 |
-- 會員 / 註冊 --
|
 |
|
|
|
黑客免殺攻防 ( 簡體 字) |
| 作者:任曉琿 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:機械工業出版社 |  3dWoo書號: 36728
詢問書籍請說出此書號!【缺書】
【不接受訂購】 |
| 出版日:9/1/2013 |
| 頁數:468 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
【不接受訂購】 | | ISBN:9787111440420 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
| 前言: |
內容簡介: 國內首部關于黑客免殺技術的專著,旨在為反病毒工程師剖析各種惡意軟件和應對各種安全威脅提供全面指導。不僅從攻擊者(黑客)的視角全方位揭示了黑客免殺技術的常用方法、常用技術和思想原理,還從防御者(反病毒工程師)的視角深入講解了遏制免殺技術的具體方法策略。從純技術的角度講,本書不僅詳細講解了免殺技術的各種細節和方法,還詳細講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等安全技術的細節。
全書共20章,分為三大部分:基礎篇(第1~6章)詳細介紹了黑客免殺技術的初級技巧,包括查找(修改)特征碼、常見特征碼繞過技巧、殼在免殺中的應用、花指令和其他免殺基礎知識;高級篇(第7~16章)深入講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等常用安全技術的原理和細節,以及黑客免殺技術是如何應用它們的,為反病毒工程師應對各種惡意軟件提供了原理性指導;擴展篇(第17~20章)為遏制黑客免殺技術提供了思路和具體的方案。
|
目錄:前言
基礎篇 初級免殺技術
第1章 變臉 2
1.1 為何變臉 2
1.2 何為變臉 3
1.3 免殺的發展史 3
1.4 免殺技術的簡單原理 4
1.5 免殺與其他技術的區別 5
1.5.1 免殺不是Rootkit技術 5
1.5.2 免殺不是加密解密技術 5
1.6 小結 6
第2章 免殺基礎知識 7
2.1 如何開始免殺 7
2.2 反病毒軟件原理與反病毒技術介紹 8
2.2.1 反病毒軟件的工作原理 8
2.2.2 基于文件掃描的反病毒技術 9
2.2.3 基于內存掃描的反病毒技術 12
2.2.4 基于行為監控的反病毒技術 12
2.2.5 基于新興技術的反病毒技術 12
2.2.6 反病毒技術前沿 14
2.2.7 反病毒技術展望 14
2.3 了解PE文件 15
2.3.1 什么是PE文件 15
2.3.2 PE文件的結構 16
2.4 免殺原理 17
2.4.1 文件免殺原理 17
2.4.2 內存免殺原理 20
2.4.3 行為免殺原理 21
2.5 工具脫殼技巧 21
2.5.1 殼的分類 22
2.5.2 免殺與脫殼是什么關系 23
2.5.3 使用專用脫殼工具脫殼 24
2.5.4 使用通用脫殼工具脫殼 25
2.6 小結 26
第3章 免殺與特征碼 27
3.1 特征碼免殺技術 27
3.1.1 理想狀態下的免殺 27
3.1.2 由腳本木馬免殺理解特征碼 28
3.2 特征碼定位原理 29
3.2.1 特征碼逐塊填充定位原理 29
3.2.2 特征碼逐塊暴露定位原理 31
3.2.3 特征碼混合定位原理 34
3.3 腳本木馬定位特征碼 35
3.4 MyCCL查找文件特征碼 39
3.4.1 MyCCL的典型應用 39
3.4.2 針對MyCCL的一點思考 41
3.5 MyCCL查找內存特征碼 43
3.6 特征碼修改方法 44
3.6.1 簡單的特征碼修改 44
3.6.2 特征碼修改進階 45
3.7 小結 50
第4章 其他免殺技術 51
4.1 修改入口點免殺 51
4.2 使用VMProtect加密 54
4.3 Overlay附加數據的處理及應用 54
4.4 驅動程序免殺修改技巧 55
