在發(fā)表了一系列關(guān)于Rootkit和Bootkit的文章和博客文章后，我們意識(shí)到這個(gè)主題并沒有得到應(yīng)有的關(guān)注，因此產(chǎn)生了寫這本書的想法。我們覺得需要有一個(gè)宏觀的視角，想要一本能夠涵蓋所有這些內(nèi)容的書—一本集成了高明的技巧、操作系統(tǒng)架構(gòu)視圖，由攻擊者和防御者使用的創(chuàng)新設(shè)計(jì)模式的書。我們尋找過這樣的書，但并沒有找到，于是我們就開始自己寫。
這花費(fèi)了我們四年半的時(shí)間，比計(jì)劃的時(shí)間要長。如果你是搶先版的支持者之一，并且仍在閱讀這本書，我們會(huì)非常感激你的持續(xù)關(guān)注！
在此期間，我們觀察到了攻擊和防御的共同演進(jìn)。特別值得注意的是，我們看到了微軟Windows操作系統(tǒng)的防御能力演進(jìn)，使得Rootkit和Bootkit設(shè)計(jì)的幾個(gè)主要分支陷入了死胡同。你可以在本書中找到更多與此相關(guān)的內(nèi)容。
我們還看到了以BIOS和芯片組固件為攻擊目標(biāo)的新型惡意軟件的出現(xiàn)，這已經(jīng)超出了當(dāng)前Windows安全防護(hù)軟件的能力范圍。我們將解釋這種共同演進(jìn)是如何發(fā)展起來的，以及我們期望下一步它將把我們帶到哪里。
本書的另一個(gè)主題是針對(duì)操作系統(tǒng)啟動(dòng)引導(dǎo)過程的早期階段的逆向工程技術(shù)的開發(fā)。一般來說，在PC啟動(dòng)引導(dǎo)過程的長鏈條中，一段代碼運(yùn)行的時(shí)間越早，它就越不容易被觀察到。長期以來，這種可觀察性的缺乏一直與安全性在概念上有所混淆。然而，當(dāng)我們深入探究這些突破底層操作系統(tǒng)技術(shù)（如Secure Boot）的Bootkit和BIOS注入威脅的取證方法時(shí)，我們發(fā)現(xiàn)在這里通過隱匿實(shí)現(xiàn)的安全性并不比計(jì)算機(jī)科學(xué)的其他領(lǐng)域更好。短時(shí)間后（在互聯(lián)網(wǎng)時(shí)間范圍內(nèi)越來越短），相對(duì)于防御者而言，通過隱匿實(shí)現(xiàn)安全的方法對(duì)攻擊者更有利。這一觀點(diǎn)在其他有關(guān)這一主題的書籍中還沒有得到充分的闡述，所以我們?cè)噲D填補(bǔ)這一空白。
為什么要讀這本書
我們?yōu)楸姸嘈畔�安全研究人員撰寫文章，他們對(duì)高級(jí)可持續(xù)惡意軟件威脅如何繞過操作系統(tǒng)級(jí)別的安全機(jī)制很感興趣。我們主要關(guān)注如何發(fā)現(xiàn)并逆向、有效分析這些高級(jí)威脅。書中的每一部分都反映了高級(jí)威脅發(fā)展演進(jìn)的不同新階段，包括從它們一開始僅作為概念證明出現(xiàn)的階段，到威脅發(fā)動(dòng)者展開投遞傳播的階段，后到它們?cè)诟�隱蔽且有針對(duì)性攻擊中被利用的階段。
在寫這本書的時(shí)候，我們希望本書不僅僅面向計(jì)算機(jī)惡意軟件分析師，而是能使更廣泛的讀者獲益。更進(jìn)一步，我們希望嵌入式系統(tǒng)開發(fā)人員和云安全專家同樣能夠發(fā)現(xiàn)這本書的作用，因?yàn)镽ootkit及其所注入的威脅對(duì)這些生態(tài)系統(tǒng)所產(chǎn)生的影響同樣非常突出。
這本書有什么干貨
