《黑客社会工程学攻击》是2008出版的图书，作者是范建中。本书是国内第一本涉及非传统信息安全主题的图书，非传统信息安全也泛指恐怖主义、能源、经济、文化、信息所引起的安全威胁问题。

作者：范建中

ISBN：9787900447807

定价：29

出版时间：2008

《黑客社会工程学攻击》是安全系列丛书中第一本关于社工工程学的黑客安全图书，这是一本中国式本土社工优秀书籍。

本书是国内第一本涉及非传统信息安全主题的图书，非传统信息安全也泛指恐怖主义、能源、经济、文化、信息所引起的安全威胁问题。而本书将围绕个人及企业的信息威胁进行完整的剖析，包括信息跟踪、隐私挖掘、商业窃密、钓鱼攻击、心理学攻击、反侦查对抗等前沿的信息安全，本书旨在帮助个人及政府、商业机构认识到社会工程学攻击的所带来的威胁，以使个人及机构重要机密免遭窃取或被入侵的危险。

国家盛会2008奥运的举办无一不说明中国进入了数字信息的时代，而新的挑战便是来自信息安全威胁，并且，信息安全威胁的发展无疑将越来越严重。传统的计算机攻击者在系统入侵的环境下存在很多的局限性，而新的社会工程学攻击则将充分发挥其优势，通过利用人为的漏洞缺陷进行欺骗手段来获取系统控制权。这种攻击表面是难以察觉的，不需要与受害者目标进行面对面的交流，不会在系统留下任何可被追查的日志记录，并迫使企业内部人员转移出信息资产给社会工程学师，而试图追查攻击者则困难重重。

同时，我们每个人都不应忽视社会工程学攻击的危害性，社会工程学师表现得极为亲切，银行机构都不会怀疑使用了专业的术语而承认他们是合法的内部人员；社会工程学师也像一个魔术师，左手吸引你的注意时，右手已悄悄带走你的重要文件；社会工程学师很会说话，懂得如何操作未知的专业设备，并拥有一套信息跟踪手法，在你拨打电话给他的时候，他会开玩笑地报出你的姓名、年龄、地址、信用卡号……

而本书的作者将向读者们展示并不为人知的社会工程学攻击*幕，由浅入深从全球头号黑客凯文米特尼克入侵五角大楼经历说起，并全面讲解社会工程学攻击具体实施与细节，让读者们清楚地知晓他们攻击伎俩，所提供的案例可形象地认识到所带来的威胁，为免于读者们诸多的安全困扰，在第八章提供了完整的解决方案，可使免于您受到信息伤害，企业将知道如何通过培训及相关的防护来阻碍社会工程学的攻击。

目录:

第一章 黑客时代的神话

1.1 华丽而浪漫的安全对抗

1.2 凯文?米特尼克（Kevin Mitnick）简史

1.2.1 美国五大最危险的头号黑客之一

1.2.2 电脑化空间的头号通缉犯

1.3 什么是社会工程学攻击

1.3.1 狭义与广义的社会工程学

1.3.2 无法忽视的非传统信息安全

1.3.3 攻击信息拥有者

1.4 第一个案例：编辑部的窃密事件

1.4.1 巧妙地利用手机收集信息

1.4.2 冒认身份获取系统口令

1.4.3 伪造调查文件，设置陷阱

1.5 你该学习怎样的信息技能？

1.5.1 快速信息筛选与处理技巧

1.5.2 快速掌握新技术的学习技巧

第二章 无处藏身—信息搜索的艺术

2.1 千万不要把真名放在网上

2.2 Google搜索引擎黑客

2.2.1 Google高级搜索应用技术

2.2.1.1 组合式语法搜索

2.2.1.2 善用搜索特征码定位

2.2.2 探寻敏感信息

2.2.3 你在哪里？哪个市区？哪条街道？

2.2.4 第一手情报

2.3 门户站点，信息泄露的入口点

2.3.1 围攻小企鹅——万能的QQ信息刺探

2.3.2 网易、新浪、搜狐、雅虎聚会记

2.3.3 高端用户的选择：Google与微软

2.4 综合信息的搜索，你会了吗？

2.4.1 你需要掌握的搜索引擎有哪些？

2.4.1.1 网页与图片的搜索

2.4.1.2 博客与论坛的搜索

2.4.1.3 论坛程序与网站内的信息搜索

2.4.1.4 微型博客的搜索

2.4.2 一些你不能忽视的信息查询

2.4.2.1 你的同学在这里——校友录

2.4.2.2 另类的窃秘点——搜人网

2.4.2.3 邮箱的查询——支付宝

2.4.2.4 IP地址、身份证与手机号码的查询

2.4.2.5 域名Whois的查询

2.4.2.6 QQ群信息搜索也疯狂

2.5 案例攻击应用与分析

2.5.1 一个密码引发的"血案"

