистом, обладающим фоном обратной инженерии, разработки программного обеспечения, технологии безопасности и анализа наблюдения за защитой и доказательств.Он вырос в мире субкультуры компьютерного взлома——Когда он был молодым, он вступил в контакт с безопасностью системы, разработкой и написанием вирусов.Его большой энтузиазм по поводу компьютерных хакеров теперь превратился в любовь к разработке программного обеспечения и исследования профессиональной безопасности.Райан выступил с речью на многих конференциях по компьютерной безопасности, такими как Defcon и Ruxcon, а также проводил двухдневный семинар бинарного хакерского хакерства.
Его карьера очень успешна.
Райан не опубликовал другие книги, но он опубликовал статью, опубликованную в онлайн -журналах, таких как Phrack и Vxheaven, чтобы сделать его знаменитым.Многие другие работы можно найти с его веб -сайта (http://www.bitlackeys.org).
Оглавление
Глава 1 среда Linux и связанные с ними инструменты 1
1.1 Linux Tool 1
1.1.1 GDB 2
1.2 objdump 2 в Gnu binutils
1.1.3 objcopy 3 в Gnu binutils
1.1.4 Строси 3
1.1.5 Ltrace 4
1.1.6 Основная команда LTRACE 4
1.1.7 ftrace 4
1.1.8 Readel 4
1.1.9 Эрези—— ELF ANTO -КОМПОНЦИОННАЯ СИСТЕМА ИНТЕРФЕСС 5
1.2 Полезное оборудование и файл 6
1.2.1 /proc //maps 6
1.2.2 /proc /kcore 6
1.2.3 /Boot /System.Карта 6
1.2.4 /proc /kallsyms 7
1.2.5 /proc /iomem 7
1.2.6 ECFS 7
1.3 Связанные связанные окружающие указатели 7
1.3.1 Переменная среда LD_PRELOAD 8 8
1.3.2 LD_SHOW_AAXV Среда переменная 8
1.3.3 Ссылки сценария 9
1.4 Резюме 10

ГЛАВА 2 Формат бинарной системы ELF 11
2.1 Тип файла эльфа 12
2.2 Заголовок программы ELF 14
2.2.1 PT_LOAD 14
2.2.2 PT_DYNAMIC—— PHDR 15 в динамическом сегменте
2.2.3 PT_NOTE 17
2.2.4 PT_INTERP 17
2.2.5 PT_PHDR 17
2.3 Раздел 18 эльфов 18
2.3.1.Текст раздел 20
2.3.2.Фестиваль Родата 20
2.3.3.PLT Festival 21
2.3.4.Фестиваль данных 21
2.3.5.BSS Раздел 21
2.3.6.ПОЛУЧИЛ.PLT Festival 21
2.3.7.Dynsym Festival 21
2.3.8.Dynstr Раздел 22
2.3.9.Религиозный*Раздел 22
2.3.10.Хэш -фестиваль 22
2.3.11.Symtab Festival 22
2.3.12.Фестиваль Strtab 23
2.3.13.Shstrtab Раздел 23
2.3.14.Ctors и.Dtors Festival 23
2.4 Символ ELF 27
2.4.1 ST_NAME 28
2.4.2 ST_VALUE 28
2.4.3 ST_SIZE 28
2.4.4 ST_OTHER 28
2.4.5 ST_SHNDX 29
2.4.6 ST_INFO 29
2.5 Сброс эльфа 34
2.6 Динамическая ссылка ELF 43
2.6.1 Вспомогательный вектор 44
2.6.2 Понимание PLT/GOT 46
2.6.3 Пересмотр динамического раздела 49
2.7 код эльфийного анализатора 52
2.8 Резюме 55

Глава 3 Linux Процесс отслеживает 57
3.1 Важность PTRACE 57
3.2 PTRACE запрос 58
3.3 Статус регистра процессов и Марк 60
3.4 Пример отладчика на основе PTRACE 61
3.5 Ptrace Debugger 67
3.6 Программное обеспечение для отслеживания функций. 75
3.7 PTRACE и анализ сбора доказательств 75
3.8 Процесс зеркальной реконструкции 77
3.8.1 Задача от процесса реконструкции в исполняемый файл 78
3.8.2 Задача реконструкции исполняемого файла 78
3.8.3 Добавить заголовок раздела Таблица 79
3.8.4 Алгоритм процесса реконструкции 79
3.8.5 Используйте процесс реконструкции Quanya в среде тестирования 32 -бит 81
3.9 Используйте PTRACE для использования кода для инъекции 83
3.10 Простые примеры моделировать сложный процесс 91
3.11 Демонстрация инструмента CODE_INJECT 92
3.12 PTRACE Anty -Debugging Skills 92
3.13 Резюме 94

