惡意代碼逆向分析基礎詳解( 簡體 字) | |
作者:劉曉陽 | 類別:1. -> 程式設計 -> 綜合 |
出版社:清華大學出版社 | 3dWoo書號: 56278 詢問書籍請說出此書號! 有庫存 NT售價: 395 元 |
出版日:6/1/2023 | |
頁數:295 | |
光碟數:0 | |
站長推薦: | |
印刷:黑白印刷 | 語系: ( 簡體 字 ) |
ISBN:9787302630746 | 加入購物車 │加到我的最愛 (請先登入會員) |
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證, 繁體書的下載亦請直接連絡出版社) | |
本書源代碼
第1章搭建惡意代碼分析環境 1.1搭建虛擬機實驗環境 1.1.1安裝VMwareWorkstationPro虛擬機軟件 1.1.2安裝Windows10系統虛擬機 1.1.3安裝FLARE系統虛擬機 1.1.4安裝KaliLinux系統虛擬機 1.1.5配置虛擬機網絡拓撲環境 1.2搭建軟件實驗環境 1.2.1安裝VisualStudio2022開發軟件 1.2.2安裝x64dbg調試軟件 1.2.3安裝IDA調試軟件 1.2.4安裝010Editor編輯軟件 第2章Windows程序基礎 2.1PE結構基礎介紹 2.1.1DOS部分 2.1.2PE文件頭部分 2.1.3PE節表部分 2.1.4PE節數據部分 2.2PE分析工具 2.3編譯與分析EXE程序 2.4編譯與分析DLL程序 第3章生成和執行shellcode 3.1shellcode介紹 3.1.1shell終端接口介紹 3.1.2獲取shellcode的方法 3.2Metasploit工具介紹 3.2.1MetasploitFramework目錄組成 3.2.2MetasploitFramework模塊組成 3.2.3MetasploitFramework命令接口 3.3MsfVenom工具介紹 3.3.1MsfVenom參數說明 3.3.2MsfVenom生成shellcode 3.4C語言加載執行shellcode代碼 3.5Meterpreter后滲透測試介紹 3.5.1Meterpreter參數說明 3.5.2Meterpreter鍵盤記錄案例 第4章逆向分析工具 4.1逆向分析方法 4.2靜態分析工具IDA基礎 4.2.1IDA軟件常用快捷鍵 4.2.2IDA軟件常用設置 4.3動態分析工具x64dbg基礎 4.3.1x64dbg軟件界面介紹 4.3.2x64dbg軟件調試案例 第5章執行PE節中的shellcode 5.1嵌入PE節的原理 5.1.1內存中執行shellcode原理 5.1.2常用WindowsAPI函數介紹 5.1.3scdbg逆向分析shellcode 5.2嵌入PE.text節區的shellcode 5.3嵌入PE.data節區的shellcode 5.4嵌入PE.rsrc節區的shellcode 5.4.1Windows程序資源文件介紹 5.4.2查找與加載.rsrc節區相關函數介紹 5.4.3實現嵌入.rsrc節區shellcode 第6章分析base64編碼的shellcode 6.1base64編碼原理 6.2Windows實現base64編碼shellcode 6.2.1base64解碼相關函數 6.2.2base64編碼shellcode 6.2.3執行base64編碼shellcode 6.3x64dbg分析提取shellcode 6.3.1x64dbg斷點功能介紹 6.3.2x64dbg分析可執行程序 第7章分析XOR加密的shellcode 7.1XOR加密原理 7.1.1異或位運算介紹 7.1.2Python實現XOR異或加密shellcode 7.2XOR解密shellcode 7.2.1XOR解密函數介紹 7.2.2執行XOR加密shellcode 7.3x64dbg分析提取shellcode 第8章分析AES加密的shellcode 8.1AES加密原理 