登入帳戶  | 訂單查詢  | 購物車/收銀台(0) | 在線留言板  | 付款方式  | 運費計算  | 聯絡我們  | 幫助中心 |  加入書簽
會員登入   新用戶登記
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2024年度TOP分類瀏覽雜誌 臺灣用戶
品種:超過100萬種各類書籍/音像和精品,正品正價,放心網購,悭钱省心 服務:香港台灣澳門海外 送貨:速遞郵局服務站

新書上架簡體書 繁體書
暢銷書架簡體書 繁體書
好書推介簡體書 繁體書

九月出版:大陸書 台灣書
八月出版:大陸書 台灣書
七月出版:大陸書 台灣書
六月出版:大陸書 台灣書
五月出版:大陸書 台灣書
四月出版:大陸書 台灣書
三月出版:大陸書 台灣書
二月出版:大陸書 台灣書
一月出版:大陸書 台灣書
12月出版:大陸書 台灣書
11月出版:大陸書 台灣書
十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書
七月出版:大陸書 台灣書

『簡體書』万径寻踪:Windows入侵检测与防御编程(卷一)

書城自編碼: 4129585
分類:簡體書→大陸圖書→計算機/網絡程序設計
作者: 谭文,周钰淇,郭艳君
國際書號(ISBN): 9787302695141
出版社: 清华大学出版社
出版日期: 2025-06-01

頁數/字數: /
書度/開本: 16开 釘裝: 平装

售價:HK$ 97.9

我要買

share:

** 我創建的書架 **
未登入.


新書推薦:
企业可持续发展/ESG工作实用手册
《 企业可持续发展/ESG工作实用手册 》
售價:HK$ 50.6
HR数智化转型:人机协同与共生
《 HR数智化转型:人机协同与共生 》
售價:HK$ 79.2
范怨武讲透中医基础理论(全2册,中医临床医生范怨武历经四年精心创作)
《 范怨武讲透中医基础理论(全2册,中医临床医生范怨武历经四年精心创作) 》
售價:HK$ 118.8
四海资身笔一枝:唐寅的书画人生【全球33家顶级机构珍藏,全景展现“江南第一风流才子”的艺术世界】
《 四海资身笔一枝:唐寅的书画人生【全球33家顶级机构珍藏,全景展现“江南第一风流才子”的艺术世界】 》
售價:HK$ 184.8
50岁后的家庭生活:中老年人的日常活动、家务劳动与孩童照料
《 50岁后的家庭生活:中老年人的日常活动、家务劳动与孩童照料 》
售價:HK$ 140.8
《正义论》导读 壹卷Yebook 理解《正义论》关于哲学、科学、社会、历史和人类未来的批判性思考
《 《正义论》导读 壹卷Yebook 理解《正义论》关于哲学、科学、社会、历史和人类未来的批判性思考 》
售價:HK$ 90.2
红楼梦脂评汇校本(平装版 全八册)
《 红楼梦脂评汇校本(平装版 全八册) 》
售價:HK$ 327.8
万物皆有时:中世纪的时间与生活
《 万物皆有时:中世纪的时间与生活 》
售價:HK$ 96.8

建議一齊購買:

