惡意軟件分析訣竅與工具箱

針對多種常見威脅的強(qiáng)大而循序漸進(jìn)的解決方案

我們將《惡意軟件分析訣竅與工具箱——對抗“流氓”軟件的技術(shù)與利器》稱為工具箱，是因?yàn)槊總€(gè)

訣竅都給出了解決某個(gè)特定問題或研究某個(gè)給定威脅的原理和詳細(xì)的步驟。在配書光盤中提供了補(bǔ)充資

源，您可以找到相關(guān)的支持文件和原始程序。您將學(xué)習(xí)如何使用這些工具分析惡意軟件，有些工具是作者

自己開發(fā)的，另外數(shù)百個(gè)工具則是可以公開下載的。如果您的工作涉及緊急事件響應(yīng)、計(jì)算機(jī)取證、系統(tǒng)

安全或者反病毒研究，那么本書將會(huì)為您提供極大的幫助。

●　學(xué)習(xí)如何在不暴露身份的前提下進(jìn)行在線調(diào)查

●　使用蜜罐收集由僵尸和蠕蟲分布的惡意軟件

●　分析JavaScript、PDF文件以及Office文檔中的可疑內(nèi)容

●　使用虛擬或基礎(chǔ)硬件建立一個(gè)低預(yù)算的惡意軟件實(shí)驗(yàn)室

●　通用編碼和加密算法的逆向工程

●　建立惡意軟件分析的高級(jí)內(nèi)存取證平臺(tái)

...

針對多種常見威脅的強(qiáng)大而循序漸進(jìn)的解決方案

我們將《惡意軟件分析訣竅與工具箱——對抗“流氓”軟件的技術(shù)與利器》稱為工具箱，是因?yàn)槊總€(gè)

訣竅都給出了解決某個(gè)特定問題或研究某個(gè)給定威脅的原理和詳細(xì)的步驟。在配書光盤中提供了補(bǔ)充資

源，您可以找到相關(guān)的支持文件和原始程序。您將學(xué)習(xí)如何使用這些工具分析惡意軟件，有些工具是作者

自己開發(fā)的，另外數(shù)百個(gè)工具則是可以公開下載的。如果您的工作涉及緊急事件響應(yīng)、計(jì)算機(jī)取證、系統(tǒng)

安全或者反病毒研究，那么本書將會(huì)為您提供極大的幫助。

●　學(xué)習(xí)如何在不暴露身份的前提下進(jìn)行在線調(diào)查

●　使用蜜罐收集由僵尸和蠕蟲分布的惡意軟件

●　分析JavaScript、PDF文件以及Office文檔中的可疑內(nèi)容

●　使用虛擬或基礎(chǔ)硬件建立一個(gè)低預(yù)算的惡意軟件實(shí)驗(yàn)室

●　通用編碼和加密算法的逆向工程

●　建立惡意軟件分析的高級(jí)內(nèi)存取證平臺(tái)

●　研究主流的威脅，如Zeus、Silent Banker、CoreFlood、Conficker、Virut、Clampi、Bankpatch、

BlackEnergy等

Michael Hale Ligh是Verisign iDefense公司的惡意代碼分析專家，專門從事開發(fā)各種用于檢測、解密以及調(diào)查惡意軟件的工具。在過去數(shù)年里，他在里約熱內(nèi)盧、上海、吉隆坡、倫敦、華盛頓特區(qū)和紐約等地講授惡意軟件分析課程，已經(jīng)培訓(xùn)了數(shù)百名學(xué)生。在進(jìn)入Verisign iDefense公司之前，Michael在全國最大的醫(yī)療保健服務(wù)提供商之一中擔(dān)任漏洞研究員，并提供黑客倫理服務(wù)。正是由于擔(dān)任過該職務(wù)，他對逆向工程以及操作系統(tǒng)內(nèi)部的背景有著深刻理解。在此之前，Michael為新英格蘭地區(qū)的金融機(jī)構(gòu)提供網(wǎng)絡(luò)防御以及取證調(diào)查方面的服務(wù)。他目前是MNIN安全有限公司的特別項(xiàng)目主管。

Steven Adair是Shadowserver Foundation的研究員，同時(shí)也是eTouch聯(lián)邦系統(tǒng)的首席架構(gòu)師。在Shadowserver組織中，St...

