鏈接：https://pan.baidu.com/s/1AHyt5nPEBKAMev0UyPYVjQ?pwd=yxex?

提取碼：yxex

本書以實戰(zhàn)項目為主線，以理論基礎為核心，引導讀者漸進式學習如何分析Windows操作系統(tǒng)的惡意程序。從惡意代碼開發(fā)者的角度出發(fā)，闡述惡意代碼的編碼和加密、規(guī)避檢測技術。最后，實戰(zhàn)分析惡意程序的網絡流量和文件行為，挖掘惡意域名等信息。

本書共14章，第1~9章詳細講述惡意代碼分析基礎技術點，從搭建環(huán)境開始，逐步深入分析WindowsPE文件結構，講述如何執(zhí)行編碼或加密的shellcode二進制代碼；第10~14章詳細解析惡意代碼常用的API函數(shù)混淆、進程注入、DLL注入規(guī)避檢測技術，介紹Yara工具檢測惡意代碼的使用方法，從零開始，系統(tǒng)深入地剖惡意代碼的網絡流量和文件行為。

本書既適合初學者入門，對于工作多年的惡意代碼分析工程師、網絡安全滲透測試工程、網絡安全軟件開發(fā)人員、安全課程培訓人員、高校網絡安全專業(yè)方向的學生等也有參考價值，并可作為高等院校和培訓機構相關專業(yè)的教學參考書。本書示例代碼豐富，實踐性和系統(tǒng)性較強。

作者簡介

劉曉陽，多年來一直從事網絡安全方面的教學和研究工作。在網絡滲透測試方面有十分豐富的實踐經驗，擅長對企業(yè)內網的滲透測試、開發(fā)紅隊安全工具的相關技術。

目錄

第1章搭建惡意代碼分析環(huán)境

1.1搭建虛擬機實驗環(huán)境

1.1.1安裝VMware Workstation Pro虛擬機軟件

1.1.2安裝Windows 10系統(tǒng)虛擬機

1.1.3安裝FLARE系統(tǒng)虛擬機

1.1.4安裝Kali Linux系統(tǒng)虛擬機

1.1.5配置虛擬機網絡拓撲環(huán)境

1.2搭建軟件實驗環(huán)境

1.2.1安裝Visual Studio 2022開發(fā)軟件

1.2.2安裝x64dbg調試軟件

1.2.3安裝IDA調試軟件

1.2.4安裝010 Editor編輯軟件

第2章Windows程序基礎

2.1PE結構基礎介紹

2.1.1DOS部分

2.1.2PE文件頭部分

2.1.3PE節(jié)表部分

2.1.4PE節(jié)數(shù)據(jù)部分

2.2PE分析工具

2.3編譯與分析EXE程序

2.4編譯與分析DLL程序

第3章生成和執(zhí)行shellcode

3.1shellcode介紹

3.1.1shell終端接口介紹

3.1.2獲取shellcode的方法

3.2Metasploit工具介紹

3.2.1Metasploit Framework目錄組成

3.2.2Metasploit Framework模塊組成

3.2.3Metasploit Framework命令接口

3.3MsfVenom工具介紹

3.3.1MsfVenom參數(shù)說明

3.3.2MsfVenom生成shellcode

3.4C語言加載執(zhí)行shellcode代碼

3.5Meterpreter后滲透測試介紹

3.5.1Meterpreter參數(shù)說明

3.5.2Meterpreter鍵盤記錄案例

第4章逆向分析工具

4.1逆向分析方法

4.2靜態(tài)分析工具 IDA基礎

4.2.1IDA軟件常用快捷鍵

4.2.2IDA軟件常用設置

4.3動態(tài)分析工具 x64dbg基礎

4.3.1x64dbg軟件界面介紹

4.3.2x64dbg軟件調試案例

第5章執(zhí)行PE節(jié)中的shellcode

5.1嵌入PE節(jié)的原理

5.1.1內存中執(zhí)行shellcode原理

5.1.2常用Windows API函數(shù)介紹

5.1.3scdbg逆向分析shellcode

5.2嵌入PE .text節(jié)區(qū)的shellcode

5.3嵌入PE .data節(jié)區(qū)的shellcode

5.4嵌入PE .rsrc節(jié)區(qū)的shellcode

5.4.1Windows 程序資源文件介紹

5.4.2查找與加載.rsrc節(jié)區(qū)相關函數(shù)介紹

5.4.3實現(xiàn)嵌入.rsrc節(jié)區(qū)shellcode

第6章分析base64編碼的shellcode

6.1base64編碼原理

6.2Windows實現(xiàn)base64編碼shellcode

6.2.1base64解碼相關函數(shù)