+

HK$ 87.8
《人人都能懂的算法书(全彩图解版)》		 +

HK$ 98.8
《深入浅出算力网络》		 +

HK$ 108.9
《Python数据分析入门 》		 +

HK$ 135.7
《Java高并发核心编程:加强版. 卷3, 亿级用户Web应用》		 +

HK$ 103.3
《Go语言从入门到精通》		 +

HK$ 175.8
《Java程序员修炼之道(第2版)》
編輯推薦:
1.还原恶意脚本分析、日志监控等真实场景,从源头讲述内网安全问题的产生
2.不局限于怎么做,更深入剖析底层原理和逻辑,让安全知识融会贯通
3.每一步示例都提供可实现功能的代码,源代码自由下载,让安全编程不再纸上谈兵
4.各章末精心设计实操练习,及时巩固所学技能
內容簡介:
本书从企业内网面临的各种实际威胁出发,引出 Windows 上运行的基于主机的入侵检测与防御系统,由浅入深地介绍其技术基础、原理与源码实现。 來源:香港大書城megBookStore,http://www.megbook.com.hk
全书聚焦恶意攻击的主要起点和过程,即恶意模块执行与恶意脚本执行的检测和防御,介绍 Windows 微过滤驱动、AMSI 反恶意软件扫描接口、ETW 日志解析、RPC 远程调用接口过滤等技术,多层次地构筑有效的主机入侵检测和防御体系。读者将了解攻击者的惯用套路,并从源码角度了解 Windows 内核和用户态安全功能的具体实现,从而对主机安全防御形成整体而深刻的认知,并熟练应用于实际开发中。
本书的读者对象包括有一定 C 语言基础的高等院校师生、计算机与网络安全行业从业者、计算机安全爱好者、企业内网安全管理人员。
關於作者:
谭 文,某互联网企业安全技术专家,2002年毕业于西安交通大学信息工程专业,从事底层及安全相关开发二十余年。曾参与或带领团队开发DLP、防火墙、模拟器、反病毒软件、业务安全等诸多业内著名产品,亲手编写的代码在日活千万级的用户机器上稳定运行,守护着用户与系统的安全。著有《天书夜读:从汇编语言到Windows内核编程》《寒江独钓:Windows内核安全编程》《Windows内核编程》等多部技术专著。业余爱好射箭和剑道,为上海华剑馆弟子。
周钰淇,江苏省连云港市公安局网安支队四级警长,2018年获南京邮电大学信息安全专业硕士学位。长期从事网络安全工作,拥有丰富经验。曾任TrendMicro中国资深研发工程师,深度参与macOS平台EDR、XDR及SandBox项目研发。擅长安全系统开发及病毒恶意行为检测,擅长各类网络犯罪的追踪和取证技术。从警后曾获连云港市科技强警一等奖,连云港市五一创新能手称号和个人三等功一次。业余爱好空手道。
郭艳君,某互联网企业资深安全技术研发工程师,已从事安全行业相关工作近二十年。曾作为主要研究人员参与DLP、HIPS及XDR等多种业内著名安全产品研发,拥有极为丰富的开发经验。目前负责开发的RASP、HIPS等产品正守护着国内顶尖互联网企业的服务器的安全。业余爱好制作各种神奇电子产品。
目錄
第 1 章 总览:内网安全、EDR 与主机防御 1
1.1 复杂问题的简单起源 1
1.2 EDR 与主机入侵检测与防御 2
1.3 针对内网的攻击 4
1.4 零信任的思想 7
1.5 纵深防御的设计 8
1.6 防御的优先顺序 9
模块执行防御篇
第 2 章 模块执行防御的设计思想 13
2.1 执行与模块执行 13
2.1.1 初始执行 13
2.1.2 原生执行与解释执行 14
2.1.3 模块执行的重要性 15
2.2 模块的公开检验措施 16
2.2.1 Windows 的可执行文件格式 16
2.2.2 可执行模块的签名 17
2.2.3 恶意代码的特征扫描 22
2.3 模块的执行防御方案设计 24
2.3.1 模块执行防御的功能设计 25
2.3.2 模块执行防御的技术选择 28
2.4 小结与练习 29
第 3 章 微过滤器驱动与模块执行防御 31
3.1 微过滤器处理文件操作 31
3.1.1 理解微过滤器框架 32
3.1.2 分页写入与非分页写入 33
3.1.3 请求前回调函数编写的基本模板 35
3.1.4 对生成文件操作的前回调函数的处理 37
3.2 写文件操作处理的实现 39
3.2.1 前置条件检查和获取文件对象 39
3.2.2 判断文件是否为 PE 文件 42
3.2.3 获取写缓冲内容 44
3.2.4 根据写缓冲内容决定处理方式 46
3.2.5 写操作的后处理 48
3.3 利用微过滤器捕获文件的改名操作 51
3.3.1 在设置请求的前回调函数中发现文件改名 51
3.3.2 在文件改名的后回调函数中调用安全函数 54
3.3.3 文件改名的后回调安全函数的处理 56
3.3.4 关于文件的删除 57
3.4 小结与练习 58