ГЛАВА 4 ЭЛЛА ТЕХНОЛОГИЯ—&Mdash; Linux/Unix Virus 95
4.1 ELF Virus Technology 96
4.2 Проектирование задачи, с которой сталкиваются вирус ELF 97
4.2.1 Паразитный код должен быть независимым 97
4.2.2 Сложность хранилища строки 99
4.2.3. Найдите разумное место для хранения паразитического кода 100
4.2.4 Управление выполнением передается паразитическому коду 100
4.3 Метод инфекции паразитического кода вируса эльфа 101
4.3.1 Silvio Fill Infection 101
4.3.2 Инфекция обратного текста 106
4.3.3 Инфекция сегмента данных 108
4.4 PT_NOTE в PT_LOAD CORVERSION INFECTION 110
4.5 Инфекционный контрольный поток 112
4.5.1 Прямая инфекция PLT 113
4.5.2 Функциональные батуты 113
4.5.3 Переписывание.Ctors/.DTORS Функциональный указатель 114
4.5.4
4.5.5 Структура данных 115
4.5.6. Указатель функций Переписывается 115
4.6 Процесс вирус и корткеты—— технология впрыска удаленного кода 115
4.6.1 Инъекция библиотеки совместного использования 116
4.6.2 Инъекция кода текстового сегмента 120
4.6.3. Определенный файл inject 120
4.6.4 Сбросить инъекцию кода—— et_rel инъецирован 120
4.7 ELF Anti -Decent и Packaging Technology 121
4.7.1 Ptrace_traceme Technology 121
4.7.2 Технология обработки Sigtrap 122
4.7.3/Proc/Self/Status Technology 122
4.7.4 Технология путаницы кода 123
4.7.5 Технология преобразования таблицы строк 124
4.8 Обнаружение вируса эльфа и антивирус 124
4.9 Резюме 126

Глава 5 Linux Двойная защита 127
5.1 Эльф -бинарная оболочка плюс 127
5.2 Запуск корневого механизма и выполнение пользовательского уровня 128
5.3 Другие цели защитника Защитника 133
5.4 Существующий бинарный защитник эльфа 133
5.4.1 DACRYFILE—&Mdash; Grugq выпустил 134 в 2001 году
5.4.2 Burneyee—— SCIT выпустил 134 в 2002 году
5.4.3 Шива—&Mdash; Нил Мехта и Шон Клоуз выпустили 135 в 2003 году
5.4.4 май's Veil——Ryan O' Neill выпустил 136 в 2014 году
5.5 Загрузите двоичный файл Maya 142
5.6 Anti -Decent в двойной защите 142
5.7 Антимодальная технология 143
5.7
5.7.2 Тест Смоделированный ЦП является противоречивым 144
5.7.3 Задержка детектива между конкретными инструкциями 144
5.8 Метод путаницы 145
5.9 Целостность потока управления защитой 145
5.9.1 Атака на основе PTRACE 145
5.9.2 Атака на основе уязвимостей безопасности 146
5.10 Другие ресурсы 147
5.11 Резюме 147

Глава 6 Анализ бинарных доказательств эльфа под Linux 149
6.1 Модификация технологии модификации точки входной точки 150
6.2 Обнаружение других форм управления похищение поток 154
6.2.1 Модификация.Ctors/.Фестиваль init_array 154
6.2.2 Обнаружение Plt/Got Hook 155
6.2.3 полоса функции обнаружения 158
6.3 Идентификационный паразитный код Особенности 159
6.4 Проверьте, вводит ли динамический сегмент DLL 161
6.5 Идентификация инфекции обратного текста 164
6.6 Идентификация инфекции заполнения текстового сегмента 166
6.7 Определение защищенного двоичного файла 170
6.8 Ida Pro 175
6.9 Резюме 175