4.4.1 驅動程序的常見免殺方法 55
4.4.2 驅動程序的手工免殺思路 56
4.5 補丁在免殺中的應用 57
4.6 PE文件進階介紹 59
4.6.1 PE文件格式 60
4.6.2 虛擬內存的簡單介紹 62
4.6.3 PE文件的內存映射 63
4.7 網頁木馬的免殺 66
4.7.1 腳本木馬免殺 66
4.7.2 網頁掛馬的免殺 77
4.8 小結 78
第5章 花指令與免殺 80
5.1 什么是花指令 80
5.2 腳本木馬的花指令應用 81
5.3 花指令的根基—匯編語言 83
5.3.1 認識匯編 83
5.3.2 通過反匯編添加任意功能 85
5.4 花指令入門 88
5.5 花指令在免殺領域的應用 91
5.5.1 花指令的應用技巧 91
5.5.2 花指令的修改技巧簡介 91
5.5.3 空白區域尋找與加空白區段 92
5.6 花指令的高級應用 94
5.6.1 花指令的提取與快速應用 94
5.6.2 SEH異常的應用 96
5.7 小結 97
第6章 殼在免殺中的應用 98
6.1 殼的基礎知識 98
6.2 殼在免殺領域的應用 99
6.2.1 加殼的免殺原理 100
6.2.2 FreeRes多重加殼 100
6.3 殼的修改技巧 101
6.3.1 殼的初級修改 101
6.3.2 制作通用補丁 102
6.4 小結 107
高級篇 免殺技術進階
第7章 PE文件格式詳解 110
7.1 MS-DOS頭 111
7.1.1 重要字段 112
7.1.2 其他字段 112
7.2 PE文件頭 113
7.2.1 Signature字段 113
7.2.2 IMAGE_FILE_HEADER結構 113
7.2.3 IMAGE_OPTIONAL_HEADER結構(x86/x64) 115
7.2.4 數據目錄表 118
7.3 區段表 119
7.3.1 IMAGE_SECTION_HEADER結構 119
7.3.2 區段名功能約定 121
7.3.3 區段對齊詳解 122
7.3.4 地址轉換 123
7.4 導出表 123
7.4.1 IMAGE_EXPORT_DIRECTORY結構 123
7.4.2 識別導出表 124
7.5 導入表 127
7.5.1 IMAGE_IMPORT_DESCRIPTOR結構 128
7.5.2 識別導入表 130
7.6 資源 132
7.6.1 資源結構 132
7.6.2 識別資源 135
7.7 異常 137
7.8 安全 139
7.8.1 安全目錄結構 139
7.8.2 識別安全結構 140
7.9 基址重定位 141
7.9.1 基址重定位表結構 141
7.9.2 識別基址重定位表 143
7.10 調試 146
7.11 特殊結構數據(版權) 147
7.12 全局指針 147
7.13 TLS 148
7.13.1 TLS的回調函數 149
7.13.2 TLS的結構(x86/x64) 151
7.13.3 識別TLS 152
7.14 載入配置(x86/x64) 153
7.15 綁定導入表 155
7.15.1 綁定導入表結構 155
7.15.2 識別綁定導入表 156
7.16 導入地址表 157
7.17 延遲加載表 157
7.17.1 延遲加載表結構 158
7.17.2 識別延遲加載表 159
7.18 COM描述符 159
7.19 小結 159
第8章 PE文件知識在免殺中的應用 161
8.1 PE文件與免殺思路 161
8.1.1 移動PE文件頭位置免殺 161
8.1.2 導入表移動免殺 163
8.1.3 導出表移動免殺 165
8.2 PE文件與反啟發式掃描 165
8.2.1 最后一個區段為代碼段 165
8.2.2 可疑的區段頭部屬性 166
8.2.3 可疑的PE選項頭的有效尺寸值 166
8.2.4 可疑的代碼節名稱 166
8.2.5 多個PE頭部 166
8.2.6 導入表項存在可疑導入 167
8.3 一個稍顯復雜的例子—隱藏導入表 167
8.3.1 操作原理與先決條件 167
8.3.2 修改PE文件 168