在部分中，我們將探索Rootkit，還將介紹Windows內(nèi)核的內(nèi)部機(jī)理—內(nèi)核向來是Rootkit運(yùn)行的場(chǎng)所。在第二部分中，我們將重點(diǎn)轉(zhuǎn)向操作系統(tǒng)的引導(dǎo)過程和在Windows加強(qiáng)其內(nèi)核模式后開發(fā)的Bootkit。我們將從攻擊者的角度剖析系統(tǒng)引導(dǎo)過程的各個(gè)階段，特別關(guān)注新的UEFI固件方案及其漏洞。后，在第三部分中，我們將重點(diǎn)討論針對(duì)BIOS和固件的經(jīng)典操作系統(tǒng)Rootkit攻擊和現(xiàn)代Bootkit攻擊的取證工作。
部分　Rootkit
此部分主要介紹全盛時(shí)期的經(jīng)典操作系統(tǒng)級(jí)Rootkit。這些歷史上的Rootkit案例提供了有價(jià)值的視角，讓我們了解攻擊者如何理解操作系統(tǒng)的運(yùn)行機(jī)制，并找到使用操作系統(tǒng)自身結(jié)構(gòu)，可靠地將攻擊負(fù)載注入系統(tǒng)內(nèi)核的方法。
第1章　通過講述當(dāng)時(shí)一個(gè)有趣的Rootkit的故事，并基于我們自己所遇到的各個(gè)Rootkit變種以及對(duì)這些威脅的分析，探索Rootkit是如何工作的。
第2章　分析備受關(guān)注的Festi Rootkit，它使用了當(dāng)時(shí)的隱匿技術(shù)來發(fā)送垃圾郵件和發(fā)起DDoS攻擊。這些技術(shù)包含自帶的自定義內(nèi)核級(jí)TCP/IP協(xié)議棧。
第3章　帶我們深入操作系統(tǒng)內(nèi)核，重點(diǎn)介紹攻擊者用來爭奪內(nèi)核底層控制權(quán)的技巧，例如攔截系統(tǒng)事件和調(diào)用。
第二部分　Bootkit
此部分將重點(diǎn)轉(zhuǎn)移到Bootkit的演進(jìn)、刺激演進(jìn)的條件，以及針對(duì)這些威脅的逆向工程技術(shù)。我們將看到Bootkit是如何開發(fā)的，以至于可以將其自身植入BIOS并利用UEFI固件漏洞進(jìn)行攻擊。
第4章　深入探討共同演化的作用，這使Bootkit得以存在并指導(dǎo)了它們的開發(fā)。我們來看一看批被發(fā)現(xiàn)的Bootkit，比如臭名昭著的Elk Cloner。
第5章　介紹Windows系統(tǒng)引導(dǎo)過程的內(nèi)部原理，以及它們是如何隨時(shí)間變化的。我們將深入研究主引導(dǎo)記錄、分區(qū)表、配置數(shù)據(jù)和bootmgr模塊等細(xì)節(jié)。
第6章　帶你了解Windows引導(dǎo)進(jìn)程防護(hù)技術(shù)，如早期啟動(dòng)反惡意軟件（ELAM）模塊、內(nèi)核模式代碼簽名策略及其漏洞，以及較新的基于虛擬化的安全機(jī)制。
第7章　剖析感染引導(dǎo)扇區(qū)的方法，并介紹這些方法如何隨著時(shí)間的推移而演變。我們將使用一些熟悉的Bootkit作為示例，比如TDL4、Gapz和Rovnix。
第8章　介紹靜態(tài)分析Bootkit感染的方法和工具。我們將以TDL4 Bootkit為例介紹分析過程，并為讀者自己分析提供相關(guān)材料，包括要下載的磁盤映像。
第9章　將重點(diǎn)轉(zhuǎn)移到動(dòng)態(tài)分析方法上，包括使用Bochs仿真器和VMware的內(nèi)置GDB調(diào)試器，還會(huì)介紹動(dòng)態(tài)分析MBR和VBR Bootkit的步驟。
第10章　回顧隱匿技術(shù)的發(fā)展，這些技術(shù)用于將Bootkit帶到引導(dǎo)過程的更低層級(jí)。我們將以O(shè)lmasco為例，