第 4 章 防御方案的设计与集成 59
4.1 可疑库的设计 59
4.1.1 可疑库的数据结构设计 59
4.1.2 可疑库的查找 62
4.1.3 可疑路径的增加 64
4.1.4 可疑路径的删除和移动 66
4.2 可疑库的运用集成 70
4.2.1 如何在微过滤器中获取路径 70
4.2.2 在微过滤器中拦截可执行模块加载 72
4.2.3 最终演示效果 75
4.3 小结与练习 78
第 5 章 方案漏洞分析与利用 79
5.1 漏洞分析的基本原则 79
5.1.1 尽量明确需求 79
5.1.2 持续进行漏洞分析 81
5.1.3 漏洞的分而治之 83
5.2 漏洞分析的基本方法 85
5.2.1 设计漏洞分析的方法 85
5.2.2 技术漏洞的分析方法 88
5.2.3 实现漏洞的分析方法 91
5.3 实现漏洞分析的具体过程 92
5.3.1 实现漏洞分析的单位和起点 92
5.3.2 代码风险标注 93
5.3.3 函数风险标注 95
5.3.4 风险点的关联展开 98
5.4 漏洞利用与测试 101
5.4.1 盘符与路径漏洞 102
5.4.2 内存映射读写漏洞 103
5.4.3 事务操作漏洞 104
5.5 事务操作漏洞的利用 106
5.5.1 本利用的编程原理 106
5.5.2 本利用的代码实现 107
5.5.3 实测效果和评估 110
5.6 小结与练习 112
第 6 章 漏洞修补:兼容事务的删除处理 113
6.1 使用上下文记录文件是否被删除 113
6.1.1 事务操作与文件删除 113
6.1.2 从生成操作中开始处理 114
6.1.3 在微过滤器中使用流上下文 116
6.1.4 设置操作中删除的处理 119
6.2 利用事务上下文中的链表跟踪删除 121
6.2.1 处理清理:删除的时机 121
6.2.2 创建和获取事务上下文 126
6.2.3 上下文及事务回调的注册 129
6.2.4 流上下文的结构和删除链表的实现 131
6.2.5 删除的最后处理 133
6.3 判断文件是否已删除 134
6.3.1 利用获取对象 ID 判断文件是否已删除 134
6.3.2 利用文件 ID 判断文件是否已删除 137
6.3.3 如何构建文件 ID 串 139
6.3.4 如何从文件过滤参数获得文件 ID 140
6.3.5 获得卷全局标识符的方法 142
6.4 小结与练习 144
脚本执行防御篇
第 7 章 微过滤器实现的工具文件脚本防御 146
7.1 为什么以及如何考虑脚本防御 146
7.1.1 模块执行防御的不足 146
7.1.2 脚本、解释器的分类和本质 147
7.1.3 脚本防御的三条防线 149
7.2 捕获文件脚本 151
7.2.1 一个“恶意”脚本的示例 151
7.2.2 如何监控解释器读入脚本 152
7.2.3 过滤 cmd.exe 读入批处理文件 154
7.3 文件脚本防御的演示和实际策略 156
7.3.1 cmd.exe 脚本防御的演示效果 156
7.3.2 powershell.exe 脚本防御的演示效果 157
7.3.3 工具文件脚本防御的实际策略 158
7.4 小结与练习 160
第 8 章 AMSI 实现的工具脚本防御 161
8.1 AMSI 介绍 161
8.1.1 AMSI 是什么 161
8.1.2 AMSI 的应用 163
8.1.3 AMSI 提供者介绍 166
8.2 自定义 AMSI 提供者实现 168
8.2.1 新建自定义 AMSI 提供者工程 168
8.2.2 AMSI 提供者的注册和注销 170
8.2.3 扫描信息提取和结果返回 172
8.3 AMSI 实现的工具脚本防御 177
8.3.1 工具脚本防御的基本思想 177
8.3.2 对脚本进行信息提取的实现 179
8.3.3 脚本签名检查逻辑的实现 182
8.3.4 自实现 AMSI 提供者功能的演示 187
8.4 小结与练习 189
第 9 章 AMSI 防御内容型脚本与低可测攻击 191
9.1 AMSI 实现的内容型脚本防御 191
9.1.1 内容型脚本的防御难点 191
9.1.2 AMSI 提供者与混淆过的脚本 192
9.1.3 用 ASMI 提供者截获明码脚本 194
9.2 对恶意内容型脚本的简单判定 197
9.2.1 典型的恶意脚本的行为 197
9.2.2 入侵指标(IOC)与简单黑白判定 198
9.2.3 简单判定拦截的演示效果 201
9.3 AMSI 对低可测攻击的防御 201
9.3.1 低可测攻击的威胁 201
9.3.2 PowerShell 实现低可测攻击的模拟演示 202
9.3.3 模拟攻击环境部署 207
9.3.4 模拟攻击被拦截的演示 209
9.4 小结与练习 211