2.5.2 一分钟，和美丽的女孩谈论天气的方法

2.5.3 深层挖掘骗子黑客站长的秘密

2.5.4 告诉你如何从博客搜索深层信息

2.6 尾语：是否真的无处藏身？

第三章 商业间谍窃密技法

3.1 别再拒绝公司数据被窃取的事实

3.1.1 内鬼，《征途》网游源代码泄露事件

3.1.2 电信企业的脆弱，口令泄露事件

3.2 社会工程学师惯用信息搜集技巧

3.2.1 从最无关紧要的员工开始

3.2.2 冒称与利用权威身份

3.2.3 垃圾桶，绝妙的信息翻查处

3.3 巧设人为陷阱套取信息

3.3.1 寻找企业内部的矛盾

3.3.1.1 事实！曾经的企业内鬼事件

3.3.2 制造拒绝服务的陷阱

3.4 信息高级刺探技术

3.4.1 自由交谈的内部术语

3.4.2 信息调查表格——你准备了吗？

3.4.3 看上去可信任吗？——标准化策略

3.5 商业窃密惯用技法

3.5.1 电话窃听技术

3.5.1.1 任何人都会的手机监听方法

3.5.1.2 智能手机高级窃密技巧

3.5.1.3 窃听内部线路电话的技巧

3.5.2 语音与影像监控

3.5.2.1 无处不在的窃听

3.5.2.2 影像监控——就在你的身后

3.5.3 GPS跟踪与定位 71 3.6 案例攻击应用与分析

3.6. 案例攻击应用与分析

3.6.1 淘宝网的盗窃者们

3.6.1.1 一线生机

3.6.1.2 交易

3.6.1.3 最后的陷阱

3.6.2 谁泄露了防火墙源代码？

3.6.2.1 销售部的后门

3.6.2.2 合作者的阴谋

3.6.2.3 消失的100万源代码

第四章 刨根问底挖隐私

4.1让系统泄露你曾经的秘密

4.1.1 芝麻开门，你去过哪些网站？

4.1.2 你最近碰过哪些文件？

4.1.2.1 我的文档历史

4.1.2.2 最后的时间截

4.1.2.3 应用软件的蛛丝马迹

4.1.3 缩略图，你的图片删乾净了么？

4.1.4 相片中的Exif信息

4.1.5 最后的复制记录

4.2 应用软件也捣乱

4.2.1 谁在临时目录偷偷留下了备份？

4.2.2 生成的文件，你有注意到么？

4.3 Web 2.0，人性化服务背后的威胁

4.3.1 像Google那般的令人恐怖

4.3.2 信任，Web 2.0的大敌

4.4 实名制，致命的大漏洞

4.4.1 相信么？我知道你的一切！

4.4.2 加速高智能犯罪升级

4.4.3 实名制信息安全不容忽视！

4.5 你的隐私正在被谁偷窃？

4.5.1 隐藏的特洛伊木马

4.5.2 嗅探，从数据包中挖掘你的秘密

4.5.3 间谍软件，曾经的僵尸军团

4.6 案例攻击与应用

4.6.1 典型性隐私泄露——木马屠城

4.6.2 网吧实名制：中间人的黑手

第五章 窥探你心中的秘密

5.1 善用人性弱点的心理学攻击

5.1.1 "入侵你的心"

5.1.2 不要轻易给予信任

5.2 开始入门另类的攻击

5.2.1 认识信念系统

5.2.2 "需求层次"找出你的需要

5.2.3 五个阶段，推测你的人生影响

5.3 神经语言程序学的"入侵"

