安全

本章聚焦于内网分段（internal network segmentation） 在实践中如何被测试，尤其是在受 PCI-DSS 要求约束的环境中。 以我为 PCI 合规组织做渗透测试的经验来看，分段

本章标志着我们从基础的 recon 自动化迈向更高阶的一步：构建一个由 agentic AI 设计驱动、且完全 no-code 的攻击面管理（ASM）系统。我们将超越理论化工作流，开始打造一个实用、贴

Agentic AI 不只是一个概念；它是你可以构建、可以看到、也可以与之交互的东西。本章我们将从理论走向行动。如果你曾花几个小时复制粘贴 Nmap 输出，或手工给子域名做分流（triage），你一定

安全团队如今面临着前所未有的“提速”压力——攻击面在扩张，漏洞每天都在发布，纯手工工作流根本跟不上。在这场变化的中心，AI 框架作为强大的工具出现了：它们承诺为自动化带来规模、速度，以及更高层级的智能

Agentic AI（智能体 AI）是一种快速兴起的人工智能路径，核心在于构建具备自主决策、目标驱动行为与持续学习能力的系统。尽管“自主智能体”的概念早已存在多年，但将其作为一种被形式化的方法论的 a

图 1-1 中的明信片（由 Karsten Hansky 提供给我们）寄出于 1904 年。正如你很容易看出的那样，写在明信片上的信息是加密的。 图 1-1：显然，这张明信片的寄件人不希望邮递员或收件

每当我们编写程序时，都会使用 printf 函数在输出屏幕上打印各种信息。这些信息可能是面向程序最终用户的提示，也可能是调试用途的日志，或者是一条简单的欢迎消息。恶意软件或病毒编写者也遵循同样的逻辑：

在本章中，我们将编写一些小片段的代码并进行编译，以理解汇编输出。我们将逐步跟随汇编代码中的指令，理解从汇编角度的代码执行流程。 在本章对小片段代码进行编译的过程中，我们将在 32 位环境下使用 Mic

在第 2 章《理解 x86 机器架构》中，我们了解了栈的概念。当我们调用一个函数时，后台会发生一系列操作：控制流被转移到被调用函数，为其局部变量分配栈帧，并将参数传递给被调用者；函数返回时，返回地址会

在上一章中，我们介绍了一些汇编语言指令。汇编语言中有多种类型的指令，这些指令可以通过分组来更清晰地了解特定指令集的功能和目的。为了理解在逆向工程中逐条分析基础汇编指令的意义，我们将举一个现实生活中的例

工具在生活的各个方面都扮演着至关重要的角色。我们日常生活中常用手机计算器来进行基本的数学运算。在手机计算器出现之前，我们使用硬件计算器来完成同样的工作。计算器是我们用来执行特定任务的简单工具示例。对于

未来，每一个设备或机器都将变得“智能化”。普通设备（或我们称之为“传统设备”）与智能设备之间的最大区别在于，智能设备具备互联网功能。所谓“智能”，意味着该设备经过编程，可以以智能化的方式运行，并可通过

在我们开始实施逆向工程之前，了解逆向工程究竟是什么、它如何产生，以及它在现代有什么意义，将会非常有趣。正如其名称所示，逆向工程由“逆向”（Reverse）和“工程”（Engineering）两个词组合

如果你已经读到这里，可能会得出一个结论：为 macOS 编写安全工具是一项极具挑战的工作，这很大程度上是因为苹果自身的限制。例如，如果你想捕获远程进程的内存，那几乎是不可能的；而且正如你在第5章看到的

在本章中，我将介绍在 macOS 系统上监控网络活动的多种方法。首先，我会从简单的开始，演示如何定期调度网络快照，以获得对主机网络活动的近乎连续的观察视角。接着，你将深入了解苹果的 NetworkEx

如果你花时间研究过 macOS，可能会遇到系统的统一日志机制，这是一项资源，可以帮助你理解 macOS 内部结构，并且，正如你很快会看到的，它还能用来发现恶意软件。本章开始，我会重点介绍可以从这些日志

可以说，检测 macOS 上恶意威胁的最佳方法之一就是聚焦“持久化”。这里的“持久化”是指软件（包括恶意软件）通过某种方式在系统中安装自身，以确保其在启动、用户登录或其他确定性事件时自动重新执行。否则

大多数 Mac 恶意软件样本都会大量利用网络执行各种任务，比如窃取数据、下载额外负载，或者与指挥控制服务器通信。如果你能观察到这些未授权的网络事件，就可以将其转化为强有力的检测启发式规则。在本章中，我