目录

本书源码

第1章进入Python语言世界

1.1搭建开发环境

1.1.1安装Kali Linux虚拟机

1.1.2安装PyCharm集成开发环境

1.1.3运行第1个Python程序

1.1.4配置PyCharm基本选项

1.2基本要素

1.2.1变量与数据类型

1.2.2算术运算符

1.2.3比较运算符

1.2.4逻辑运算符

1.2.5输入与输出

1.3序列类型

1.3.1字符串

1.3.2元组

1.3.3列表

1.3.4集合

1.3.5字典

1.4流程控制

1.4.1顺序结构

1.4.2选择结构

1.4.3循环结构

1.5函数

1.5.1定义与调用

1.5.2内置函数

1.6文件操作

1.6.1读取文件

1.6.2写入文件

1.7面向对象编程基础

1.8模块

1.8.1封装与导入模块

1.8.2模块的分类

1.9异常处理

1.9.1tryexcept结构

1.9.2tryexceptelse结构

1.9.3tryexceptfinaly结构

第2章常用模块的使用方法

2.1sys模块

2.1.1sys模块常用变量和函数

2.1.2使用argparse模块解析命令行参数

2.2os模块

2.2.1获取系统信息 

2.2.2执行系统命令

2.2.3实现文件管理

2.3re模块

2.3.1正则表达式基础

2.3.2re模块常用函数

2.4psutil模块

2.5cryptography模块

第3章初步分析日志文件

3.1Zeek工具基础

3.1.1搭建Zeek工具环境

3.1.2使用Zeek记录日志

3.2分析访问日志文件

3.2.1分析日志的流程

3.2.2读取日志文件

3.2.3解析日志文件

3.2.4筛选日志文件

3.3分析Zeek日志文件

3.3.1分析conn.log日志文件

3.3.2分析http.log日志文件

3.3.3分析dns.log日志文件

3.3.4分析smb.log日志文件

3.4分析Windows系统日志

3.4.1Windows系统日志基础

3.4.2Python管理系统日志

3.4.3分析暴力破解登录

3.4.4分析异常代理执行

第4章深度分析日志文件

4.1拓展日志的地理位置

4.1.1IP地址识别地理位置的原理

4.1.2Python实现查询地理位置

4.1.3分析auth.log日志文件

4.1.4经纬度转换真实地址

4.2拓展日志的时间戳

4.2.1时间戳的表示方式

4.2.2时间戳算法基础

4.2.3时间戳数据的可视化

4.3拓展日志的频率分析

4.3.1DNS域名系统基础知识

4.3.2Python统计频率的方法

4.3.3分析dns.log日志文件

4.4识别和检测C2流量

4.4.1多日志文件组合原理

4.4.2基于日志文件检测C2

第5章高效存储和检索日志记录

5.1基于MongoDB存储记录

5.1.1MongoDB的存储结构

5.1.2搭建MongoDB数据库环境

5.1.3Python与MongoDB交互

5.1.4存储勒索病毒相关日志记录

5.2基于Elasticsearch检索记录

5.2.1搭建Elasticsearch和Kibana环境

5.2.2Python与Elasticsearch交互

5.2.3检索勒索病毒相关日志记录

5.2.4检索系统登录相关日志信息

第6章探测系统与服务信息

6.1获取本地主机信息

6.1.1获取操作系统信息

6.1.2获取软件版本信息

6.1.3获取进程信息

6.1.4获取网络连接信息

6.2获取远程主机信息

6.2.1介绍WMI管理工具

6.2.2获取远程主机的系统信息

6.2.3获取远程主机的进程信息

第7章检测和识别恶意程序文件

7.1识别文件类型

7.1.1文件类型基础知识

7.1.2实现识别文件类型

7.2计算文件的哈希值

7.2.1文件哈希算法基础知识

7.2.2实现计算文件哈希

7.3基于YARA识别恶意程序

7.3.1YARA的基础知识

7.3.2Python组合YARA识别恶意程序

7.4集成VirusTotal反病毒引擎

7.4.1介绍VirusTotal反病毒引擎

7.4.2实现集成VirusTotal反病毒引擎

7.5识别UPX加壳程序

7.5.1识别UPX加壳的原理

7.5.2检测UPX加壳程序

7.6识别恶意文档文件

7.6.1初识恶意文档文件

7.6.2检测恶意文档文件