EDR逃逸的藝術(shù):終端防御規(guī)避技術(shù)全解
定 價(jià):99.8 元
當(dāng)前圖書(shū)已被 16 所學(xué)校薦購(gòu)過(guò)�!
查看明細(xì)
- 作者:[美]馬特·漢德(Matt Hand)
- 出版時(shí)間:2025/9/1
- ISBN:9787115675590
- 出 版 社:人民郵電出版社
- 中圖法分類(lèi):TP393.08
- 頁(yè)碼:
- 紙張:膠版紙
- 版次:
- 開(kāi)本:16開(kāi)
端點(diǎn)檢測(cè)與響應(yīng)(endpoint detection and response�,EDR)是一種網(wǎng)絡(luò)安全技術(shù)�,專注于監(jiān)控�、檢測(cè)和應(yīng)對(duì)終端設(shè)備上的可疑活動(dòng)��。通過(guò)持續(xù)收集和分析端點(diǎn)行為數(shù)據(jù),幫助組織及時(shí)發(fā)現(xiàn)潛在威脅�,并提供調(diào)查和響應(yīng)工具����,以防止攻擊擴(kuò)散和數(shù)據(jù)泄露。
本書(shū)聚焦 EDR 在 Windows 操作系統(tǒng)上的工作原理,圍繞 EDR 攻防展開(kāi),深入探討EDR 傳感器或用于收集特定類(lèi)型數(shù)據(jù)的組件����。本書(shū)共 13 章����,具體內(nèi)容包括 EDR 架構(gòu)�、函數(shù)掛鉤 DLL、進(jìn)程與線程創(chuàng)建通知�、對(duì)象通知、鏡像加載與注冊(cè)表通知�、文件系統(tǒng)微篩選器驅(qū)動(dòng)程序�、網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)程序、Windows 事件追蹤�����、掃描器、反惡意軟件掃描接口��、早期啟動(dòng)反惡意軟件驅(qū)動(dòng)程序��、微軟 Windows 威脅情報(bào)�,以及案例研究等。
本書(shū)適合對(duì)終端檢測(cè)技術(shù)感興趣�����,尤其是掌握基礎(chǔ)滲透測(cè)試技術(shù)����、了解 Windows 內(nèi)部機(jī)制和基礎(chǔ)知識(shí)的讀者閱讀。
作者實(shí)力:SpecterOps 前服務(wù)架構(gòu)師執(zhí)筆���,傳授實(shí)戰(zhàn)經(jīng)驗(yàn)。
內(nèi)容多維:覆蓋 EDR 架構(gòu)到威脅情報(bào) 13 大核心模塊��,解析 Windows 平臺(tái)工作原理�����。
實(shí)戰(zhàn)賦能:海量代碼示例 真實(shí)案例�����,手把手指導(dǎo) EDR 攻防技術(shù)落地應(yīng)用。
口碑認(rèn)證:亞馬遜 4.8 高分好評(píng)���,專業(yè)讀者認(rèn)可的終端安全讀物�。
稀缺優(yōu)勢(shì):契合高級(jí)網(wǎng)安技能需求����,同類(lèi)書(shū)籍少,競(jìng)爭(zhēng)優(yōu)勢(shì)顯著�����。
作者實(shí)力:SpecterOps 前服務(wù)架構(gòu)師執(zhí)筆���,傳授實(shí)戰(zhàn)經(jīng)驗(yàn)�。
內(nèi)容多維:覆蓋 EDR 架構(gòu)到威脅情報(bào) 13 大核心模塊�,解析 Windows 平臺(tái)工作原理。
實(shí)戰(zhàn)賦能:海量代碼示例 + 真實(shí)案例,手把手指導(dǎo) EDR 攻防技術(shù)落地應(yīng)用���。
口碑認(rèn)證:亞馬遜 4.8 高分好評(píng)�,專業(yè)讀者認(rèn)可的終端安全讀物���。
稀缺優(yōu)勢(shì):契合高級(jí)網(wǎng)安技能需求,同類(lèi)書(shū)籍少,競(jìng)爭(zhēng)優(yōu)勢(shì)顯著。
馬特·漢德(Matt Hand)是資深的進(jìn)攻型安全專家,專攻規(guī)避技術(shù)與漏洞研究,擅長(zhǎng) 攻防演練的設(shè)計(jì)和執(zhí)行���。他的安全領(lǐng)域職業(yè)生涯是從一家小型托管公司的安全運(yùn)營(yíng)中心開(kāi)始的����。此后�,他主要擔(dān)任紅隊(duì)工程師���,主導(dǎo)針對(duì)全球多家頂級(jí)機(jī)構(gòu)的攻擊演練。
目錄
第 1 章 EDR 架構(gòu) 1
11 EDR 的組件 1
111 代理 1
112 遙測(cè)數(shù)據(jù) 2
113 傳感器 3
114 檢測(cè) 3
12 規(guī)避 EDR 的挑戰(zhàn) 4
13 識(shí)別惡意活動(dòng) 5
131 考慮上下文 5
132 脆弱檢測(cè)與魯棒檢測(cè)的應(yīng)用 6
133 探索彈性檢測(cè)規(guī)則 7
14 代理設(shè)計(jì) 9
141 基礎(chǔ)設(shè)計(jì) 9
142 中級(jí)設(shè)計(jì) 10
