首页 > 图书中心 >图书详情
恶意代码分析实践
作者:肖新光、辛毅、叶麟、李柏松、彭国军
丛书名:网络空间安全学科系列教材
定价:79元
印次:1-1
ISBN:9787302681014
出版日期:2025.02.01
印刷日期:2025.01.21
本书是一本主要面向高校网络空间安全等相关专业本科生的专业教材。本书介绍和讨论了恶意代码分析的概念、工具、技术与方法,旨在为读者提供一本全面、系统的恶意代码分析指南。从恶意代码的基本概念入手,详细介绍了恶意软件的分类、特点及其潜在威胁,涵盖了恶意代码的动态分析和静态分析技术,为读者详细揭示了如何从取证、分析、撰写报告到持续监测恶意代码在其生命周期内的活动和目的。作者结合多年实践经验,通过实际案例分析,让读者能够从实践中学习到宝贵经验。书中提供了真实的恶意代码分析实践题,鼓励读者动手实践,通过实际操作来巩固知识和技能。普通高校计算机科学与技术、信息安全等相关专业的学生可以通过本书深化对恶意代码分析的理解。
more >前言 威胁分析能力在网络安全工作者的必备技能频谱中有很高的占比。威胁分析是针对网络攻击活动及与之相关对象的认知过程,恶意代码无疑是威胁分析工作中最需要被重点关注的对象。 回望整个威胁对抗发展历程,恶意代码分析在每个历史阶段都起到了重要的支撑和推动作用——1986年,首个IBM PC架构下的计算机病毒诞生后,查杀感染式病毒成为当时安全工作的主要频谱,基于对不断出现的病毒样本的持续分析,研究对抗规律和最佳解决方案,反病毒工作避免陷入“银弹”式的设想中,走上了通过反病毒引擎持续更新迭代实现对抗的正途;在2000年后暴发的蠕虫浪潮中,安全工作者在原有的代码分析维度上扩展了关联的网络分析,推动了检测能力在网络侧和网关上的完善和构建,推动了反病毒网关、UTM、VDS等新兴产品的产生;2005年后,在特洛伊木马呈现几何级数的增长膨胀的情况下,安全分析工作已不可能靠人力穷尽,依托人的分析工作的范式化提炼,大规模提升了自动化分析水平;2010年,以“震网”为代表的APT(高级持续型威胁)攻击活动浮出水面,也正是依赖着长期、细腻的分析工作,才能够揭开“A”的谜底,把握“P”的脉搏,从而把一系列APT攻击的内幕呈现在公众面前。 上述工作贯穿了我的学生时代以及工作和创业历程。但随着时间推移,我感到了一种隐忧,那就是网络安全从业者的基础分析能力(特别是面向二进制对象的分析能力)有持续退化的倾向。 一方面,恶意代码分析所需的能力较为综合,恶意代码分析者需要具备的素质包括但不限于:对系统底层运行逻辑的深入认识、对攻击技术的了解、在熟练应用逆向及调试等相关技能的同时也具备正向的软件工程思维等。但有底层技术功底的青年学生,通常综合技术能力较强,在就业选择方面有较大幅宽,他们大多并未选择网络安全领域,而是选择了人工智能等看起来更为热门的方向就业;而对网络安全有兴趣的学生中,又存在“脚本小子”化的成长倾向。这都导致了在内核分析和代码二进制分析方面都开始出现高水平的人才队伍断档、专业技能人才梯队储备规模不足的问题。另一方面,由于威胁分析更多地表现为一种经验性技能,与我国传统大学本科教育的知识体系教育和科学理论教育的导向并不完全匹配。因此,尽管在恶意代码分析方面有很多高水平的文献,但一直没有一本适合高校师生并被广泛认可的教材。 战略性新兴领域高等教育教材体系建设为我们填补这一缺口提供了一个历史机遇,我们希望将安天应急响应中心优秀工程师们的分析经验,与在相关专业领域有较好实战化教学经历的几位优秀教师和科研工作者的经验,进行快速结合,从经验化与实战化的视角,快速完成相关的知识、技能、实例的组织,形成一本以恶意代码分析技能为专项培养任务的实战化教材。 本书的编写团队是一支产、学、研结合团队——我和李柏松是从DOS病毒时代开始进行逆向工程相关知识学习和实践的早期反病毒从业者;彭国军、叶麟、辛毅是在恶意代码取证、分析、溯源方面有丰厚实践功底且有丰富教学经验的中青年学者;郭洪亮、刘德昌、王昆明、黄伟强、祝传磊、张小雷、金志强、曹鑫磊、高泽霖、刘统、邢宝玉、卢殿君等都是安天应急响应中心的一线工程师;高喜宝负责本书初稿的组织与审改工作;刘佳男、张慧云、白淳升负责相关样本和分析资源的选配组织,付瑶、张奇参与了文字校对工作。 本书内容共分为三篇:样本分析篇、网络分析篇和APT分析篇。 样本分析篇包含第1~9章,涵盖了恶意代码样本分析所需的通用知识和技能。第1章为概述,介绍了恶意代码的基本概念、恶意代码分析的流程以及分析人员需具备的前置基础技能;第2~5章对恶意代码的通用分析步骤(分析环境搭建、终端和网络取证、静态分析和动态分析)依次展开讲解;第6~8章针对恶意代码的几种常见形态(二进制文件、脚本、宏),分别讲解其对应的分析要点和工具;第9章针对分析过程中可能遇到的对抗分析手段和应对方法做了专题介绍。 网络分析篇包含第10~14章,在这几章中列举了几种与恶意代码相关的远程网络攻击模式(僵尸网络、挖矿木马、窃密木马、远控木马、勒索软件),剖析其原理,介绍其分析要点和处置方法。 APT分析篇包含第15、16章,强调面对高级、复杂的威胁时,分析技能的综合应用和拔高。我们也希望借助这个内容板块,帮助学生从更高维的认知视角上,理解恶意代码分析工作的价值。 本书完全基于工程能力导向产生。编写的主旨就是不把恶意代码当成一种坐而论道式的“科学研究”的对象,因此本书没有进行恶意代码发展历史的陈列,也未罗列恶意代码领域已经失去现实意义的历史探索和成果。本书团队是在成熟的反恶意代码工业能力,包括反病毒引擎共性技术、大规模恶意代码自动化分析工程体系和海量样本库的支撑下完成的,是分析工程师对工作的沉淀总结。本书中分析和举例的恶意代码都采用统一的分段式结构化命名规范,所有样本名称都可以在计算机病毒分类知识百科全书中找到对应的知识词条。 本书成稿尚有很大的局限性和遗憾,尽管我们拥有超过5万个家族、1600万个变种、超过140亿个Hash对应的实体样本资源,但历史上更多的积累是自动化分析数据积累和部分历史人工分析报告。我们对反恶意代码到执行体安全的工作思路,尚未形成完整、闭合的科学框架体系。特别是我们的分析工程师队伍,多数都是从爱好者起步成长,并未经历过严格的科学表达训练。这些都使本书存在一定的结构缺陷,编写团队也存在安全论坛化的粗糙的表述习惯,难以在短时间内完全梳理对齐。受限于我们自身水平以及本书成稿任务的急迫性,我们必须在短时间内完成大量历史分析报告成果的整合和重新组织,因此本书中难免存在疏漏之处,还望广大读者指正。 肖新光2024年10月于安天实验室
more >
京公网安备11010802042911号