Python中文网

利用Python开源工具分析恶意代码

cnpython1172

这本利用Python开源工具分析恶意代码图书,是2018-01-01月由人民邮电出版社所出版的,著作者信息: [韩] 赵涏元 等 著,武传海 译,本版是第1次印刷, ISBN:9787115472984,品牌:人民邮电出版社, 这本书的包装是16开平装,所用纸张为胶版纸,全书页数482,字数有万字, 是本值得推荐的Python软件开发图书。

此书内容摘要

恶意代码分析过程中,重要的是掌握恶意代码的特征,此时需要灵活运用线上服务的快速分析数据和主要恶意代码的数据库。《利用Python开源工具分析恶意代码》从应对入侵事故一线业务人员角度出发,介绍了分析恶意代码时的Python 等众多开源工具的使用方法,也给出了可以迅速应用于实际业务的解决方案。

关于此书作者

赵涏元(chogar@naver.com)
目前在KB投资证券公司负责安全工作,管理安全防范项目组(http://www.boanproject.com)。在A3 Security公司做过5年渗透测试咨询顾问,在渗透测试项目管理、网络应用开发、源代码诊断等多种领域执行过漏洞诊断。之后在KTH安全团队负责移动服务和云服务安全、应对侵权事故等业务。与人合著《Kali Linux & BackTrack渗透测试实战》《Android恶意代码分析与渗透测试》等,现与安全防范项目组成员一起活跃在各个领域。

崔祐硕
目前在(株)韩国信息保护教育中心(KISEC,Korean Information Security Education Center)f-NGS研究所负责安全及相关领域研究,并在此基础上举办讲座,不断发表分析报告书。主要研究恶意代码分析及发布、开源工具应用、Web黑客攻防等,致力于技术与人文的结合。曾在(株)Tricubelab分析恶意代码发布、研究多种方法,构建并测试恶意代码相关开源工具,在此过程中积累创意和经验。负责安全防范项目组的恶意代码及漏洞部分研究,与人合著《Kali Linux & BackTrack渗透测试实战》,管理Hakawati Lab(www.hakawati.co.kr)博客。

李导炅
曾在三星SDS负责4年Web漏洞诊断业务,现在NSHC Red Alert团队担任恶意代码分析研究员,同时负责教育内容开发业务。在安全防范项目组负责恶意代码分析项目,关注并研究开源分析与开发。

郑智训
计算机信息通信工程专业在读,曾任蔚山大学信息安全兴趣小组UOU_Unknown组长,目前依然参与小组活动。在安全防范项目组以恶意代码分析项目起步,负责恶意代码分析相关开源工具分析与研究项目。正在研究利用开源工具开发简单高效的恶意代码分析自动化系统。

编辑们的推荐

介绍众多Python开源工具使用方法,立足入侵事故一线应对业务需求。
涵盖大量静态/动态分析示例,轻松掌握并快速应用。
以内存分析为代表讲解分析技巧,实现各领域实操。

