🧠 این کتاب یک منبع تخصصی و عمیق برای درک و مقابله با پیشرفته‌ترین تهدیدهای مخفی در سیستم‌هاست؛ تهدیدهایی که در لایه‌های بسیار پایین سیستم مثل boot process و حتی UEFI firmware پنهان می‌شن. نویسنده‌ها با تکیه بر تحقیقات واقعی، مسیر تکامل malware رو از rootkitهای قدیمی تا bootkitها و ایمپلنت‌های UEFI مدرن بررسی می‌کنن.

⚙️ تمرکز اصلی کتاب روی اینه که بفهمی سیستم‌عامل چطور بوت میشه و مهاجم‌ها چطور از همین فرآیند برای persistence و evasion استفاده می‌کنن. از rootkitهایی مثل TDL3 شروع می‌کنه و تا تهدیدهای پیچیده‌تر مثل UEFI implants جلو میره.

🔍 در طول کتاب، هم تحلیل تئوری داری و هم کار عملی روی نمونه‌های واقعی malware؛ جایی که با ابزارهای حرفه‌ای و تکنیک‌های reverse engineering رفتار بدافزار رو از داخل سیستم بررسی می‌کنی.

🧰 در این مسیر یاد می‌گیری:

🧠 معماری کامل بوت ویندوز در حالت‌های 32-bit، 64-bit و UEFI و نقاط آسیب‌پذیر اون

🔐 مکانیزم‌های امنیتی بوت مثل Secure Boot، Virtual Secure Mode (VSM) و Device Guard

🧪 تکنیک‌های static و dynamic analysis برای بررسی bootkitها و rootkitهای واقعی مثل Rovnix، Carberp، TDL3 و Festi

🧰 استفاده از ابزارهایی مثل IDA Pro برای مهندسی معکوس

🖥️ تحلیل با emulation و virtualization با ابزارهایی مثل Bochs و VMware Workstation

🧬 بررسی حملات روی BIOS و UEFI و نحوه طراحی detection برای این تهدیدها

🧱 استفاده از Intel Chipsec برای forensic analysis سطح firmware

📚 فهرست مطالب

1. چی هست Rootkit: مطالعه موردی TDL3

2. Rootkit Festi: پیشرفته‌ترین bot برای spam و DDoS

3. مشاهده و تحلیل آلودگی Rootkit

4. تکامل Bootkit

5. مبانی فرآیند بوت سیستم‌عامل

6. امنیت فرآیند بوت

7. تکنیک‌های آلودگی Bootkit

8. تحلیل استاتیک Bootkit با IDA Pro

9. تحلیل داینامیک Bootkit با Emulation و Virtualization

10. تکامل تکنیک‌های آلودگی MBR و VBR: Olmasco

11. IPL Bootkitها: Rovnix و Carberp

12. Gapz: آلودگی پیشرفته VBR

13. ظهور Ransomware در MBR

14. بوت UEFI در مقابل MBR/VBR

15. Bootkitهای مدرن UEFI

16. آسیب‌پذیری‌های Firmware UEFI

17. نحوه کار Secure Boot

18. روش‌های تحلیل فایل‌سیستم‌های مخفی

19. تحلیل و forensic فریمور BIOS/UEFI

📝 نقد و بررسی

💬 «این کتاب یک مرجع عمیق و پر از کد و جزئیاته که برای مهندس‌ها و ادمین‌هایی که با این نوع تهدیدها سروکار دارن بسیار ارزشمنده.»

— Ben Rothke

💬 «یک کتاب کاملاً عملی از متخصصانی واقعی در حوزه malware analysis و firmware security.»

— Sven Dietrich

💬 «حتی اگر با ویندوز کار نکنی، باز هم بخش‌های زیادی از این کتاب برای تحلیل malware در Linux هم قابل استفاده است.»

— Rik Farrow

💬 «یک اثر مهم که به‌خوبی توضیح می‌ده چطور تهدیدهای پیچیده در لایه بوت و firmware عمل می‌کنن.»

— Business Wire

👨‍💻 درباره نویسنده‌ها

👨‍💻 Alex Matrosov محقق ارشد امنیت در NVIDIA است با بیش از ۲۰ سال تجربه در reverse engineering، malware analysis و firmware security. او سابقه کار در Intel و ESET را دارد و در کنفرانس‌هایی مثل Black Hat و DEF CON سخنرانی کرده است.

👨‍💻 Eugene Rodionov دکترای امنیت و محقق حوزه BIOS security در Intel است. تمرکز او روی firmware security، kernel programming و anti-rootkit technologies است.

👨‍💻 Sergey Bratus استاد پژوهشی در دانشگاه Dartmouth College است و در زمینه امنیت یونیکس، تحلیل malware لینوکسی و reverse engineering فعالیت دارد.

Rootkits and Bootkits will teach you how to understand and counter sophisticated, advanced threats buried deep in a machine’s boot process or UEFI firmware.