143 高級(jí)設(shè)計(jì) 11
15 繞過(guò)類(lèi)型 12
16 關(guān)聯(lián)規(guī)避技術(shù):一次攻擊示例 13
17 總結(jié) 15
第 2 章 函數(shù)掛鉤 DLL 16
21 函數(shù)掛鉤的工作原理 16
211 使用 Microsoft Detours 實(shí)現(xiàn)掛鉤 18
目錄
2
212 注入 DLL 21
22 檢測(cè)函數(shù)掛鉤 22
23 規(guī)避函數(shù)掛鉤 24
231 直接系統(tǒng)調(diào)用 24
232 動(dòng)態(tài)解析系統(tǒng)調(diào)用編號(hào) 27
233 重新映射 ntdlldll 28
24 總結(jié) 32
第 3 章 進(jìn)程與線程創(chuàng)建通知 33
31 通知回調(diào)例程的工作原理 33
32 進(jìn)程通知 34
321 注冊(cè)進(jìn)程回調(diào)例程 35
322 查看系統(tǒng)上注冊(cè)的回調(diào)例程 36
323 收集進(jìn)程創(chuàng)建信息 37
33 線程通知 39
331 注冊(cè)線程回調(diào)例程 39
332 檢測(cè)遠(yuǎn)程線程創(chuàng)建 40
34 規(guī)避進(jìn)程和線程創(chuàng)建回調(diào) 42
341 命令行篡改 42
342 偽造父進(jìn)程 ID 46
343 進(jìn)程鏡像修改 50
35 一個(gè)進(jìn)程注入案例研究:fork&run 60
36 結(jié)論 62
第 4 章 對(duì)象通知 63
41 對(duì)象通知的工作原理 63
411 注冊(cè)新的回調(diào) 63
目錄
3
412 監(jiān)視新的和重復(fù)的進(jìn)程句柄請(qǐng)求 65
42 檢測(cè) EDR 正在監(jiān)視的對(duì)象 67
43 檢測(cè)驅(qū)動(dòng)程序觸發(fā)后的行為 69
44 繞過(guò)認(rèn)證攻擊中的對(duì)象回調(diào) 71
441 執(zhí)行句柄竊取 72
442 競(jìng)速回調(diào)例程 77
45 結(jié)論 82
第 5 章 鏡像加載與注冊(cè)表通知 83
51 鏡像加載通知的工作原理 83
511 注冊(cè)回調(diào)例程 83
512 查看系統(tǒng)上注冊(cè)的回調(diào)例程 84
513 收集鏡像加載信息 85
52 使用隧道工具規(guī)避鏡像加載通知 88
53 使用鏡像加載通知觸發(fā) KAPC 注入 90
531 理解 KAPC 注入 90
532 獲取 DLL 加載函數(shù)指針 91
533 準(zhǔn)備注入 92
534 創(chuàng)建 KAPC 結(jié)構(gòu)體 93
535 APC 隊(duì)列 94
54 防止 KAPC 注入 95
55 注冊(cè)表通知的工作原理 96
551 注冊(cè)注冊(cè)表通知 98
552 緩解性能挑戰(zhàn) 100
56 規(guī)避注冊(cè)表回調(diào) 102
57 使用回調(diào)條目覆蓋規(guī)避 EDR 驅(qū)動(dòng)程序 106
58 結(jié)論 107
目錄
4
第 6 章 文件系統(tǒng)微篩選器驅(qū)動(dòng)程序 108
61 傳統(tǒng)過(guò)濾器和過(guò)濾器管理器 108
62 微篩選器架構(gòu) 110
63 編寫(xiě)微篩選器 113
631 開(kāi)始注冊(cè) 113
632 定義前操作回調(diào) 115
633 定義后操作回調(diào) 118
634 定義可選回調(diào) 119
635 激活微篩選器 119
64 管理微篩選器 120
65 使用微篩選器檢測(cè)對(duì)手的戰(zhàn)術(shù) 121
651 文件檢測(cè) 121
652 命名管道檢測(cè) 122
66 規(guī)避微篩選器 124
661 卸載 124
662 預(yù)防 126
663 干擾 127
67 結(jié)論 127
第 7 章 網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)程序 128
71 基于網(wǎng)絡(luò)與終端的監(jiān)控 128
72 傳統(tǒng)網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范驅(qū)動(dòng)程序 130
73 Windows 過(guò)濾平臺(tái) 131
731 過(guò)濾引擎 132
732 過(guò)濾仲裁 132
733 回調(diào)驅(qū)動(dòng)程序 133
74 使用網(wǎng)絡(luò)過(guò)濾器檢測(cè)對(duì)手的戰(zhàn)術(shù) 133
741 打開(kāi)過(guò)濾引擎會(huì)話 134
目錄
5
742 注冊(cè)回調(diào) 134