6.2.2base64編碼shellcode

6.2.3執(zhí)行base64編碼shellcode

6.3x64dbg分析提取shellcode

6.3.1x64dbg斷點功能介紹

6.3.2x64dbg分析可執(zhí)行程序

第7章分析XOR加密的shellcode

7.1XOR加密原理

7.1.1異或位運算介紹

7.1.2Python實現(xiàn)XOR異或加密shellcode

7.2XOR解密shellcode

7.2.1XOR解密函數(shù)介紹

7.2.2執(zhí)行XOR加密shellcode

7.3x64dbg分析提取shellcode

第8章分析AES加密的shellcode

8.1AES加密原理

8.2AES加密shellcode

8.2.1Python加密shellcode

8.2.2實現(xiàn)AES解密shellcode

8.3x64dbg提取并分析shellcode

第9章構建shellcode runner程序

9.1C語言 shellcode runner程序

9.1.1C語言開發(fā)環(huán)境Dev C++

9.1.2各種shellcode runner程序

9.2C#語言 shellcode runner程序

9.2.1VS 2022編寫并運行C#程序

9.2.2C#語言調用Win32 API函數(shù)

9.2.3C#語言執(zhí)行shellcode

9.3在線殺毒軟件引擎Virus Total介紹

9.3.1Virus Total分析文件

9.3.2Virus Total分析進程

第10章分析API函數(shù)混淆

10.1PE分析工具pestudio基礎

10.2API函數(shù)混淆原理與實現(xiàn)

10.2.1API函數(shù)混淆基本原理

10.2.2相關API函數(shù)介紹

10.2.3實現(xiàn)API函數(shù)混淆

10.3x64dbg分析函數(shù)混淆

第11章進程注入shellcode

11.1進程注入原理

11.2進程注入實現(xiàn)

11.2.1進程注入相關函數(shù)

11.2.2進程注入代碼實現(xiàn)

11.3分析進程注入

11.3.1Process Hacker工具分析進程注入

11.3.2x64dbg工具分析進程注入

第12章DLL注入shellcode

12.1DLL注入原理

12.1.1DLL文件介紹

12.1.2DLL注入流程

12.2DLL注入實現(xiàn)

12.2.1生成DLL文件

12.2.2DLL注入代碼實現(xiàn)

12.3分析DLL注入

第13章Yara檢測惡意程序原理與實踐

13.1Yara工具檢測原理

13.2Yara工具基礎

13.2.1安裝Yara工具

13.2.2Yara基本使用方法

第14章檢測和分析惡意代碼

14.1搭建惡意代碼分析環(huán)境

14.1.1REMnux Linux環(huán)境介紹

14.1.2配置分析環(huán)境的網絡設置

14.1.3配置REMnux Linux網絡服務

14.2實戰(zhàn)： 分析惡意代碼的網絡流量

14.3實戰(zhàn)： 分析惡意代碼的文件行為

14.4實戰(zhàn)： 在線惡意代碼檢測沙箱

查看全部↓

前言/序言

很多人在年少時，曾經有一個黑客夢。

還記得“黑客”這個詞是我在一部名為《黑客帝國》的電影中第一次接觸到，雖然那時我并沒有學習網絡安全相關知識，但是里面的情景卻深深地印在了我的腦海中。眼花繚亂的命令行畫面讓我興奮不已，幻想著自己以后也能夠敲出神奇的命令，其中關于注入木馬病毒的場景至今記憶猶新。

隨著互聯(lián)網的快速發(fā)展，網絡攻擊日益頻繁，惡意代碼常被用于控制目標服務器，執(zhí)行系統(tǒng)命令、監(jiān)控操作系統(tǒng)等。惡意代碼分析工程師需要分析惡意代碼的樣本，提取shellcode二進制代碼，歸納總結惡意代碼的特征碼。使用特征碼識別對應的惡意代碼，從而檢測和查殺對應的惡意程序。

目前市面上很少有關于逆向分析惡意代碼的入門類書籍，這正是撰寫本書的初衷，希望本書能為網絡安全行業(yè)貢獻一份微薄之力。通過編寫本書，筆者查閱了大量的資料，使知識體系擴大了不少，收獲良多。