本书旨在用预防、检测和处理攻击计算机系统和网络的恶意代码所需的工具和技术来武装你。书中讨论了如何预先保证系统安全，以防止这样的攻击；如何发现渗透进你的防御系统的恶意代码；如何分析随时都有可能遇到的 MALWARE 样本等。本书突出强调实用性，书中详细介绍了保证系统不受恶意代码攻击所能采取的措施，这些措施已经过时间考验并且切实可行。按照书中的技巧，你完全可以构建一个顶尖的防御工具包，用来对付随处发现的恶意代码。
系统管理员、网络工作者、家用计算机用户，特别是安全从业者，都需要利用此书，以此为自己的网络抵御那些随时都在变得更加凶狠的攻击。

第1章 介绍
1.1 定义问题
1.2 为什么恶意代码如此普遍
1.3 恶意代码的类型
1.4 恶意代码的历史
1.5 为什么写这本书
1.6 有哪些期望
1.7 参考文献
第2章 病毒
2.1 计算机病毒的早期历史
2.2 感染机制和目标
2.3 病毒的传播机制
2.4 防御病毒
2.5 malware 的自我保护技术
2.6 结论
2.7 总结
2.8 参考文献
第3章 蠕虫
3.1 为什么使用蠕虫？
3.2 蠕虫简史
3.3 蠕虫的组成
3.4 蠕虫传播的障碍
3.5 即将到来的超级蠕虫
3.6 大的并非总是好的：非超级蠕虫
3.7 防御蠕虫
3.8 结论
3.9 总结
3.10 参考文献
第4章 恶意移动代码
4.1 浏览器脚本
4.2 ActiveX 控件
4.3 Java Applets
4.4 E-mail 客户程序中的移动代码
4.5 分布式应用软件和移动代码
4.6 防御恶意移动代码的其他方法
4.7 结论
4.8 总结
4.9 参考文献
第5章 后门
5.1 不同类型的后门通路
5.2 安装后门
5.3 自动启动后门
5.4 通用的网络连接工具： NetCat
5.5 GUI 越过网络大量使用虚拟网络计算
5.6 无端口后门
5.7 结论
5.8 总结
5.9 参考文献
第6章 特洛伊木马
6.1 名字中有什么
6.2 包装明星
6.3 特洛伊软件发行站点
6.4 给代码“下毒”
6.5 “指定”一个浏览器： Setiri
6.6 将数据隐藏在可执行文件中：隐藏和多态
6.7 结论
6.8 总结
6.9 参考书目
第7章 用户模式 RootKit
7.1 UNIX 用户模式 RootKit
7.2 Windows 用户模式 RootKit
7.3 结论
7.4 总结
7.5 参考文献
第8章 内核模式 RootKits
8.1 内核是什么？
8.2 内核控制的影响
8.3 Linux 内核
8.4 Windows 内核
8.5 结论
8.6 总结
8.7 参考文献
第9章 进一步深入
9.1 设置舞台： malware 的不同层次
9.2 更深层次： BIOS 的可能性和 malware 微代码
9.3 组合 malware
9.4 结论
9.5 总结
9.6 参考文献
第10章 情节
10.1 情节 1 ：白璧微瑕
10.2 情节 2 ：内核偷盗者的入侵
10.3 情节 3 ：沉默的蠕虫
10.4 结论
10.5 总结
第11章 恶意代码分析
11.1 建立一个恶意代码分析实验室
11.2 恶意代码分析过程
11.3 结论
11.4 总结
11.5 参考文献
第12章 结论
12.1 跟上技术发展的有用站点
12.2 临别思考

几年前，我曾在 Virginia 州的 McLean 参加了一个关于入侵检测的特别会议。与会者被分为四个小组，负责对入侵检测相关领域的技术的发展水平进行评估和将来的研究方向提出一些建议。最后，每个小组选出一名代表为所有与会者展示他们小组的研究成果。虽然每个小组的报告都很有趣，而且都值得一听，不过，研究恶意代码那一小组对恶意代码领域的发展所做的报告深深地吸引了我。他们的结论是：这几年来，在恶意代码的特征描述和识别方面并没有太大的实质性进展。大家想想，病毒已经存在了至少二十年了，人们仍然在编写着各种恶意代码，并让它们四处蔓延，但是，我们根本不会奢望会听到类似于“如今哪个可靠的程序可以准确而高效地检测到几乎所有的恶意代码”这样跨越式的进步。然而并不是所有人都这么认为。一些没有参加会议的研究人员根本不会同意恶意代码小组的说法，但我相信这样的人只是少数。为了更好地识别和对付恶意代码，我们正在进行着大量相关的研究工作但是要在理解和检测恶意软件方面取得突破性的进展我们还有相当漫长的路。