Глава 7 Эндорологический анализ процесса памяти 177
7.1. Планировка памяти процесса 178
7.1.1 Сопоставление памяти файла 179
7.1.2 программа Heap 179
7.1.3 Сопоставление библиотеки обмена 180
7.1.4 Stack, VDSO и VSYSCALL 180
7.2. Процесс памяти инфекция 181
7.2.1 Инструмент процесса инфекции 181
7.2.2 Технология процесса инфекции 182
7.3 Обнаружение et_dyn inject 184
7.3.1 Azazel: Пользовательский -выявление руткита 184
7.3.2 Сопоставление адресного пространства процесса 184
7.3.3 Найти LD_PRELOAD 187 в стеке
7.3.4 Обнаружение Plt/Got Hook 188
7.3.5 et_dyn инъекция внутреннего принципа 190
7.3.6 Манипулировать VDSO 194
7.3.7 Обмен целевым файлом загружен 195
7.3.8 Обнаружение.Итак, метод инъекции 196
7.3.9 Инструменты для обнаружения PLT/Got Hook 197
7.4 Linux Elf Core File 198
7.5 Резюме 204

Глава 8 ECFS—— расширенная технология снимка File Core 205
8. История 205
8.2 Принцип ECFS 206
8.3 ECFS начинается 206
8.3.1 Включите ECFS в основной процессор 207
8.3.2 Используйте Snapshot 208 ECFS, не заканчивая процесс.
8.4 libecfs—— проанализируйте библиотеку 208 файла ECFS
8.5 инструмент ReadeCfs 209
8.6 Используйте ECF для обнаружения зараженного процесса 210
8.6.1 Процесс инфекционного хоста 210
8.6.2 Захват и проанализируйте снимки ECFS 211
8.6.3 Используйте READECFS для извлечения паразитического кода 215
8.6.4 Анализ Azazel пользователя Rootkit 216
8.7 Справочное руководство ECFS 224
8.7.1 ECFS Реконструкция символа 225
8.7.2 РАЗДЕЛ ECFS РАЗДЕЛ 226
8.7.3 Используйте файл ECFS в качестве обычного файла Core 229
8.7.4 LibeCfs API Использование 229
8.8 Процесс использования ECFS для восстановления прерывания 230
8.9 Узнайте больше контента, связанного с ECFS 231
8.10 Резюме 232

Глава 9 Анализ Linux/Proc/Kcore 233
9.1 Анализ сбора доказательств ядра Linux и Rootkit 233
9.2 Нет символического резервного vmlinux 234
9.3 Исследуйте/Proc/Kcore и GDB 236
9.4 напрямую изменить sys_call_table 237
9.4.1 Обнаружение sys_call_table modify 238
9.4.2 Функциональный батут 238
9.4.3 Пример функции 239 239
9.4.4 полоса функции обнаружения 241
9.4.5 Детективное восстановление процессора прерывания 243
9,5 Kprobe Rootkit 243
9.6 Регистрация отладки руток——DRR 244
9,7 VFS Layer Rootkit 244
9.8 Другие технологии инфекции ядра 245
9.9 Vmlinux и.Полдинстрокционные ремонты 245
9.9.1.Полдинстрокции и.Altinstr_replace 246
9.9.2 Arch/x86/include/asm/alternative.H код фрагмент 246
9.9.3 Используйте Textify для проверки целостности кода ядра 247
9.9.4 Используйте Textify, чтобы проверить sys_call_table 247
9.10 Используйте Taskverse для просмотра скрытого процесса 248
9.11 Зараженный LKM——
9.11.1 Метод 1: Инфекция LKM -файл—— символ захват 249
9.11.2 Метод второй: Инфекция LKM -файл—— похищение функций 249
9.11.3 Проверка зараженного LKM 250
9.12/dev/kmem и/dev/mem 250
9.12.1 /dev /mem 251
9.12.2 freebsd /dev /kmem 251
9.13 K-ECFS——
9.14 Инструмент Hacker Hacker 252
9.14.1 GM обратная инженерия и отладка 253
9.14.2 Advanced Kernel Chajcking/Interface Debug 253
9.14.3 Документ, упомянутый в этой главе 253
9.15 Резюме 254

````````