With the aid of numerous case studies and professional research from three of the world’s leading security experts, you’ll trace malware development over time from rootkits like TDL3 to present-day UEFI implants and examine how they infect a system, persist through reboot, and evade security software. As you inspect and dissect real malware, you’ll learn:

• How Windows boots—including 32-bit, 64-bit, and UEFI mode—and where to find vulnerabilities

• The details of boot process security mechanisms like Secure Boot, including an overview of Virtual Secure Mode (VSM) and Device Guard

• Reverse engineering and forensic techniques for analyzing real malware, including bootkits like Rovnix/Carberp, Gapz, TDL4, and the infamous rootkits TDL3 and Festi

• How to perform static and dynamic analysis using emulation and tools like Bochs and IDA Pro 

• How to better understand the delivery stage of threats against BIOS and UEFI firmware in order to create detection capabilities

• How to use virtualization tools like VMware Workstation to reverse engineer bootkits and the Intel Chipsec tool to dig into forensic analysis

Cybercrime syndicates and malicious actors will continue to write ever more persistent and covert attacks, but the game is not lost. Explore the cutting edge of malware analysis with Rootkits and Bootkits.

Covers boot processes for Windows 32-bit and 64-bit operating systems.

Table of Contents

Chapter 1: What's in a Rootkit: The TDL3 Case Study

Chapter 2: Festi Rootkit: The Most Advanced Spam and DDoS Bot

Chapter 3: Observing Rootkit Infections

Chapter 4: Evolution of the Bootkit

Chapter 5: Operating System Boot Process Essentials

Chapter 6: Boot Process Security

Chapter 7: Bootkit Infection Techniques

Chapter 8: Static Analysis of a Bootkit Using IDA Pro

Chapter 9: Bootkit Dynamic Analysis: Emulation and Virtualization

Chapter 10: An Evolution of MBR and VBR Infection Techniques: Olmasco

Chapter 11: IPL Bootkits: Rovnix and Carberp

Chapter 12: Gapz: Advanced VBR Infection

Chapter 13: The Rise of MBR Ransomware

Chapter 14: UEFI Boot vs. the MBR/VBR Boot Process

Chapter 15: Contemporary UEFI Bootkits

Chapter 16: UEFI Firmware Vulnerabilities

Chapter 17: How UEFI Secure Boot Works

Chapter 18: Approaches to Analyzing Hidden Filesystems

Chapter 19: BIOS/UEFI Forensics: Firmware Acquisition and Analysis Approaches

Review

“This deep reference, jam-packed with code and technical information, will support an engineer or system administrator tasked with putting these vulnerabilities in their place.” 

—Ben Rothke, Security Management

“Alex Matrosov, Eugene Rodionov, and Sergey Bratus are experts in their field that have delivered a solid hands-on technical book. While enthralled with the stories from the trenches, I got flashbacks of my days of analyzing rootkits on SunOS and Solaris workstations about 20 years ago. It was a fun book to read.” 

—Sven Dietrich, Cipher: the newsletter of the IEEE Computer Society's Technical Committee on Security and Privacy

"I enjoyed reading the book and learning about the malware, even if it was not particularly relevant to me, as 'I don’t do Windows.' Still, there’s more than enough here that’s relevant to Linux users, as malware writers are now turning their attention to Linux servers." 

—Rik Farrow, USENIX ;login: magazine

"[A] seminal book that explains how to understand and counter sophisticated, advanced threats buried deep in a machine’s boot process or UEFI firmware."

—Business Wire

About the Author

Alex Matrosov is a leading offensive security researcher at NVIDIA. He has more than two decades of experience with reverse engineering, advanced malware analysis, firmware security, and exploitation techniques. Before joining NVIDIA, Alex served as Principal Security Researcher at Intel Security Center of Excellence (SeCoE), spent more than six years in the Intel Advanced Threat Research team, and was Senior Security Researcher at ESET. Alex has authored and co-authored numerous research papers and is a frequent speaker at security conferences, including REcon, ZeroNights, Black Hat, DEFCON, and others. Alex received an award from Hex-Rays for his open source plug-in HexRaysCodeXplorer, supported since 2013 by the team at REhint.

Eugene Rodionov, PhD, is a Security Researcher at Intel working in BIOS security for Client Platforms. Before that, Rodionov ran internal research projects and performed in-depth analysis of complex threats at ESET. His fields of interest include firmware security, kernel-mode programming, anti-rootkit technologies, and reverse engineering. Rodionov has spoken at security conferences, such as Black Hat, REcon, ZeroNights, and CARO, and has co-authored numerous research papers.

Sergey Bratus is a Research Associate Professor in the Computer Science Department at Dartmouth College. He has previously worked at BBN Technologies on Natural Language Processing research. Bratus is interested in all aspects of Unix security, in particular Linux kernel security, and detection and reverse engineering of Linux malware.