极具讽刺意味的是，如今的计算世界里到处都充斥着恶意软件。病毒和蠕虫都非常普遍，在报纸、杂志和电视上经常都能看到有关“最新且最强大”的病毒或蠕虫的报道。即便是计算机新手都知道病毒是什么以及它们为什么不受欢迎。数年前就有人开发出了“创建你自己的病毒”这样的工具包。在十年前，公开的“电脑黑客工具”站点还非常罕见，而在今天的互联网上却是盛极一时。然而，对于想要获得恶意软件的人来说，并不一定要从“电脑黑客工具”网站才能获得他们想要的。 2002 年 8 月，计算机紧急响应小组协调中心（ the Computer Emergency Response Team Coordination Center ， CERT/CC ）报道：一个搞恶作剧的家伙修改了 OpenSSH 中所有的源代码，使其中包含了特洛伊木马程序。一些毫无防备的用户进入 OpenSSH 和它的镜像站点，他们本想通过各主机之间加密的网络传输非常安全地下载 OpenSSH 。但事与愿违，他们却将包含在 OpenSSH 源码中的木马程序引入腹地，这使得攻击者获得了对他们系统的远程控制。即便是本书——“ Malware: Fighting Malicious Code ”的作者，全世界能够识别各种类型攻击的为数不多的专家之一， Ed Skoudis 本人，在本书的第一章中指出：他曾在他的某一台计算机上发现过数个执行暴力的口令破解的木马程序。恶意软件一点也不罕见；相反它还很流行，而且这一状况正在加剧。

恶意软件不能凭空存在，它不能魔法般地自己潜入系统和网络设备中。就像生物学上的寄生虫寄居在某个宿主的一个或多个薄弱处一样，恶意软件想要运行并达到预期的结果也需要有特定的条件。而今天的计算世界，为恶意软件提供了一个近乎理想的环境，这对于恶意软件的作者来说是幸运的，而对于用户群则是不幸的。为什么呢？首先，因为如今比较通用的软件都存在许多容易受到攻击的弱点。特别的，为了降低开发成本并为自己的软件产品赢得竞争力，进而获得最大的利润，大多数软件发行商都是匆匆地完成软件的开发。他们生产的代码通常没有经过认真的设计、开发以及足够的测试。最终开发出的就是充满漏洞的软件——它们表现异常，或者，更糟的是，导致了安装这些软件的系统表现异常，在许多情况下，这为作恶者提供了利用异常环境执行恶意软件并／或者安装更多恶意软件的机会，这样恶意者就能实现他们所想要做的（例如捕捉键盘的输出）。事实上，由于没有针对软件产业的管理条例，而用户群天真无邪地继续购买和使用到处是漏洞的软件、并且不去修补那些已经发现的漏洞，所以说，恶意软件确实拥有一个“目标充足”的环境供其滋生。

还有更糟糕的，破解工具的可用性发生了很大变化。不久前，人们在得到某个破解工具后还得花些功夫去学习如何使用它。大多数破解工具的用户界面是语义含糊的命令行界面，只有工具的开发者才会使用。这些工具的帮助设施事实上并不存在。其结果就是很难甚至无法使用这些工具，只有少数人可以使用这些工具，并以此为荣。因此，与安全相关的威胁水平并不是很高。然而，随着时间的推移，破解工具的可用性有了很大的改善。现在许多工具都很容易操作，因此被戏称为“儿童脚本（ kiddie scripts ）”。如果某个“攻击者”想要利用它们做些什么的话，只需下载这些工具并输入少量信息（比如说，只需回答“你想攻击哪个 IP 地址？”），然后将鼠标指针移动到按钮“ Go ”上并点击一下。儿童脚本的出现和几个世纪前枪支的出现具有很多相似之处。在枪支大量用于战斗以前，综合考虑所有因素，人数多的一方比人数少的一方有很大的优势。枪支成为重要的“平衡器”。尽管稍有不同，但儿童脚本同样是个重要的平衡器。使用儿童脚本还不大可能完成一个经验丰富的攻击者所能做的事情，但是，一个毫无经验的攻击者却至少可以完成很多甚至大多数的攻击。

