无码视频在线播放,vr亚洲成年网址在线观看

端點(diǎn)檢測(cè)與響應(yīng)（endpoint detection and response，EDR）是一種網(wǎng)絡(luò)安全技術(shù)，專(zhuān)注于監(jiān)控、檢測(cè)和應(yīng)對(duì)終端設(shè)備上的可疑活動(dòng)。通過(guò)持續(xù)收集和分析端點(diǎn)行為數(shù)據(jù)，幫助組織及時(shí)發(fā)現(xiàn)潛在威脅，并提供調(diào)查和響應(yīng)工具，以防止攻擊擴(kuò)散和數(shù)據(jù)泄露。

本書(shū)聚焦 EDR 在 Windows 操作系統(tǒng)上的工作原理，圍繞 EDR 攻防展開(kāi)，深入探討EDR 傳感器或用于收集特定類(lèi)型數(shù)據(jù)的組件。本書(shū)共 13 章，具體內(nèi)容包括 EDR 架構(gòu)、函數(shù)掛鉤 DLL、進(jìn)程與線(xiàn)程創(chuàng)建通知、對(duì)象通知、鏡像加載與注冊(cè)表通知、文件系統(tǒng)微篩選器驅(qū)動(dòng)程序、網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)程序、Windows 事件追蹤、掃描器、反惡意軟件掃描接口、早期啟動(dòng)反惡意軟件驅(qū)動(dòng)程序、微軟 Windows 威脅情報(bào)，以及案例研究等。

本書(shū)適合對(duì)終端檢測(cè)技術(shù)感興趣，尤其是掌握基礎(chǔ)滲透測(cè)試技術(shù)、了解 Windows 內(nèi)部機(jī)制和基礎(chǔ)知識(shí)的讀者閱讀。