8.3.3 構造我們的反匯編代碼 168
8.4 小結 169
第9章 軟件逆向工程 170
9.1 準備工作 170
9.1.1 要準備的工具及基礎知識 171
9.1.2 程序是從哪里開始運行的 171
9.2 一個簡單的小例子 177
9.3 函數識別初探 179
9.4 if-else分支 185
9.4.1 以常量為判斷條件的簡單if-else分支 185
9.4.2 以變量為判斷條件的簡單if-else分支 186
9.4.3 以常量為判斷條件的復雜if-else分支 188
9.4.4 以變量為判斷條件的復雜if-else分支 189
9.4.5 識別三目運算符 190
9.5 循環分支 194
9.5.1 do-while循環 194
9.5.2 while循環 196
9.5.3 for循環 199
9.5.4 循環體的語句外提優化 202
9.6 switch-case分支 203
9.6.1 簡單switch-case分支識別技巧 203
9.6.2 復雜分支的switch-case識別 208
9.6.3 switch-case分支結構與稀疏矩陣 210
9.6.4 switch-case分支結構與平衡二叉樹 215
9.7 加法與減法的識別與優化原理 220
9.7.1 加法的識別與優化 221
9.7.2 減法的識別與優化 223
9.8 乘法與除法的識別與優化原理 224
9.8.1 乘法的位移優化 224
9.8.2 乘法的lea指令優化 225
9.8.3 除法與倒數相乘 228
9.8.4 倒數相乘與定點運算的配合 229
9.8.5 除法運算的識別與優化 230
9.8.6 取模運算的識別與優化 236
9.9 指針與數組 238
9.9.1 指針與數組的淵源 238
9.9.2 數組的不同表達方式 242
9.10 數組、結構體與對象 243
9.10.1 數組與結構體 243
9.10.2 結構體與類 245
9.11 變量作用域的識別 245
9.12 識別構造與析構函數 247
9.12.1 快速識別出類 248
9.12.2 識別構造函數 252
9.12.3 識別析構函數 253
9.13 虛函數與純虛函數的識別 254
9.13.1 識別簡單的虛函數 254
9.13.2 識別較復雜的虛函數 260
9.14 正確識別類的繼承關系 275
9.15 最后一役 290
9.15.1 MFC逆向初探 291
9.15.2 分析BypassUAC.exe 292
9.16 小結 301
第10章 源碼級免殺 302
10.1 怎樣定位產生特征的源代碼 302
10.1.1 定位文件特征 302
10.1.2 定位行為特征 304
10.2 基于源碼的特征修改 304
10.2.1 變換編譯器與編譯選項 304
10.2.2 添加垃圾代碼 305
10.2.3 語法變換 306
10.2.4 添加匯編花指令 306
10.3 小結 307
第11章 詳解C++殼的編寫 308
11.1 了解殼的運行流程 308
11.2 設計一個純C++編寫的殼 309
11.2.1 用C++編寫的殼應該是什么樣的 310
11.2.2 編寫過程中會遇到的問題 310
11.3 用C++寫一個簡單的殼 311
11.3.1 配置工程 312
11.3.2 編寫Stub部分 314
11.3.3 編寫加殼部分 318
11.3.4 編寫界面部分 325
11.4 設計一個由C++編寫的專業殼 326
11.4.1 為問題找到答案 326
11.4.2 設計專業殼的框架 329
11.4.3 如何設計Stub部分 330
11.4.4 如何設計加殼部分 331
11.4.5 需要注意的細節問題 334
11.5 怎樣調試由C++編寫的Stub部分 334
11.6 小結 335
第12章 黑客是怎樣打造免殺殼的 336
12.1 免殺殼與加密殼的異同 336
12.2 導入表加密 337
12.3 代碼混淆與代碼亂序 337
12.4 附加驅動 338
12.5 小結 339
第13章 脫殼技術 340