第 10 章 利用 ETW 监控系统事件 213
10.1 ETW 的基本概念 213
10.1.1 什么是 ETW 213
10.1.2 ETW 的主要概念 214
10.1.3 查看 ETW 相关组件 215
10.2 编程读取 ETW 的日志 216
10.2.1 ETW 编程涉及的主要函数 216
10.2.2 设计一个通用的 ETW 日志读取函数 217
10.2.3 使用 ETW 日志函数读取函数 218
10.3 ETW 日志读取源码解析 219
10.3.1 ETW 会话生成 219
10.3.2 ETW 给会话指定提供者 221
10.3.3 创建消费者 222
10.3.4 启动日志处理和收尾工作 223
10.4 尝试读取并解析 RPC 事件 224
10.4.1 找到 RPC 事件相关的提供者 224
10.4.2 提供者的日志格式 225
10.4.3 从 EventRecordCallback 中获取日志227
10.4.4 写代码解析日志 228
10.5 小结与练习 231
第 11 章 远程过程调用(RPC)的监控和防御 232
11.1 什么是 RPC 232
11.1.1 命令序列型的脚本 232
11.1.2 RPC 与内网安全 232
11.1.3 如何监控与拦截 RPC 233
11.2 RPC 攻击的实际例子 234
11.2.1 RPC 的攻击行为原理 234
11.2.2 PsExec 工具实现的 RPC 攻击 235
11.2.3 实际演示 PsExec 的使用 236
11.3 监控所有 RPC 238
11.3.1 过滤正确的 ETW 日志类型 238
11.3.2 显示解析之后的 RPC 日志信息 240
11.3.3 监控所有 RPC 调用的演示 241
11.4 获取 RPC 调用者的 IP 地址 242
11.4.1 从 SMB 相关日志获得调用者网络地址 242
11.4.2 捕获和解析 SMB 日志的代码实现 245
11.4.3 从 SMB 日志数据中提取 IP 地址 246
11.5 监控 PsExec 调用的关键 RPC 接口 250
11.5.1 通过关联打印 RPC 日志信息 250
11.5.2 解决管道别名的问题 253
11.5.3 监控外部机器 RPC 调用的实例演示 254
11.6 利用 WFP 引擎进行 PRC 过滤 256
11.6.1 利用 WFP 添加 PRC 接口过滤 256
11.6.2 打开 WFP 引擎并指定要阻止的接口 259
11.6.3 过滤指定的 IP 地址 260
11.7 小结与练习 261
第 12 章 软件漏洞利用与文件行为防御 263
12.1 软件漏洞的利用 263
12.1.1 模块、脚本执行防御的不足 263
12.1.2 及时更新防御软硬件漏洞 264
12.1.3 从执行流检查到行为防御 265
12.2 主要的恶意行为 267
12.2.1 导致恶意行为的恶意目标 267
12.2.2 文件和磁盘、注册表行为 268
12.2.3 网络、跨进程和系统调用行为 270
12.3 利用微过滤器监控和拦截文件行为 273
12.3.1 制定软件合理行为规则 273
12.3.2 实现文件写打开监控和拦截 274
12.3.3 实现可配置的规则库 278
12.4 小结与练习 281
附录 A 开发工具准备、环境部署与 HelloWorld 示例 282
A.1 下载安装 Visual Studio 2022 282
A.2 安装 Windows SDK 283
A.3 安装 Windows WDK 284
A.4 安装 VMware 及 Windows 11 虚拟机 284
A.5 设置双机调试 289
附录 B HelloWorld 示例 293
B.1 创建一个驱动 293
B.2 编写驱动代码 294
B.3 编译并部署驱动 296
B.4 调试驱动 299
附录 C 随书源码说明 302
C.1 如何使用源码 302
C.2 整体目录和编译方法 302
C.3 章节示例到源码的索引 303
內容試閱
本书为开发者构建了从原理到实战的完整技术体系,书中系统拆解Windows内核安全机制,深度解析入侵检测防御模块设计、恶意行为特征捕获、内核级漏洞防御开发等核心技术,结合恶意脚本分析、日志监控分析、远程漏洞利用等实战场景,通过大量可复用代码示例与攻防案例,帮助读者掌握内存监控、进程保护、驱动级防护等关键编程技巧。周钰淇同志长期从事网络安全方面研究,入职公安系统后,参与多起重大涉网案件侦破,具有丰富的实战分析经验。
无论是网络安全从业者构建企业级防护系统,还是开发者探索Windows安全开发边界,本书都能以工程化思维打通“漏洞检测—防御实现—应急响应”全链路,成为掌握Windows平台安全编程的硬核指南。

