好书推荐丨Rootkit和Bootkit：现代恶意软件逆向分析和下一代威胁

导读：

网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序，攻防之战远没有结束！

微软Windows操作系统的防御能力演进，使得Rootkit和Bootkit设计的几个主要分支陷入了死胡同。 以BIOS和芯片组固件为攻击目标的新型恶意软件出现，这已经超出了当前Windows安全防护软件的能力范围。

越来越多的安全工程师对高级可持续恶意软件威胁如何绕过操作系统级别的安全机制感兴趣。那么，如何发现并逆向、有效分析这些高级威胁？

这里我们介绍一本新书《Rootkit和Bootkit：现代恶意软件逆向分析和下一代威胁》。

读者受众

• 计算机恶意软件分析师
• 嵌入式系统开发人员
• 云安全专家
• 感兴趣的技术爱好者

本书特色

• 列举丰富的真实案例，聚焦关键代码，注意事项明确。
• 有丰富的配套材料，如所需使用的工具、IDA Pro插件的源代码。
• 受众广泛，不仅面向计算机恶意软件分析师，嵌入式系统开发人员和云安全专家也可从本书受益。

这本书有什么干货

• 在第一部分中，我们将探索Rootkit，还将介绍Windows内核的内部机理—内核向来是Rootkit运行的场所。
• 在第二部分中，我们将重点转向操作系统的引导过程和在Windows加强其内核模式后开发的Bootkit。我们将从攻击者的角度剖析系统引导过程的各个阶段，特别关注新的UEFI固件方案及其漏洞。
• 在第三部分中，我们将重点讨论针对BIOS和固件的经典操作系统Rootkit攻击和现代Bootkit攻击的取证工作。

如何阅读本书

书中讨论的所有威胁样本以及其他配套材料都可以在https://nostarch.com/rootkits/找到。这个站点还给出了Bootkit分析所需要使用的工具，例如我们在最初研究中所使用的IDA Pro插件的源代码。

插图展示

图 2-12 Festi 垃圾邮件插件工作流程图

图 6-3　启用 VSM 和 Device Guard 的引导过程