.1.5.3　寄生术 16
1.5.4　因特网蠕虫 16
1.5.5　利用Web浏览器漏洞 17
1.5.6　攻破服务器 18
1.5.7　联属网络营销 18
1.6　感染点和攻破点、阻塞点以及应对措施 19
1.7　犯罪软件的安装 22
1.8　犯罪软件的用途 23
1.8.1　信息盗窃 24
1.8.2　传送垃圾邮件 25
1.8.3　拒绝服务攻击 25
1.8.4　点击欺诈 26
1.8.5　数据勒索 26
1.8.6　信息合并 26
1.9　其他章节的组织原则 27
第2章　编码错误分类法 28
2.1　三大要素 28
2.1.1　连通性 29
2.1.2　复杂性 29
2.1.3　扩展性 30
2.2　七个有害界 30
2.3　门 35
2.4　需要更多门 39
2.4.1　一个完整的例子 39
2.4.2　了解并深入分析（分类法） 39
第3章　犯罪软件与对等网络 42
3.1　对等网络中的恶意软件 42
3.1.1　简介 42
3.1.2　数据收集 44
3.1.3　恶意软件的蔓延 45
3.1.4　过滤恶意软件 47
3.1.5　单一标准的过滤器 48
3.1.6　单一标准过滤器在各种网络中的应用 55
3.1.7　复合过滤器 56
3.1.8 结论 57
3.2　人为传播的犯罪软件 58
3.2.1　相关问题 58
3.2.2　感染向量 59
3.2.3　个案研究：签名Applet 59
第4章　小型设备中的犯罪软件 64
4.1　通过USB驱动器传播犯罪软件 64
4.1.1　实例：盗窃Windows密码 65
4.1.2　实例：深入分析 66
4.1.3　DMA漏洞 67
4.1.4　评估风险 67
4.1.5　应对措施 68
4.2　无线射频识别犯罪软件 69
4.2.1　无线射频识别 69
4.2.2　RFID的安全问题 71
4.2.3　RFID犯罪软件的类型 72
4.2.4　应对措施与其他注意事项 75
4.3　移动设备 76
第5章　固件中的犯罪软件 79
5.1　通过固件更新传播 79
5.1.1　嵌入式控制系统：无处不在、易于变化 80
5.1.2　家庭无线接入点 82
5.1.3　配置与更新路由器固件 83
5.1.4　标准安全措施 84
5.1.5　脆弱的安全配置成为惯例 86
5.1.6　各种攻击 88
5.1.7　攻击向量 93
5.1.8　防御措施 96
5.1.9 结论 99
5.2　WiFi恶意软件流行感染建模 99
5.2.1　基本方法 100
5.2.2　路线图 101
5.2.3　感染路由器 101
5.2.4　感染网络 103
5.2.5　感染模型 106
5.2.6　人为流行感染的传播 110
5.2.7　深入讨论 115
第6章　浏览器中的犯罪软件 118
6.1　交易生成器：Web rootkit 118
6.1.1　构建交易生成器 119
6.1.2　隐密型交易生成器 120
6.1.3　防御措施 120
6.1.4 结论 122
6.2　偷渡式域欺骗 122
6.2.1　偷渡式域欺骗攻击流程 122
6.2.2　前期的相关研究 123
6.2.3　攻击细节 124
6.2.4　其他组件 126
6.2.5　防范措施 127
6.2.6 结论 127
6.3　利用JavaScript进行点击欺诈 128
6.3.1　术语及定义 128
6.3.2　构成要素 129
6.3.3　制作恶意广告 130
6.3.4　隐藏攻击 134
6.3.5　用户为何访问相关站点 136
6.3.6　检测及防止滥用 137
6.3.7　简要经济学分析 138
6.3.8　结论 139
第7章　bot网络 141
7.1　简介 141
7.1.1　评估bot网络问题所面临的挑战 142
7.1.2　bot网络规模衡量标准 143
7.2　bot网络面向网络的特性 144
7.2.1　bot网络的通信特点 144
7.2.2　通信协议 148
7.2.3　网络级适应性 157
7.3　bot的软件特性 159
7.3.1　bot的一般软件特性 159
7.3.2　保持适应性的技巧 159
7.3.3　bot网络的应用 162
7.4　Web bot及bot网络的一般发展趋势 166
7.4.1　bot网络2.0：基于浏览器的bot 166
7.4.2　bot网络的发展趋势 170
7.5　防范措施 172
7.6 结论 174
第8章　rootkit 175
8.1　简介 175
8.2　rootkit的进化过程 176
8.3　用户模式Windows rootkit 178
8.3.1　将rootkit加载到目标进程中 178
8.3.2　修改执行路径 181
8.4　内核模式rootkit技术 183
8.4.1　中断描述符表钩子 184
8.4.2　系统调用钩子 185
8.4.3　系统服务描述符表钩子 186
8.4.4　基于线程的SSDT钩子 187
8.4.5　系统调用代码补丁 189
8.4.6　分层设备 189
8.4.7　IRP补丁 192
8.4.8　内核对象直接操作 194
8.4.9　向调度程序隐藏线程 195
8.4.10　重定向虚拟内存访问 195
8.4.11　不使用SCM加载内核驱动程序 198
8.5　Linux rootkit 200
8.5.1　可执行程序替换rootkit 200
8.5.2　可加载内核模块rootkit 200
8.5.3　运行时间内核补丁rootkit 201
8.5.4　VFS rootkit 202
8.6　BIOS rootkit 203
8.7　PCI rootkit 204
8.8　基于虚拟机的rootkit 205
8.8.1　基于软件的VMBR 205
8.8.2　硬件辅助的VMBR 206
8.9　rootkit防御 208
8.9.1　阻止rootkit 208
8.9.2　rootkit检测 209