部署恶意软件的各种动机也令我们眼界大开。传统意义上的“黑客”如今只是计算机世界敌对势力中的一小部分潜在的力量。有组织的犯罪已经潜入计算领域，正在寻找机会，比如进行未经许可的资金传输。商业间谍机构、心存不满或是贪婪的内部人员、军队和政府部门的“信息战”专家、遭到爱人抛弃的人、第三者、身份窃贼（ identity thieves ）、甚至是计算机恐怖分子，都被列于倾向于突破系统和网络安全防线的众多人群之列。计算机安全专家认为攻击者实施攻击需要一定的能力、高明的手段和合适的机会。恶意软件转变为攻击者的能力。如果我们想到今天的计算环境是如此地多种多样、以及有这么多种人群可以偷偷地获得对系统和网络的访问权的话，我们就会明白机会简直多得令人难以置信。

然而，我们并没有完全输掉这场战争。与恶意软件的战争中至有少数的几个亮点。如今，反病毒软件得到了广泛的应用，例如，如果我们能够定期更新我们的反病毒软件，那么在检测和清除相当数量的恶意软件——特别是（并不限于） Windows 和 Macintosh 系统中的病毒和蠕虫方面是非常有效的。反病毒软件的成功在某种程度上体现了与恶意软件斗争的胜利。但是，这类软件中的绝大多数是相当简单的，正如你将在本书第二章中看到的那样，然而，更糟的是，还有许多用户仍然没有在自己的 Windows 和 Macintosh 系统上安装反病毒软件，或者，即使他们安装了反病毒软件，他们也有可能不会去进行必要的更新。正如这本书的其它章节所提到的那样，有人也开发了一些针对其它种类的恶意软件的检测和清除软件，但是，同反病毒软件一样，缺乏（往往是最需要这类软件的组织）广泛的部署是这类软件的主要局限。

多种恶意软件并存，并且它们似乎都在快速地变得越来越复杂，这使得在我们所知道的恶意软件和对它的处理能力之间产生了巨大的差距。如果我们想要缩小这个差距，我们在理解和处理恶意软件方面需要大跨步地发展，而不是缓慢前进。详细、全面地理解恶意软件是怎样工作，以及怎样防范它们是缩小这个差距最有效的催化剂。“ Malware: Fighting Malicious Code ”就是这样一本书。作者 Ed Skoudis 在第一章简单地介绍了必要的基础知识，然后在后续章节中介绍了每一种恶意软件——病毒、蠕虫、恶意移动代码、后门、特洛伊木马、用户模式 Rootkits 、内核模式 Rootkits 、更深层次的恶意软件和混合恶意软件。然后他描述了恶意软件植入系统的各种情形，并且以如何安全有效地分析潜在的和真正的恶意软件作为本书的结束部分。我最喜欢的章节是第八章（关于“内核模式 Rootkits ”），因为 Ed 选择了一个含有许多零散知识的主题，并用非常详细和易于理解的结构将这些知识组织起来。必须承认，我在读过这一章后也是非常地不安，因为我第一次意识到破坏内核居然有这么多高明的方法。之后，我摆弄自己的一个 Linux 系统，尝试着用 Ed 所介绍的方法来确保系统的内核层没有遭到破坏。我发现读过这一章后，自己可以将别人在 Windows 系统而不是 Linux 系统上花费大量时间所做的事情做得更加出色。第十章（关于“情节”）是对 Ed 在前面九章中介绍的内容的应用。情节和案例研究是将理论进行运用的最好办法，而作者恰在案例这一章中以非常好的形式实现了这一点。学习恶意软件总是非常有趣，但是如果你在阅读的时候不知道该做些什么的话，那恐怕很难有所收获。整本书确定了针对可能遭遇的威胁的高效、切实可行的解决方案，并详细介绍了如何实施这些方案。

我从没有看到过像“ Malware: Fighting Malicious Code ”这样清晰而系统讲解有关这样一组恶意软件的本质的问题。 Ed 是一个顶级的 SANS 教员，如果你对他所写的是否能够像他所讲的一样出色表示怀疑，读一下这本书吧，你的疑虑将会烟消云散。他可以将一切相关技术描述得简单易懂，却又不减少技术含量，这一点是很少有作者能够做得到。不论所讨论的主题涉及了多少技术问题，他都会频频插入幽默的语句作为点睛之笔，令这本书保持了较高水平的趣味性。我一直在想，这几年来又有多少学生参加了我的各种计算机安全课程，如果参加之前他们有了这本书，也许就不会来学习这些课程了。



—— E. Eugene Schultz, Ph.D., CISSP, CISM

Ed Skoudis ，是有名的信息安全预测专家、克林顿安全办公室的高级顾问以及网络安全研究会“ The Hack-Counter Hack Training Course ”的创始人，是多年来一直从事计算机安全工作。 Ed Skoudis 的另外一部畅销书——“ Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses ”（中文版译名为《反击黑客》），详细介绍防御各种黑客攻击的技术与方法。而这本书所讲述的 Malware 要比黑客攻击工具具有更为广泛的内容。