743 將回調(diào)函數(shù)添加到過(guò)濾引擎 135
744 添加新過(guò)濾器對(duì)象 136
745 分配權(quán)重和子層 139
746 添加安全描述符 140
75 通過(guò)網(wǎng)絡(luò)過(guò)濾器檢測(cè)對(duì)手戰(zhàn)術(shù) 141
751 基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù) 142
752 元數(shù)據(jù) 144
753 層數(shù)據(jù) 145
76 繞過(guò)網(wǎng)絡(luò)過(guò)濾 146
77 小結(jié) 150
第 8 章 Windows 事件追蹤 151
81 架構(gòu) 151
811 提供者 151
812 控制器 157
813 消費(fèi)者 159
82 創(chuàng)建消費(fèi)者以識(shí)別惡意的NET 程序集 159
821 創(chuàng)建追蹤會(huì)話 160
822 啟用提供者 162
823 啟動(dòng)追蹤會(huì)話 164
824 停止追蹤會(huì)話 166
825 處理事件 167
826 測(cè)試消費(fèi)者 175
83 規(guī)避基于 ETW 的檢測(cè) 175
831 補(bǔ)丁 176
832 配置修改 176
833 追蹤會(huì)話篡改 176
目錄
6
834 追蹤會(huì)話干擾 177
84 繞過(guò)NET 消費(fèi)者 177
85 結(jié)論 181
第 9 章 掃描器 182
91 防病毒掃描器簡(jiǎn)史 182
92 掃描模式 183
921 按需掃描 183
922 按訪問(wèn)掃描 184
93 規(guī)則集 185
94 案例研究:YARA 186
941 理解 YARA 規(guī)則 186
942 逆向工程規(guī)則 189
95 規(guī)避掃描器簽名 190
96 結(jié)論 193
第 10 章 反惡意軟件掃描接口 194
101 腳本惡意軟件的挑戰(zhàn) 194
102 AMSI 的工作原理 196
1021 探索 PowerShell 的 AMSI 實(shí)現(xiàn) 197
1022 理解 AMSI 的底層工作機(jī)制 200
1023 實(shí)現(xiàn)自定義 AMSI 提供者 205
103 規(guī)避 AMSI 209
1031 字符串混淆 209
1032 AMSI 修補(bǔ) 210
1033 無(wú)補(bǔ)丁 AMSI 繞過(guò) 211
104 結(jié)論 212
目錄
7
第 11 章 早期啟動(dòng)反惡意軟件驅(qū)動(dòng)程序 213
111 ELAM 驅(qū)動(dòng)程序如何保護(hù)啟動(dòng)過(guò)程 214
112 開(kāi)發(fā) ELAM 驅(qū)動(dòng)程序 215
1121 注冊(cè)回調(diào)例程 215
1122 應(yīng)用檢測(cè)邏輯 218
113 驅(qū)動(dòng)程序示例:阻止 Mimidrv 加載 219
114 加載 ELAM 驅(qū)動(dòng)程序 220
1141 簽署驅(qū)動(dòng)程序 221
1142 設(shè)置加載順序 223
115 規(guī)避 ELAM 驅(qū)動(dòng)程序 225
116 令人遺憾的現(xiàn)實(shí) 226
117 結(jié)論 227
第 12 章 微軟 Windows 威脅情報(bào) 228
121 對(duì)提供者進(jìn)行逆向工程 228
1211 檢查提供者和事件是否已啟用 229
1212 確定觸發(fā)的事件 231
122 確定事件的來(lái)源 234
1221 使用 Neo4j 發(fā)現(xiàn)傳感器觸發(fā)點(diǎn) 235
1222 獲取可與 Neo4j 配合使用的數(shù)據(jù)集 236
1223 查看調(diào)用樹(shù) 237
123 消費(fèi) EtwTi 事件 240
1231 理解受保護(hù)進(jìn)程 241
1232 創(chuàng)建受保護(hù)的進(jìn)程 243
1233 處理事件 248
124 規(guī)避 EtwTi 249
1241 并存 249
1242 追蹤句柄覆蓋 249
目錄
8
125 結(jié)論 253
第 13 章 案例研究:面向檢測(cè)的攻擊 254
131 作戰(zhàn)規(guī)則 254
132 初始訪問(wèn) 255
1321 編寫(xiě)載荷 255
1322 傳遞載荷 257
1323 執(zhí)行載荷 258
1324 建立命令與控制 259
1325 規(guī)避內(nèi)存掃描 261
133 持久化 261
134 偵察 264
135 權(quán)限提升 266
1351 獲取頻繁用戶列表 266
1352 劫持文件處理器 267
136 橫向移動(dòng) 274
1361 查找目標(biāo) 274
1362 枚舉共享 275
137 文件外傳 278
138 結(jié)論 279