5.3.1 NLP始源与简史

5.3.2 表象系统（Representational system）

5.3.2.1 你的表象系统是什么？

5.3.2.2 《犯罪现场鉴证》关键点

5.3.2.3 模仿中的信任

5.3.3 语言模式（Language Mode）

5.3.3.1 检定语言模式

5.3.3.2催眠性暗示语言模式

5.4 九型人格中的秘密

5.4.1 什么是九型人格？

5.4.2 与不同人格的人交谈

5.5 长驱直入攻击信息拥有者

5.5.1 塑造友善的第一印象

5.5.2 让"帮助"来得猛烈点吧

第六章 网络钓鱼攻击

6.1 钓信用卡、钓隐私：恐怖的钓鱼攻击

6.2 钓鱼：盯上163邮箱

6.2.1 将163邮箱整站扒下来

6.2.2 继续完善，让伪造生效

6.2.3 逃脱识别，进阶伪装

6.2.3.1 使用header()函数跳转到真实163邮箱网站

6.2.3.2 用javascript增加迷惑性

6.2.3.3 逼真一点，神不知鬼不觉

6.3 真网址PK假网址

6.3.1 假域名注册欺骗

6.3.2 状态栏中的网址欺骗

6.3.3 巧妙利用URLs特性的欺骗

6.3.4 IP转换与URL编码

6.4 电子邮件钓鱼

6.4.1 钓鱼关键点：制造一封神秘的邮件

6.4.2 伪造发件人地址

6.4.3 弹指间，百万E-mail地址被收集

6.4.4 坐等鱼上钩，钓鱼邮件群发

6.5 XSS跨站钓鱼也疯狂

6.5.1 深入浅出解析XSS漏洞形成

6.5.2 隐藏中的Cookie窃取

6.5.3 亿聚网的登陆框—XSS的另类钓鱼大法

6.6 劫持中的钓鱼艺术 1

6.6.1 Hosts文件的映射劫持

6.6.2 内网中的DNS劫持

6.6.3 BHO，浏览器的劫持

6.6.4 搜索引擎的SEO劫持钓鱼

6.7 将钓鱼攻击发挥到极致

6.7.1 人们喜欢怎样的钓饵？

6.7.2 花样百出的钓鱼邮件制造

6.7.2.1 邮件前置

6.7.2.2 诱惑性标题

6.7.2.3 精妙的邮件正文

6.7.2.4 邮件跟踪调查

6.7.3 强势的伪冒钓鱼站点

6.7.3.1 弹出窗口

6.7.3.2 无坚不摧的服务器

6.8 新式钓鱼攻击手段

6.8.1 软件程序的谎言

6.8.2 高利润的SMS钓鱼攻击

6.9 案例攻击与应用

6.9.1 帮MM找回被盗QQ

6.9.2 揭露"QQ中奖网络诈骗"全过程

第七章 反侦查技术的对抗

7.1 黑客必备的反侦查能力

7.2 无法追踪的网络影子

7.2.1 代理：信息中转站

7.2.2 VPN：虚拟专用网络

7.2.3 TOR：洋葱路由器

7.2.4 跳板：堡垒肉鸡防火墙

7.3 数据隐藏与伪装

7.3.1 COPY合并与WinRAR伪装

7.3.2 在Recycler文件夹隐藏

7.3.3 利用Desktop.ini特性隐藏

7.3.4 PQ磁盘分区隐藏

7.3.5 NTFS文件流（ADS）隐藏

7.3.6 Rootkit技术隐藏

7.3.7 畸形目录里的新东西

7.4 数据隐写技术

7.4.1 QR密文信息隐写

7.4.2 MP3音频文件信息隐写

7.4.3 BMP与GIF图片信息隐写

7.4.4 Text、HTM、PDF文件信息隐写

7.4.5 在线JPEG与PNG图片信息隐写

7.4.6 反汇编技术信息隐写

7.5 数据加密与破坏机制

7.5.1 加密数据档案

7.5.2 EFS加密文件系统

7.5.3 五星级的加密工具

7.5.4 逻辑型文件擦除技术

7.5.5 物理型数据破坏

7.6 数据窃取的方式

7.6.1 Ghost：磁盘克隆

7.6.2 Recover：数据恢复

7.6.3 键盘与鼠标数据窃取

7.6.4 RAM内存数据窃取

7.7 数字反取证信息对抗

7.7.1 主机数据信息核查

7.7.1.1 CMD命令信息核查

7.7.1.2 法证工具信息核查

7.7.2 逃脱通信网络跟踪

7.7.2.1 安全电话通信技巧

7.7.2.2 泛洪淹埋网络信息

7.7.3 击溃数字证据

7.7.3.1 错误的时间正确的攻击

7.7.3.2 数字证据藏在哪里了

7.7.3.3 布署监控与自我销毁

第八章 安全铁律

8.1 安全威胁触手可及

8.2 人员安全工程

8.2.1 免于密码窃取危险

8.2.2 正确的信息处理习惯

8.2.3 验证与授权程序

8.3 服务器安全防御

8.3.1 强化服务器策略

8.3.1.1 程序安装的艺术

8.3.1.2 配置系统的艺术

8.3.2 系统安全审计

8.3.3 建立安全防护屏障

8.4 无线网络安全缺陷与防护

8.5 堡垒式的物理安全

8.5.1 通信设备物理安全

8.5.2 布署周边监控与身份认证

8.5.3 数据分类与垃圾信息

8.6 全局保护——风险评估

8.6.1 信息资产鉴别与评估

8.6.2 威胁评价与风险管理

8.7 信息安全知识与培训

8.7.1 安全觉醒与培训

8.7.2 周期性渗透测试计划

第九章 像米特尼克黑客一样

9.1 非凡而卓越的黑客事业

9.2 成为优秀的社会工程学师

9.2.1 好奇

9.2.2 投入

9.2.3 创新

9.3 组建庞大信息库的方法

9.3.1 Firefox

9.3.2 Google

9.4 智囊团，你的人脉资源

9.4.1 IM、BBS

9.4.2 社交活动

9.5 准备好你的工具箱了吗？

9.6 世界不是平的

9.6.1 端正的态度

9.6.2黑客的信仰