8.2AES加密shellcode 8.2.1Python加密shellcode 8.2.2實現AES解密shellcode 8.3x64dbg提取并分析shellcode 第9章構建shellcoderunner程序 9.1C語言shellcoderunner程序 9.1.1C語言開發環境DevC++ 9.1.2各種shellcoderunner程序 9.2C#語言shellcoderunner程序 9.2.1VS2022編寫并運行C#程序 9.2.2C#語言調用Win32API函數 9.2.3C#語言執行shellcode 9.3在線殺毒軟件引擎VirusTotal介紹 9.3.1VirusTotal分析文件 9.3.2VirusTotal分析進程 第10章分析API函數混淆 10.1PE分析工具pestudio基礎 10.2API函數混淆原理與實現 10.2.1API函數混淆基本原理 10.2.2相關API函數介紹 10.2.3實現API函數混淆 10.3x64dbg分析函數混淆 第11章進程注入shellcode 11.1進程注入原理 11.2進程注入實現 11.2.1進程注入相關函數 11.2.2進程注入代碼實現 11.3分析進程注入 11.3.1ProcessHacker工具分析進程注入 11.3.2x64dbg工具分析進程注入 第12章DLL注入shellcode 12.1DLL注入原理 12.1.1DLL文件介紹 12.1.2DLL注入流程 12.2DLL注入實現 12.2.1生成DLL文件 12.2.2DLL注入代碼實現 12.3分析DLL注入 第13章Yara檢測惡意程序原理與實踐 13.1Yara工具檢測原理 13.2Yara工具基礎 13.2.1安裝Yara工具 13.2.2Yara基本使用方法 第14章檢測和分析惡意代碼 14.1搭建惡意代碼分析環境 14.1.1REMnuxLinux環境介紹 14.1.2配置分析環境的網絡設置 14.1.3配置REMnuxLinux網絡服務 14.2實戰:分析惡意代碼的網絡流量 14.3實戰:分析惡意代碼的文件行為 14.4實戰:在線惡意代碼檢測沙箱 本書以實戰項目為主線,以理論基礎為核心,引導讀者漸進式學習如何分析Windows操作系統的惡意程序。從惡意代碼開發者的角度出發,闡述惡意代碼的編碼和加密、規避檢測技術。最后,實戰分析惡意程序的網絡流量和文件行為,挖掘惡意域名等信息。
本書共14章,第1~9章詳細講述惡意代碼分析基礎技術點,從搭建環境開始,逐步深入分析WindowsPE文件結構,講述如何執行編碼或加密的shellcode二進制代碼;第10~14章詳細解析惡意代碼常用的API函數混淆、進程注入、DLL注入規避檢測技術,介紹Yara工具檢測惡意代碼的使用方法,從零開始,系統深入地剖惡意代碼的網絡流量和文件行為。 本書既適合初學者入門,對于工作多年的惡意代碼分析工程師、網絡安全滲透測試工程、網絡安全軟件開發人員、安全課程培訓人員、高校網絡安全專業方向的學生等也有參考價值,并可作為高等院校和培訓機構相關專業的教學參考書。本書示例代碼豐富,實踐性和系統性較強。 很多人在年少時,曾經有一個黑客夢。
還記得“黑客”這個詞是我在一部名為《黑客帝國》的電影中第一次接觸到,雖然那時我并沒有學習網絡安全相關知識,但是里面的情景卻深深地印在了我的腦海中。眼花繚亂的命令行畫面讓我興奮不已,幻想著自己以后也能夠敲出神奇的命令,其中關于注入木馬病毒的場景至今記憶猶新。 隨著互聯網的快速發展,網絡攻擊日益頻繁,惡意代碼常被用于控制目標服務器,執行系統命令、監控操作系統等。惡意代碼分析工程師需要分析惡意代碼的樣本,提取shellcode二進制代碼,歸納總結惡意代碼的特征碼。使用特征碼識別對應的惡意代碼,從而檢測和查殺對應的惡意程序。 目前市面上很少有關于逆向分析惡意代碼的入門類書籍,這正是撰寫本書的初衷,希望本書能為網絡安全行業貢獻一份微薄之力。通過編寫本書,筆者查閱了大量的資料,使知識體系擴大了不少,收獲良多。 本書主要內容 第1章介紹搭建惡意代碼分析環境,包括FLARE VM及Kali Linux虛擬機的安裝。 