第9章　虚拟世界与欺诈 211
9.1　简介 211
9.1.1　欺诈与游戏 211
9.1.2　作弊与游戏 212
9.2　以MMOG作为欺诈领域 213
9.2.1　MMOG的功能性概述 213
9.2.2　MMOG的体系架构概述 215
9.3　电子欺诈 217
9.3.1　网络钓鱼和域欺骗 217
9.3.2　误导型应用程序 218
9.4　MMOG中的欺诈 218
9.4.1　MMOG的扩展安全模型 219
9.4.2　MMOG安全指导原则 219
9.4.3　防范措施 223
9.5 结论 224
第10章　网络犯罪与政治 225
10.1　域名滥用 226
10.1.1　背景 227
10.1.2　2008年联邦选举中的域名投机 228
10.1.3　域名停放 232
10.1.4　恶意意图 233
10.2　针对竞选的网络钓鱼 236
10.3　恶意代码与安全风险软件 239
10.3.1　广告软件 240
10.3.2　间谍软件 240
10.3.3　恶意代码：键击记录器与犯罪软件 241
10.4　拒绝服务攻击 242
10.5　认知性选举攻击 242
10.6　公用选民信息来源：FEC数据库 244
10.7　拦截语音通信 245
10.8 结论 247
第11章　在线广告欺诈 249
11.1　历史 249
11.2　收入模式 250
11.2.1　基于印象的模式 250
11.2.2　基于点击的模式 251
11.2.3　基于行动的模式 252
11.2.4　辛迪加 253
11.2.5　推荐交易 253
11.3　垃圾类型 254
11.3.1　印象垃圾 254
11.3.2　点击垃圾 255
11.3.3　转换垃圾 256
11.4　攻击形式 256
11.4.1　人为点击 256
11.4.2　机器人点击 260
11.5　防范措施 262
11.5.1　预防 263
11.5.2　检测 263
11.5.3　遏制 265
11.6　点击欺诈审计 266
11.6.1　征兆的机密性 266
11.6.2　数据限制 267
11.6.3　隐私 269
11.7　点击欺诈经济学 269
11.8 结论 270
第12章　犯罪软件商业模式 271
12.1 犯罪软件分类 271
12.1.1 简介 271
12.1.2 广告软件 273
12.1.3 间谍软件和木马 279
12.1.4 bot与bot网络 288
12.1.5 结论 293
12.2 深入研究广告软件 294
12.2.1 在线广告平台 295
12.2.2 广告的恶意面 297
第13章　安全培训 301
13.1 培训的重要性 301
13.1.1 培训的作用 301
13.1.2 进行安全培训为何困难重重 302
13.1.3 一些现有的培训方法 305
13.1.4 现行方法存在的一些问题 306
13.1.5 培训目标 308
13.2 个案研究：漫画式培训方法 309
13.3 结论 313
第14章　秘密代码与法律 314
14.1 简介 314
14.2 秘密代码的特点 315
14.2.1 秘密下载、安装或运行 315
14.2.2 欺骗与假冒 315
14.2.3 收集并传送个人信息 316
14.2.4 干扰计算机运行 316
14.2.5 秘密软件的顽固性 316
14.2.6 秘密软件造成的其他破坏 317
14.2.7 利用拦截到的信息 317
14.3 主要的可适用法律 317
14.3.1 《计算机欺诈与滥用法案》 327
14.3.2 《联邦贸易委员会法案》 328
14.3.3 侵犯动产 330
14.3.4 州反间谍软件法律 332
14.4 次要的可适用法律 335
14.4.1 《电子通信隐私法案》 335
14.4.2 《禁止垃圾邮件法案》（CAN-SPAM法案） 338
14.4.3 知识产权法律 339
14.4.4 身份盗窃与欺诈法律 339
14.4.5 假托法律 341
14.4.6 州盗窃法律 342
14.5 结论 342
第15章　犯罪软件与可信计算 344
15.1 简介 344
15.2 攻击分析 345
15.3 用可信计算打击犯罪软件 346
15.3.1 完整性度量与存储 346
15.3.2 证明 347
15.3.3 保护存储：绑定与密封 348
15.3.4 安全引导 348
15.3.5 硬件强制的隔离 349
15.3.6 可信计算：万能解决方案 349
15.4 个案研究 350
15.4.1 确保信用卡交易安全 350
15.4.2 内容保护 352
15.5 结论 354
第16章　技术防御手段 355
16.1 个案研究：间谍软件深层防御 356
16.1.1 简介 356
16.1.2 数据包疫苗 359
16.1.3 AGIS 360
16.1.4 SpyShield 361
16.1.5 结论 363
16.2 防范间谍软件的鉴别机制 363
16.2.1 简介 363
16.2.2 使用现有的方法防范犯罪软件 364
16.2.3 基于喜好的生活问题 370
16.2.4 适用的生活问题的特点 372
16.2.5 搜寻适用的生活问题 373
16.2.6 确定出错率 374
16.2.7 问题及其熵 376
16.2.8 结论 383
16.3 以虚拟机作为一种犯罪软件防御机制 383
第17章　犯罪软件的发展趋势 388
17.1 犯罪软件、恐怖软件、故意破坏软件与勒索软件 388
17.2 新的应用程序与平台 389
17.2.1 信誉系统、拍卖站点与赌博应用程序 389
17.2.2 电话、汽车与可穿戴计算机 391
17.3 利用社交网络完成攻击 391
17.4 传播方式的改变 392
17.5 第三方应用程序 392
17.6 电子社会的兴起：我们更易于受到攻击吗 392
17.7 总体发展趋势 393
参考文献①... 394