利用Python开源工具分析恶意代码图书的目录

1开源软件与Python环境 1
1.1关于开源软件 2
如果管理人员熟悉开源软件 2
1.2Python简介 3
1.3搭建Python环境与程序发布 3
1.3.1在Windows下搭建Python环境 3
1.3.2使用Eclipse与PyDev搭建Python开发环境 7
1.3.3使用pyinstaller发布程序 12
1.4从Github站点下载开源工具 15
1.5安装Python模块 17
1.6小结 19
2通过peframe学习PE文件结构 20
2.1PE文件结构 21
2.1.1DOS Header结构体 23
2.1.2DOS Stub Program 26
2.1.3IMAGE_NT_HEADER结构体 26
2.2分析peframe工具 28
2.2.1IMPORT模块 29
2.2.2预处理部分 30
2.2.3分析main函数 35
2.2.4peframe中的函数 40
2.3恶意代码的特征因子 136
2.3.1杀毒结果 136
2.3.2散列值 137
2.3.3加壳器 138
2.3.4节区名与熵 139
2.3.5API 141
2.3.6字符串 143
2.3.7PE元数据 144
2.4小结 145
3恶意代码分析服务 146
3.1恶意代码分析环境 147
3.1.1自动分析服务种类 147
3.1.2恶意代码分析Live CD介绍 148
3.1.3收集恶意代码 151
3.2线上分析服务 166
3.2.1VirusTotal服务 166
3.2.2应用VirusTotal服务API 173
3.2.3使用URLquery查看感染恶意代码的网站 188
3.2.4使用hybrid-analysis分析恶意代码 190
3.3小结 192
4使用Cuckoo Sandbox 193
4.1Cuckoo Sandbox定义 195
4.2Cuckoo Sandbox特征 196
4.3安装Cuckoo Sandbox 197
4.3.1安装Ubuntu 14.04 LTS 199
4.3.2安装VMware Tools 203
4.3.3镜像站点 205
4.3.4安装辅助包与库 206
4.3.5安装必需包与库 207
4.3.6设置tcpdump 213
4.4安装沙箱 214
4.4.1安装沙箱 214
4.4.2安装增强功能 218
4.4.3安装Python与Python-PIL 219
4.4.4关闭防火墙与自动更新 220
4.4.5网络设置 221
4.4.6设置附加环境 223
4.4.7安装Agent.py 224
4.4.8生成虚拟机备份 228
4.4.9通过复制添加沙箱 229
4.5设置Cuckoo Sandbox 232
4.5.1设置cuckoo.conf 232
4.5.2设置processing.conf 236
4.5.3设置reporting.conf 238
4.5.4设置virtualbox.conf 239
4.5.5设置auxiliary.conf 242
4.5.6设置memory.conf 243
4.6运行Cuckoo Sandbox引擎 247
4.6.1Community.py 248
4.6.2使用最新Web界面 250
4.6.3上传分析文件 252
4.6.4调试模式 255
4.6.5使用经典Web界面 256
4.7Cuckoo Sandbox报告 257
4.7.1JSONdump报告 257
4.7.2HTML报告 258
4.7.3MMDef报告 259
4.7.4MAEC报告 260
4.8Api.py分析 262
4.8.1POST-/tasks/create/file 263
4.8.2POST-/tasks/create/url 264
4.8.3GET- /tasks/list 264
4.8.4GET-/tasks/view 266
4.8.5GET- /tasks/delete 267
4.8.6GET-/tasks/report 267
4.8.7GET-/tasks/screenshots 269
4.8.8GET-/files/view 269
4.8.9GET-/files/get 270
4.8.10GET-/pcap/get 270
4.8.11GET-/machine/list 270
4.8.12GET-/machines/view 272
4.8.13GET-/cuckoo/status 272
4.9Cuckoo Sandbox实用工具 273
4.9.1clean.sh 273
4.9.2process.py 274
4.9.3stats.py 274
4.9.4submit.py 275
4.10分析结果 275
4.10.1Quick Overview 276
4.10.2Static Analysis 279
4.10.3Behavioral Analysis 280
4.10.4Network Analysis 281
4.10.5Dropped Files 282
4.11使用Volatility的内存分析结果 282
4.11.1Process List 283
4.11.2Services 284
4.11.3Kernel Modules 285
4.11.4Device Tree 285
4.11.5Code Injection 286
4.11.6Timers 286
4.11.7Messagehooks 287
4.11.8API Hooks 287
4.11.9Callbacks 288
4.11.10Yarascan 288
4.11.11SSDT 288
4.11.12IDT 289
4.11.13GDT 289
4.12Admin功能 290
4.13比较功能 290
4.14小结 292
5恶意代码详细分析 293
5.1查看Cuckoo Sandbox分析结果 294
5.2线上分析报告 295
5.3手动详细分析 296
5.4小结 323
6其他分析工具 324
6.1使用viper分析与管理二进制文件 325
6.1.1安装viper 325
6.1.2使用viper 326
6.1.3viper命令 327
6.1.4模块 337
6.2使用ClamAV对恶意代码分类 354
6.3使用pyew管理与分析恶意代码 363
6.3.1查看帮助 365
6.3.2查看导入表 368
6.3.3在VirusTotal中检测文件 370
6.3.4查看URL信息 371
6.3.5检测PDF文件 373
6.4使用pescanner检测恶意代码 379
6.4.1使用Yara签名进行检测 381
6.4.2检测可疑API函数 383
6.4.3查看熵值 385
6.5使用PEStudio分析可疑文件 385
6.6分析网络包 388
6.6.1使用captipper分析网络包 388
6.6.2使用pcap-analyzer分析网络包 390
6.6.3使用net-creds获取重要信息 393
6.7使用各种开源工具分析恶意代码文件 395
6.8使用Docker容器 402
6.8.1Docker定义 402
6.8.2关于Docker Hub 403
6.8.3使用REMnux Docker镜像 405
6.9小结 408
7利用内存分析应对入侵事故 409
7.1Volatility简介与环境搭建 410
参考社区(维基页面) 415
7.2使用Volatility分析恶意代码 416
7.3开源工具:TotalRecall 424
7.4使用Redline分析内存 433
7.5Volatility插件使用与推荐 441
7.6使用Rekall进行内存取证分析 445
7.7使用VolDiff比较内存分析结果 462
7.8使用DAMM比较内存分析结果 471
7.9恶意代码内存分析示例 474
7.10通过攻击模拟了解内存转储用法 477
7.11小结 482

部分内容试读

暂无.

关于此书评价

暂无.

书摘内容

暂无.

利用Python开源工具分析恶意代码最新最全的试读、书评、目录、简介信息由Python中文网整理提供。

上一篇:没有了

下一篇:Python参考手册(第4版)