Michael Hale Ligh是Verisign iDefense公司的惡意代碼分析專家，專門從事開發(fā)各種用于檢測、解密以及調(diào)查惡意軟件的工具。在過去數(shù)年里，他在里約熱內(nèi)盧、上海、吉隆坡、倫敦、華盛頓特區(qū)和紐約等地講授惡意軟件分析課程，已經(jīng)培訓(xùn)了數(shù)百名學(xué)生。在進(jìn)入Verisign iDefense公司之前，Michael在全國最大的醫(yī)療保健服務(wù)提供商之一中擔(dān)任漏洞研究員，并提供黑客倫理服務(wù)。正是由于擔(dān)任過該職務(wù)，他對逆向工程以及操作系統(tǒng)內(nèi)部的背景有著深刻理解。在此之前，Michael為新英格蘭地區(qū)的金融機(jī)構(gòu)提供網(wǎng)絡(luò)防御以及取證調(diào)查方面的服務(wù)。他目前是MNIN安全有限公司的特別項(xiàng)目主管。

Steven Adair是Shadowserver Foundation的研究員，同時(shí)也是eTouch聯(lián)邦系統(tǒng)的首席架構(gòu)師。在Shadowserver組織中，Steven主要分析惡意軟件和跟蹤僵尸網(wǎng)絡(luò)，并重點(diǎn)調(diào)查與網(wǎng)絡(luò)間諜組織相關(guān)聯(lián)的各種網(wǎng)絡(luò)攻擊。Steven經(jīng)常出席該領(lǐng)域相關(guān)專題的國際會(huì)議，并且合著了論文“Shadows in the Cloud: Investigating Cyber Espionage 2.0”。在日常工作中，他在一個(gè)聯(lián)邦機(jī)構(gòu)中領(lǐng)導(dǎo)網(wǎng)絡(luò)威脅行動(dòng)小組以主動(dòng)檢測、降低以及預(yù)防網(wǎng)絡(luò)入侵活動(dòng)，他有效地集成了最佳安全實(shí)踐和創(chuàng)新技術(shù)，成功地在全網(wǎng)中實(shí)現(xiàn)了企業(yè)級(jí)反惡意軟件解決方案。Steven每天的工作都涉及惡意軟件研究，無論是為公司客戶提供支持或者在Shadowserver組織中貢獻(xiàn)自己的業(yè)余時(shí)間。

Blake Hartstein是Verisign iDefense公司的快速響應(yīng)工程師，主要負(fù)責(zé)分析以及報(bào)告惡意軟件的可疑活動(dòng)。他是Jsunpack工具的編寫者，致力于自動(dòng)分析以及檢測基于Web的漏洞攻擊，并分別在Shmoocon 2009和Shmoocon 2010會(huì)議中做了關(guān)于Jsunpack的報(bào)告。Blake同時(shí)還為Emerging Threats項(xiàng)目編寫和貢獻(xiàn)Snort規(guī)則。

Matthew Richard是雷神(Raytheon)公司的惡意代碼操作部領(lǐng)導(dǎo)，主要負(fù)責(zé)分析以及報(bào)告惡意代碼。

Matthew之前是iDefense公司快速響應(yīng)部門主管。在此7年之前，Matthew創(chuàng)建并運(yùn)營了一家向130多家銀行以及信用機(jī)構(gòu)提供安全服務(wù)的公司。此外，他還對國內(nèi)以及全球多家公司提供獨(dú)立的網(wǎng)絡(luò)取證咨詢服務(wù)。Matthew現(xiàn)持有CISSP、GCIA、GCFA和GREM認(rèn)證。