"本書從企業(yè)內(nèi)網(wǎng)面臨的各種實(shí)際威脅出發(fā)，引出 Windows 上運(yùn)行的基于主機(jī)的入侵檢測與防御系統(tǒng)，由淺入深地介紹其技術(shù)基礎(chǔ)、原理與源碼實(shí)現(xiàn)。
全書聚焦惡意攻擊的主要起點(diǎn)和過程，即惡意模塊執(zhí)行與惡意腳本執(zhí)行的檢測和防御，介紹 Windows 微過濾驅(qū)動、AMSI 反惡意軟件掃描接口、ETW 日志解析、RPC 遠(yuǎn)程調(diào)用接口過濾等技術(shù)，多層次地構(gòu)筑有效的主機(jī)入侵檢測和防御體系。讀者將了解攻擊者的慣用套路，并從源碼角度了解 Windows 內(nèi)核和用戶態(tài)安全功能的具體實(shí)現(xiàn)，從而對主機(jī)安全防御形成整體而深刻的認(rèn)知，并熟練應(yīng)用于實(shí)際開發(fā)中。
本書的讀者對象包括有一定 C 語言基礎(chǔ)的高等院校師生、計算機(jī)與網(wǎng)絡(luò)安全行業(yè)從業(yè)者、計算機(jī)安全愛好者、企業(yè)內(nèi)網(wǎng)安全管理人員。
"