仲海啸 连云港市公安局网络安全保卫支队
电子数据检验鉴定实验室教导员

《万径寻踪:Windows入侵检测与防御编程(卷一)》沿袭了谭文老师《天书夜读:从汇编语言到Windows内核编程》和《寒江独钓:Windows内核安全编程》的一贯风格,该书深入浅出地介绍了主流操作系统的底层知识,介绍了Windows系统的微过滤驱动框架、反恶意软件扫描接口、ETW事件日志框架、RPC等技术,一步一步地教读者如何设计和构建Windows下的EDR软件。
谭文老师近20年来一直专注于Windows底层软件的设计和开发,长期与恶意软件、rootkit、游戏外挂进行一线技术对抗,是国内真正精通Windows底层内核设计理念的专家。与世面上同类书籍相比,本书更具备实用性,是从事主机入侵防御、EDR软件设计和开发人员的书,也可以作为操作系统底层软件设计和开发工作者的参考书。

陈良 华为可信领域科学家,终端网络安全首席专家,
终端奇点安全实验室主任,三届Pwn2Own世界冠军


网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。端点安全作为网络安全的重要组成部分,端点上的对抗已经成为攻防双方角逐的焦点,端点安全日趋重要,而且很多时候是防御威胁攻击的最重要的一道防线,也是最后一道防线。本书作者是终端安全领域的资深专家,他们以扎实的技术功底和丰富的实践经验,将端点入侵检测和防御的复杂体系讲解得清晰易懂,从攻击思路到防御机制再到源码实现,层层递进,干货满满。对有志深入Windows安全开发的读者来说,这不仅是一本实用指南,更是深入理解终端攻防的之作。
姚纪卫 安芯网盾CTO,PCHunter作者

关于Windows安全类的书已经有很多了,但是真正做到深入浅出、无论是小白还是大牛都能从中获益匪浅的书却不多见,本书就是其中之一。安全这东西,入门容易,但要做好很难,本人从事安全行业20多年,从奇虎360到火绒,从事了不少这方面的工作,经验也积累了不少,但读此书,还是能从中领悟到不少,实在是不可多得的佳作,值得推荐。
邵坚磊 前奇虎360安全技术委员会专家,
现火绒高级终端安全研究员

在如今安全对抗高度复杂的时代,真正扎根底层、理解机制、掌握代码的安全从业者愈发稀缺。本书以严谨细致的风格,系统地剖析了Windows主机防御的各个技术环节,从内核驱动到脚本拦截,从微过滤器到AMSI实践,循序渐进,代码可运行,真正做到了将理论与实战紧密结合。对希望跨越知识孤岛、构建系统安全认知体系的读者而言,这是一本难得的实践指南,也是一道通往深层安全世界的入口。
段钢 看雪学苑创始人

在网络安全威胁日益复杂的今天,主机防御已成为企业安全的最后一道防线。企业安全行业日新月异,但相关书籍和资料相当贫乏和陈旧。非常感谢作者提前让我感受了本书的魅力。主机防御虽然是一个古老的主题,但我第一次看到一本书将现代企业安全软件的进展、企业安全面临的威胁、安全软件与恶意代码之间的激烈对抗,如此清晰明白地用代码的方式写出来。很明显其中蕴含着多位资深从业人员的宝贵经验。
无论是对安全技术有兴趣的爱好者、学生,还是有志于为国家的信息安全做出贡献的从业者,我都强烈推荐这本兼具深度与广度的佳作,它将助你在企业主机安全领域占据技术制高点!
钱林松 武汉科锐逆向科技创始人,
《C 反汇编逆向分析技术揭秘》作者

