第1章 Rootkit概述

1.1 Rootkit的由来

1.2 Rootkit的定义

1.3 Rootkit的原理

1.3.1 计算机系统的抽象

1.3.2 Rootkit设计理念

1.4 Rootkit的类型及其演化

1.5 本章小结

第2章 硬件系统

2.1 保护模式概述

2.2 保护模式执行环境

2.3 保护模式CPU特权级

2.4 保护模式内存分段与分页

2.5 内存访问控制体系

2.6 本章小结

第3章 软件系统

3.1 Windows系统的设计原则

3.2 Windows系统的体系结构

3.3 Windows的分段与分页

3.4 Windows系统服务调用机制

3.4.1 中断分发

3.4.2 异常分发

3.4.3 系统服务分发

3.5 本章小结

第4章 Windows内核驱动程序

4.1 概述

4.2 重要数据结构

4.2.1 IRP

4.2.2 I/O堆栈

4.2.3 IRP的传递与完成

4.3 WDM驱动的基本结构

4.3.1 DriverEntry

4.3.2 AddDevice

4.3.3 IRP处理例程

4.3.4 Unload

4.3.5 内核驱动程序实例

4.4 本章小结

第5章 用户层Rootkit

5.1 用户层Rootkit概述

5.2 用户层Rootkit技术

5.2.1 IAT钩子

5.2.2 Inline Function钩子

5.2.3 DLL注入

5.2.4 DLL劫持

5.3 本章小结

第6章 内核层Rootkit

6.1 内核层Rootkit概述

6.2 内核层Rootkit技术

6.2.1 系统表格钩子

6.2.2 映像修改

6.2.3 过滤驱动程序

6.2.4 直接内核对象操纵（DKOM）

6.3 本章小结

第7章 底层Rootkit

7.1 扩展的处理器模式

7.1.1 系统管理模式

7.1.2 虚拟机技术

7.2 固件

7.2.1 板载BIOS

7.2.2 扩展ROM

7.2.3 ACPI组件

7.2.4 UEFI组件

7.3 硬件

7.4 本章小结

第8章 Rootkit检测与取证分析

8.1 Rootkit检测概述

8.2 Rootkit检测技术

8.2.1 IAT Hook检测示例

8.2.2 IRP Hook检测示例

8.2.3 IDT Hook检测示例

8.2.4 MSR Hook检测示例

8.2.5 SSDT Hook检测示例

8.2.6 Inline Hook检测示例

8.2.7 基于免疫的Rootkit检测技术

8.3 Rootkit检测工具

8.4 Rootkit取证分析

8.4.1 证据的获取与存储

8.4.2 取证分析

8.5 Rootkit取证工具

8.5.1 磁盘镜像工具

8.5.2 内存镜像工具

8.5.3 内存分析工具

8.5.4 进程转储工具

8.5.5 时间轴取证工具

8.5.6 证据收集工具

8.5.7 电子邮件取证工具

8.5.8 大数据取证分析工具

8.6 本章小结

第9章 Rootkit的未来

9.1 Rootkit的发展趋势

9.2 Rootkit的防御方向

参考文献