目錄

第 1 章 EDR 架構(gòu) 1

11 EDR 的組件 1

111 代理 1

112 遙測(cè)數(shù)據(jù) 2

113 傳感器 3

114 檢測(cè) 3

12 規(guī)避 EDR 的挑戰(zhàn) 4

13 識(shí)別惡意活動(dòng) 5

131 考慮上下文 5

132 脆弱檢測(cè)與魯棒檢測(cè)的應(yīng)用 6

133 探索彈性檢測(cè)規(guī)則 7

14 代理設(shè)計(jì) 9

141 基礎(chǔ)設(shè)計(jì) 9

142 中級(jí)設(shè)計(jì) 10

143 高級(jí)設(shè)計(jì) 11

15 繞過(guò)類(lèi)型 12

16 關(guān)聯(lián)規(guī)避技術(shù)：一次攻擊示例 13

17 總結(jié) 15

第 2 章函數(shù)掛鉤 DLL 16

21 函數(shù)掛鉤的工作原理 16

211 使用 Microsoft Detours 實(shí)現(xiàn)掛鉤 18

目錄

2

212 注入 DLL 21

22 檢測(cè)函數(shù)掛鉤 22

23 規(guī)避函數(shù)掛鉤 24

231 直接系統(tǒng)調(diào)用 24

232 動(dòng)態(tài)解析系統(tǒng)調(diào)用編號(hào) 27

233 重新映射 ntdlldll 28

24 總結(jié) 32

第 3 章進(jìn)程與線(xiàn)程創(chuàng)建通知 33

31 通知回調(diào)例程的工作原理 33

32 進(jìn)程通知 34

321 注冊(cè)進(jìn)程回調(diào)例程 35

322 查看系統(tǒng)上注冊(cè)的回調(diào)例程 36

323 收集進(jìn)程創(chuàng)建信息 37

33 線(xiàn)程通知 39

331 注冊(cè)線(xiàn)程回調(diào)例程 39

332 檢測(cè)遠(yuǎn)程線(xiàn)程創(chuàng)建 40

34 規(guī)避進(jìn)程和線(xiàn)程創(chuàng)建回調(diào) 42

341 命令行篡改 42

342 偽造父進(jìn)程 ID 46

343 進(jìn)程鏡像修改 50

35 一個(gè)進(jìn)程注入案例研究：fork&run 60

36 結(jié)論 62

第 4 章對(duì)象通知 63

41 對(duì)象通知的工作原理 63

411 注冊(cè)新的回調(diào) 63

目錄

3

412 監(jiān)視新的和重復(fù)的進(jìn)程句柄請(qǐng)求 65

42 檢測(cè) EDR 正在監(jiān)視的對(duì)象 67

43 檢測(cè)驅(qū)動(dòng)程序觸發(fā)后的行為 69

44 繞過(guò)認(rèn)證攻擊中的對(duì)象回調(diào) 71

441 執(zhí)行句柄竊取 72

442 競(jìng)速回調(diào)例程 77

45 結(jié)論 82

第 5 章鏡像加載與注冊(cè)表通知 83

51 鏡像加載通知的工作原理 83

511 注冊(cè)回調(diào)例程 83

512 查看系統(tǒng)上注冊(cè)的回調(diào)例程 84

513 收集鏡像加載信息 85

52 使用隧道工具規(guī)避鏡像加載通知 88

53 使用鏡像加載通知觸發(fā) KAPC 注入 90

531 理解 KAPC 注入 90

532 獲取 DLL 加載函數(shù)指針 91

533 準(zhǔn)備注入 92

534 創(chuàng)建 KAPC 結(jié)構(gòu)體 93

535 APC 隊(duì)列 94

54 防止 KAPC 注入 95

55 注冊(cè)表通知的工作原理 96

551 注冊(cè)注冊(cè)表通知 98

552 緩解性能挑戰(zhàn) 100

56 規(guī)避注冊(cè)表回調(diào) 102

57 使用回調(diào)條目覆蓋規(guī)避 EDR 驅(qū)動(dòng)程序 106

58 結(jié)論 107

目錄

4

第 6 章文件系統(tǒng)微篩選器驅(qū)動(dòng)程序 108

61 傳統(tǒng)過(guò)濾器和過(guò)濾器管理器 108

62 微篩選器架構(gòu) 110

63 編寫(xiě)微篩選器 113

631 開(kāi)始注冊(cè) 113

632 定義前操作回調(diào) 115

633 定義后操作回調(diào) 118

634 定義可選回調(diào) 119

635 激活微篩選器 119

64 管理微篩選器 120

65 使用微篩選器檢測(cè)對(duì)手的戰(zhàn)術(shù) 121

651 文件檢測(cè) 121

652 命名管道檢測(cè) 122

66 規(guī)避微篩選器 124

661 卸載 124

662 預(yù)防 126

663 干擾 127

67 結(jié)論 127

第 7 章網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)程序 128

71 基于網(wǎng)絡(luò)與終端的監(jiān)控 128

72 傳統(tǒng)網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范驅(qū)動(dòng)程序 130

