每日一书丨Rootkit和Bootkit：现代恶意软件逆向分析和下一代威胁

网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序，攻防之战远没有结束！

微软Windows操作系统的防御能力演进，使得Rootkit和Bootkit设计的几个主要分支陷入了死胡同。

以BIOS和芯片组固件为攻击目标的新型恶意软件出现，这已经超出了当前Windows安全防护软件的能力范围。

越来越多的安全工程师对高级可持续恶意软件威胁如何绕过操作系统级别的安全机制感兴趣。那么，如何发现并逆向、有效分析这些高级威胁？

这里我们介绍一本新书《Rootkit和Bootkit：现代恶意软件逆向分析和下一代威胁》。

书中的每一部分都反映了高级威胁发展演进的新阶段，包括从它们一开始仅作为概念证明出现的阶段，到威胁发动者展开投递传播的阶段，最后到它们在更隐蔽且有针对性的攻击中被利用的阶段。

本书的另一个主题是针对操作系统启动引导过程的早期阶段的逆向工程技术的开发。一般来说，在PC启动引导过程的长链条中，一段代码运行的时间越早，它就越不容易被观察到。长期以来，这种可观察性的缺乏一直与安全性在概念上有所混淆。然而，当我们深入探究这些突破底层操作系统技术（如Secure Boot）的Bootkit和BIOS注入威胁的取证方法时，我们发现在这里通过隐匿实现的安全性并不比计算机科学的其他领域更好。短时间后（在互联网时间范围内越来越短），相对于防御者而言，通过隐匿实现安全的方法对攻击者更有利。这一观点在其他有关这一主题的书籍中还没有得到充分的阐述，所以我们试图填补这一空白。

读者受众

• 计算机恶意软件分析师

• 嵌入式系统开发人员

• 云安全专家

• 感兴趣的技术爱好者

本书特色

• 列举丰富的真实案例，聚焦关键代码，注意事项明确。

• 有丰富的配套材料，如所需使用的工具、IDA Pro插件的源代码。

• 受众广泛，不仅面向计算机恶意软件分析师，嵌入式系统开发人员和云安全专家也可从本书受益。

这本书有什么干货

• 在第一部分中，我们将探索Rootkit，还将介绍Windows内核的内部机理—内核向来是Rootkit运行的场所。

• 在第二部分中，我们将重点转向操作系统的引导过程和在Windows加强其内核模式后开发的Bootkit。我们将从攻击者的角度剖析系统引导过程的各个阶段，特别关注新的UEFI固件方案及其漏洞。

• 在第三部分中，我们将重点讨论针对BIOS和固件的经典操作系统Rootkit攻击和现代Bootkit攻击的取证工作。

如何阅读本书

书中讨论的所有威胁样本以及其他配套材料都可以在https://nostarch.com/rootkits/找到。这个站点还给出了Bootkit分析所需要使用的工具，例如我们在最初研究中所使用的IDA Pro插件的源代码。

插图展示：

图 2-12 Festi 垃圾邮件插件工作流程图

图 6-3　启用 VSM 和 Device Guard 的引导过程

图 12-6 Bootkit 的工作流

 声明：本文转自“华章计算机”公众号。