本书深入解析了企业安全的痛点与现实的解决方案,遵循了零信任和纵深防御的基本原则,并提供了可落地的实现代码。其强调的层层防御的理念与翔实的源码分析,为企业安全软件与恶意代码的斗争提供了重要参考。尤其值得关注的是,本书对Windows系统中的恶意模块、脚本、RPC调用等均提供了针对性的防御手段。若你希望提升Windows系统安全技术技能,此书是一份不可多得的指南。
刘忠鑫 赛虎学院

序言
作为一名专门从事网络安全工作的人民警察,在我过去多年涉及网络安全防御与黑灰产分析的工作中,亲眼见证了对抗技术的迅速演化,也深切体会到防御方所面临的巨大挑战。入侵者们不再是单打独斗的技术极客,而往往是组织化、商业化运作的攻击团队,他们具备丰富的系统底层开发经验,有强大的资源支持,以及持续演进的攻击策略。而作为安全研究人员和防御者,我们唯有以同样深度的系统理解与对抗意识,方能立于不败之地。
撰写本套书(分为卷一和卷二)的初衷,正是为了系统地梳理和分享笔者们在Windows平台入侵检测与防御编程方面长期积累的实战经验。内容不仅涵盖从微过滤驱动、AMSI反恶意代码扫描、注册表过滤驱动、NDIS网络包过滤器、WFP网络过滤平台、各种内核回调到VT技术的多层次防御策略,还涉及了诸如持久化手段、系统劫持、注入、WMI、BITS、COM挂钩、Rootkit、恶意硬件等黑产常用隐匿技术的对抗方法。
这里以臭名昭著的“银狐”木马为例。银狐团伙的黑色产业链广泛渗透至金融、教育、政府机构及多个行业领域,通过木马窃取用户敏感信息将信息贩卖给诈骗集团,实施精准诈骗。以“银狐”木马为代表的新型攻击手段,揭示了现代恶意软件的复杂性与隐蔽性。该木马家族通过钓鱼邮件、即时通信工具(如微信、QQ)传播,伪装成“税务文件”“财务通知”等诱导用户点击,利用白程序的DLL侧加载技术绕过安全检测,通过多层内存加载、计划任务持久化、云服务器动态分发载荷等手段长期驻留系统,并最终窃取财务数据、监控用户操作,甚至实施二次诈骗。其技术链条涵盖网络渗透、进程注入、内核级隐蔽通信等多个层面,对传统安全防御体系提出了严峻挑战。
在传播阶段,“银狐”木马利用高仿官网的钓鱼页面和虚假软件安装包,通过搜索引擎流量购买扩大攻击面;在持久化阶段,“银狐”木马通过注册表修改、计划任务伪装、全局原子表消息传递实现隐蔽驻留;在网络通信层,该木马采用动态C2地址更新和加密流量规避检测。此类攻击不仅依赖技术对抗,更利用社会工程学突破心理防线,凸显了防御需从单一技术点扩展至全链条覆盖的必要性。
这些案例都清晰地展示了:现代恶意代码往往是多层次、模块化、混合型的存在,单一维度的防御已难以奏效。唯有深入系统底层,结合驱动编程与行为分析能力,才能有效构建出可落地、可维护的防御编程框架。而这,正是本书最希望为广大安全开发者与研究者提供的核心价值。
本书适用于对Windows系统底层安全机制有兴趣的安全工程师、逆向分析师、驱动开发者以及相关专业的学生。无论你是从事攻防对抗的红队成员,还是构建防护体系的蓝队专家,亦或是研究恶意代码的威胁分析师,都能在本书中找到可用于实战的技术灵感与工具思路。
网络安全是一场永无止境的攻防博弈。攻击者不断寻找系统弱点,防御者则需以更快的速度、更深的洞察构建防线。希望本书能为读者提供一把打开Windows系统安全之门的钥匙,助你在攻防对抗中占据先机。无论你是初入安全领域的新人,还是经验丰富的从业者,愿本书能成为你技术探索路上的可靠伙伴。
周钰淇
2025年4月18日于连云港