73 Windows 過(guò)濾平臺(tái) 131

731 過(guò)濾引擎 132

732 過(guò)濾仲裁 132

733 回調(diào)驅(qū)動(dòng)程序 133

74 使用網(wǎng)絡(luò)過(guò)濾器檢測(cè)對(duì)手的戰(zhàn)術(shù) 133

741 打開(kāi)過(guò)濾引擎會(huì)話(huà) 134

目錄

5

742 注冊(cè)回調(diào) 134

743 將回調(diào)函數(shù)添加到過(guò)濾引擎 135

744 添加新過(guò)濾器對(duì)象 136

745 分配權(quán)重和子層 139

746 添加安全描述符 140

75 通過(guò)網(wǎng)絡(luò)過(guò)濾器檢測(cè)對(duì)手戰(zhàn)術(shù) 141

751 基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù) 142

752 元數(shù)據(jù) 144

753 層數(shù)據(jù) 145

76 繞過(guò)網(wǎng)絡(luò)過(guò)濾 146

77 小結(jié) 150

第 8 章 Windows 事件追蹤 151

81 架構(gòu) 151

811 提供者 151

812 控制器 157

813 消費(fèi)者 159

82 創(chuàng)建消費(fèi)者以識(shí)別惡意的NET 程序集 159

821 創(chuàng)建追蹤會(huì)話(huà) 160

822 啟用提供者 162

823 啟動(dòng)追蹤會(huì)話(huà) 164

824 停止追蹤會(huì)話(huà) 166

825 處理事件 167

826 測(cè)試消費(fèi)者 175

83 規(guī)避基于 ETW 的檢測(cè) 175

831 補(bǔ)丁 176

832 配置修改 176

833 追蹤會(huì)話(huà)篡改 176

目錄

6

834 追蹤會(huì)話(huà)干擾 177

84 繞過(guò)NET 消費(fèi)者 177

85 結(jié)論 181

第 9 章掃描器 182

91 防病毒掃描器簡(jiǎn)史 182

92 掃描模式 183

921 按需掃描 183

922 按訪問(wèn)掃描 184

93 規(guī)則集 185

94 案例研究：YARA 186

941 理解 YARA 規(guī)則 186

942 逆向工程規(guī)則 189

95 規(guī)避掃描器簽名 190

96 結(jié)論 193

第 10 章反惡意軟件掃描接口 194

101 腳本惡意軟件的挑戰(zhàn) 194

102 AMSI 的工作原理 196

1021 探索 PowerShell 的 AMSI 實(shí)現(xiàn) 197

1022 理解 AMSI 的底層工作機(jī)制 200

1023 實(shí)現(xiàn)自定義 AMSI 提供者 205

103 規(guī)避 AMSI 209

1031 字符串混淆 209

1032 AMSI 修補(bǔ) 210

1033 無(wú)補(bǔ)丁 AMSI 繞過(guò) 211

104 結(jié)論 212

目錄

7

第 11 章早期啟動(dòng)反惡意軟件驅(qū)動(dòng)程序 213

111 ELAM 驅(qū)動(dòng)程序如何保護(hù)啟動(dòng)過(guò)程 214

112 開(kāi)發(fā) ELAM 驅(qū)動(dòng)程序 215

1121 注冊(cè)回調(diào)例程 215

1122 應(yīng)用檢測(cè)邏輯 218

113 驅(qū)動(dòng)程序示例：阻止 Mimidrv 加載 219

114 加載 ELAM 驅(qū)動(dòng)程序 220

1141 簽署驅(qū)動(dòng)程序 221

1142 設(shè)置加載順序 223

115 規(guī)避 ELAM 驅(qū)動(dòng)程序 225

116 令人遺憾的現(xiàn)實(shí) 226

117 結(jié)論 227

第 12 章微軟 Windows 威脅情報(bào) 228

121 對(duì)提供者進(jìn)行逆向工程 228

1211 檢查提供者和事件是否已啟用 229

1212 確定觸發(fā)的事件 231

122 確定事件的來(lái)源 234

1221 使用 Neo4j 發(fā)現(xiàn)傳感器觸發(fā)點(diǎn) 235

1222 獲取可與 Neo4j 配合使用的數(shù)據(jù)集 236

1223 查看調(diào)用樹(shù) 237

123 消費(fèi) EtwTi 事件 240

1231 理解受保護(hù)進(jìn)程 241

1232 創(chuàng)建受保護(hù)的進(jìn)程 243

1233 處理事件 248

124 規(guī)避 EtwTi 249

1241 并存 249

1242 追蹤句柄覆蓋 249

目錄

8

125 結(jié)論 253

第 13 章案例研究：面向檢測(cè)的攻擊 254

131 作戰(zhàn)規(guī)則 254

132 初始訪問(wèn) 255

1321 編寫(xiě)載荷 255

1322 傳遞載荷 257

1323 執(zhí)行載荷 258

1324 建立命令與控制 259

1325 規(guī)避內(nèi)存掃描 261

133 持久化 261

134 偵察 264

135 權(quán)限提升 266

1351 獲取頻繁用戶(hù)列表 266

1352 劫持文件處理器 267

136 橫向移動(dòng) 274

1361 查找目標(biāo) 274

1362 枚舉共享 275

137 文件外傳 278

138 結(jié)論 279

你還可能感興趣

我要評(píng)論