13.1 尋找OEP 340
13.1.1 利用內存斷點 340
13.1.2 利用堆棧平衡 342
13.1.3 利用編譯語言特點 343
13.1.4 利用跨區段跳轉 345
13.2 轉儲內存映像 346
13.3 重建導入表 346
13.3.1 導入表重建原理 347
13.3.2 使用ImportREC重建導入表 347
13.4 小結 348
第14章 Rootkit基礎 349
14.1 構建一個Rootkit基礎環境 349
14.1.1 構建開發環境 349
14.1.2 構建基于Visual Studio 2012的調試環境 350
14.1.3 構建基于WinDbg的調試環境 354
14.1.4 將Rootkit加載到系統 356
14.1.5 創建一個簡單的驅動并調試 357
14.2 何為Ring0層 360
14.3 關鍵表 361
14.4 內存分頁 362
14.4.1 地址轉譯 363
14.4.2 內存訪問檢查 367
14.4.3 Windows對重要表的保護 368
14.5 內存描述符表 369
14.6 中斷描述符表(IDT) 369
14.7 系統服務調度表 371
14.8 控制寄存器 371
14.8.1 利用CR0禁用內存保護機制 371
14.8.2 其他控制寄存器 372
14.9 小結 372
第15章 Rootkit在免殺中的應用 373
15.1 用戶模式Rootkit 373
15.1.1 DLL遠程注入技巧 373
15.1.2 內聯鉤子 375
15.1.3 導入地址表鉤子 375
15.1.4 一個保護文件不被刪除的例子 376
15.2 內核編程基礎 377
15.2.1 內核編程環境與用戶層編程環境的異同 377
15.2.2 如何選擇Windows驅動開發模型 378
15.2.3 驅動設備與請求處理 378
15.2.4 內核編程中的數據類型 386
15.2.5 函數調用 387
15.2.6 Windows內核編程的特點 389
15.3 內核模式Rootkit 390
15.3.1 SYSENTER鉤子 390
15.3.2 SSDT鉤子 394
15.3.3 內聯鉤子 399
15.3.4 IRP鉤子 401
15.3.5 LADDR鉤子 406
15.3.6 IDT鉤子 411
15.3.7 IOAPIC鉤子 413
15.4 小結 417
第16章 免殺技術前沿 418
16.1 免殺技術的發展趨勢 418
16.2 免殺前沿之突破主動防御 419
16.2.1 “移花接木”之屏幕截圖突破主動防御 419
16.2.2 “暗渡陳倉”之利用可信進程突破主動防御 419
16.2.3 “釜底抽薪”之利用系統進程突破主動防御 420
16.2.4 “順手牽羊”之利用邏輯漏洞突破主動防御 420
16.2.5 “渾水摸魚”之利用變形復制突破主動防御 420
16.2.6 “金蟬脫殼”之利用異同逃逸虛擬機 420
16.2.7 “借尸還魂”之利用替換文件突破主動防御 421
16.2.8 “借刀殺人”之利用調試接口突破主動防御 421
16.3 黑客免殺技術的展望 421
16.4 小結 422
擴展篇 遏制免殺技術初探
第17章 淺談部分免殺技巧的遏制 424
17.1 盯緊PE文件 424
17.2 盯緊程序行為 425
17.3 小結 425
第18章 反特征碼定位 426
18.1 釋放干擾碼 426
18.2 定位行為的判定 426
18.3 設定“靶特征碼” 427
18.4 小結 427
第19章 遏制免殺與Anti Rootkit 428
19.1 適當的監控 428
19.2 基本檢測邏輯 428
19.3 Rootkit檢測方法初探 429
19.4 小結 430
第20章 淺談反病毒產品的改進 431
20.1 云查殺與本地查殺緊密結合 431
20.2 注重感染型病毒木馬的清除工作 431
20.3 精進啟發式掃描解決效率問題 432
20.4 小結 432
附錄A 80x86匯編基礎知識 433
|
| 序: |
|