前 言
自从接触安全行业以来,我就发现这个行业中很多从业者的专业知识并非浑然一体, 而是割裂和孤立的:
● 一个从业者可以通过考试获得行业知名的证书,了解许多安全知识和标准,但他可能完全不懂编程,更不知道病毒具体是如何攻击网络,而安全产品又是如何抵御它们的。
● 数十年兢兢业业开发安全产品的资深工程师,可能精通某一方面的技术,但论起对黑客技术的了解,很容易遭到对编程一窍不通的“脚本小子”的嘲笑。
● 渗透高手们津津乐道他们如何绕过一个又一个防御点,同时对任何安全技术和理论知识都不屑一顾。
● 操作系统和安全系统厂商在不断地强调他们的防御系统拥有多少强大的功能,但对能否真的抵挡攻击避而不谈。
● 安全总监们忙于购买和配置各种产品,清理投诉和误报,应付黑产的攻击和勒索。
● 黑灰产业在金钱的滋润下流传着粗犷和无序的技术,正义和秩序的力量则在不懈地发现、清理和追捕它们。
安全行业内大家操着各自的深奥语言,互不相通,这就给试图进入安全行业的入门者带来极大的困惑:我想做安全,我想成为一名计算机安全专家,那么—
● 应该去考证吗?为什么考完证之后还是什么都不会?
● 应该去学编程吗?为什么学了这么久的编程还是完全不懂渗透?
● 应该去研究黑客技术吗?但为什么黑客好像根本不学编程?
● 看了这么多威胁情报、恶意代码的分析,但完全不知道恶意代码为什么要这么做而不那么做,怎么办?
● 应该去学习安全产品的开发吗?安全产品厂商宣传的那些神奇的功能是怎么实现的?
至少绝不要去接触黑产,那绝对是一条不归之路。我考过证,也学过编程,后来多年从事各种不同安全产品的开发;我阅读过一些黑产从业者的代码,不止一次看到或者听到过他们锒铛入狱。
现在我依然无法告诉读者应该去学习什么,或许每个人需求都不一样吧。但对我来说,既然要了解安全,那么就应该知道安全问题从哪里来、漏洞如何产生、攻击手段是怎样的、如何防御才合理,以及因此诞生了哪些技术。
一旦涉及技术,我就觉得应该弄清每一行代码。使用工具或者库是很好的方法,但更好的是弄清工具或者库的原理,并且无论什么工具或者库,读者都可以自己去修改或者实现它。
安全的知识不应是割裂的,而应是融会贯通、浑然一体的。安全的技术是因为安全的需求才诞生的,无论在哪个平台上,无论什么技术,都是和需求因果相关联的。攻击的技术和防御的技术,以及从防御衍生而来的各种策略、安全的标准、管理的准则,都是由同一因果贯穿始终的。
这本书聚焦于内网安全,讲述 Windows 上基于主机的入侵检测与防御,因此它不是服务器安全相关的,也不是 Linux 安全相关的。这就是为什么它不包括安全上非常重要的Web 安全、SQL 注入、RASP、Linux eBPF 等内容。但它也并不仅仅涉及 Windows 上主机防御的实现。
本书试图从问题的源头出发,讲述安全问题是如何产生的,攻击者是如何一步步实现攻击目的的;作为安全系统又应如何构筑起阵地,节节防御。书中每一步示例都提供完全可以实现其功能的代码,同时指出这些代码的不足,在实际中又会遇到什么问题。全书的代码可扫描下面二维码下载:
希望读者参考这本书,既能了解问题的由来,了解自己需要做什么,又能动手编写每一步的代码,了解每一行代码的目的,每一步都知道自己在做什么。同时,对于编写这些代码之后,安全系统应该采取何种策略,管理员应该实行怎样的管理,书中也会一并分析,并试图和行业内其他知识联系到一起。
本书大部分示例使用 C 语言,很少用到 C 特性。阅读这本书的读者不需要具备太多安全方面的知识,只需要熟悉 C 语言语法,了解 Windows 操作系统的基本知识即可。
期待这本书能真正引领读者进入安全行业,消除迷惑,对安全行业的各类知识有初步但全面的了解,并对 Windows 的主机入侵检测和防御尤其熟悉,精通相关的底层技术。
受作者精力和技术水平所限,书中错漏在所难免,欢迎业内同仁和广大读者批评指正。

谭文
2025 年 5 月 14 日于上海

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 香港用户  | 台灣用户 | 海外用户
megBook.com.hk
Copyright © 2013 - 2025 (香港)大書城有限公司  All Rights Reserved.