第2章介紹Windows程序基礎,包括PE文件結構和PE分析工具。 第3章介紹生成和執行shellcode,包括Metasploit Framework生成shellcode和C語言加載執行shellcode。 第4章介紹逆向分析工具基礎,包括靜態分析工具IDA和動態分析工具x64dbg。 第5章介紹執行PE節中的shellcode,包括嵌入PE節的原理,執行嵌入.text、.data、.rsrc的shellcode。 第6章介紹base64編碼的shellcode,包括base64編碼原理、執行base64編碼的shellcode,以及使用x64dbg工具分析提取shellcode。 第7章介紹XOR異或加密shellcode,包括XOR異或加密原理、執行XOR異或加密的shellcode,以及使用x64dbg工具分析提取shellcode。 第8章介紹AES加密shellcode,包括AES加密原理、執行AES加密的shellcode,以及使用x64dbg工具分析提取shellcode。 第9章介紹構建shellcode runner程序,包括C語言加載并執行shellcode的多種方法,C語言加載并執行shellcode的方法,以及Virus Total分析惡意代碼的使用方法。 第10章介紹API函數混淆,包括API函數混淆的原理與實現,以及使用x64dbg工具分析API函數混淆。 第11章介紹進程注入技術,包括進程注入原理與實現,使用Process Hacker和x64dbg工具分析進程注入。 第12章介紹DLL注入技術,包括DLL注入原理與實現,使用x64dbg工具分析提取shellcode。 第13章介紹Yara檢測惡意程序的原理與實踐,包括安裝Yara工具,以及使用Yara工具的規則文件檢測惡意代碼。 第14章介紹檢測和分析惡意代碼,包括搭建REMnux Linux環境,分析惡意代碼的惡意域名信息,剖析惡意代碼的網絡流量和文件行為。 閱讀建議 本書是一本基礎入門加實戰的書籍,既有基礎知識,又有豐富示例,包括詳細的操作步驟,實操性強。由于逆向分析惡意代碼的相關技術較多,所以本書僅對逆向分析惡意代碼的基本概念和技術進行介紹,包括基本概念及代碼示例。每個知識點都配有代碼示例,力求精簡。對于每個知識點和項目案例,先通讀一遍有個大概印象,然后將每個知識點的實例代碼在分析環境中操作一遍,加深對知識點的印象。 建議讀者先把第1章搭建惡意代碼分析環境通讀一遍,搭建好分析環境。 第2~5章是逆向分析惡意代碼的基礎,掌握Windows操作系統PE文件結構,將生成的shellcode二進制代碼嵌入PE文件的不同節區,使用C語言加載并執行嵌入的shellcode二進制代碼。了解逆向分析工具IDA和x64dbg的基礎。 第6~9章是關于編碼和加密shellcode二進制代碼的內容,掌握base64編碼、XOR異或加密、AES加密shellcode二進制代碼,能夠使用x64dbg工具分析提取shellcode二進制代碼。 第10~14章是關于規避檢測和實戰分析的內容,掌握API函數混淆、進程注入、DLL注入規避檢測的技術,能夠使用x64dbg工具分析并提取shellcode二進制代碼。掌握Yara工具檢測惡意代碼的基本使用方法。搭建REMnux Linux環境,實戰分析惡意代碼的網絡流量和文件行為。 致謝 首先感謝我敬愛的領導劉高峰校長對我工作和生活的指導,給予我的關心與支持,點撥我的教育教學,指明我人生的道路,正是你的教誨和領導,才讓我更有信心地堅持學習并專研網絡安全技術。 感謝趙佳霓編輯對內容和結構上的指導,以及細心的審閱,讓本書更加完善和嚴謹,也感謝清華大學出版社的排版、設計、審校等所有參與本書出版過程的工作人員,有了你們的支持才會有本書的出版。 最后感謝我深愛的妻子、我可愛的女兒,感謝你們在我編寫本書時給予的無條件的理解和支持,使我可以全身心地投入寫作工作,在我專心寫書時給了我無盡的關懷和耐心的陪伴。 由于時間倉促,書中難免存在不妥之處,請讀者見諒,并提寶貴意見。 劉曉陽 2023年1月 |