黑客免殺攻防

定　價(jià)：￥89.00

作　者：	任曉琿著
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	計(jì)算機(jī)/網(wǎng)絡(luò) 信息安全

購買這本書可以去

ISBN：	9787111440420	出版時(shí)間：	2013-09-01	包裝：	平裝
開本：	16開	頁數(shù)：	468	字?jǐn)?shù)：

內(nèi)容簡介

　　《黑客免殺攻防》國內(nèi)首部關(guān)于黑客免殺技術(shù)的專著，旨在為反病毒工程師剖析各種惡意軟件和應(yīng)對各種安全威脅提供全面指導(dǎo)。不僅從攻擊者（黑客）的視角全方位揭示了黑客免殺技術(shù)的常用方法、常用技術(shù)和思想原理，還從防御者（反病毒工程師）的視角深入講解了遏制免殺技術(shù)的具體方法策略。從純技術(shù)的角度講，本書不僅詳細(xì)講解了免殺技術(shù)的各種細(xì)節(jié)和方法，還詳細(xì)講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等安全技術(shù)的細(xì)節(jié)?！逗诳兔鈿⒐シ馈饭?0章，分為三大部分：基礎(chǔ)篇（第1~6章）詳細(xì)介紹了黑客免殺技術(shù)的初級技巧，包括查找（修改）特征碼、常見特征碼繞過技巧、殼在免殺中的應(yīng)用、花指令和其他免殺基礎(chǔ)知識；高級篇（第7~16章）深入講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等常用安全技術(shù)的原理和細(xì)節(jié)，以及黑客免殺技術(shù)是如何應(yīng)用它們的，為反病毒工程師應(yīng)對各種惡意軟件提供了原理性指導(dǎo)；擴(kuò)展篇（第17~20章）為遏制黑客免殺技術(shù)提供了思路和具體的方案。

作者簡介

　　任曉琿資深安全技術(shù)工程師，華章“信息安全技術(shù)叢書”專家顧問，致力于免殺技術(shù)和反病毒技術(shù)的實(shí)踐。對軟件安全、逆向工程、Rootkit、加殼與脫殼等技術(shù)有較深入的研究和理解，積累了豐富的經(jīng)驗(yàn)。北京藍(lán)森科技有限公司創(chuàng)始人，黑客反病毒論壇（www.hackav.com）創(chuàng)始人，邪惡八進(jìn)制團(tuán)隊(duì)成員，資深培訓(xùn)講師，國內(nèi)知名信息安全培訓(xùn)品牌15PB的創(chuàng)始人。目前專注于計(jì)算機(jī)安全的中高端培訓(xùn)。

圖書目錄

前言
基礎(chǔ)篇　初級免殺技術(shù)
第1章　變臉
1.1　為何變臉
1.2　何為變臉
1.3　免殺的發(fā)展史
1.4　免殺技術(shù)的簡單原理
1.5　免殺與其他技術(shù)的區(qū)別
1.5.1　免殺不是Rootkit技術(shù)
1.5.2　免殺不是加密解密技術(shù)
1.6　小結(jié)
第2章　免殺基礎(chǔ)知識
2.1　如何開始免殺
2.2　反病毒軟件原理與反病毒技術(shù)介紹
2.2.1　反病毒軟件的工作原理
2.2.2　基于文件掃描的反病毒技術(shù)
2.2.3　基于內(nèi)存掃描的反病毒技術(shù)
2.2.4　基于行為監(jiān)控的反病毒技術(shù)
2.2.5　基于新興技術(shù)的反病毒技術(shù)
2.2.6　反病毒技術(shù)前沿
2.2.7　反病毒技術(shù)展望
2.3　了解PE文件
2.3.1　什么是PE文件
2.3.2　PE文件的結(jié)構(gòu)
2.4　免殺原理
2.4.1　文件免殺原理
2.4.2　內(nèi)存免殺原理
2.4.3　行為免殺原理
2.5　工具脫殼技巧
2.5.1　殼的分類
2.5.2　免殺與脫殼是什么關(guān)系
2.5.3　使用專用脫殼工具脫殼
2.5.4　使用通用脫殼工具脫殼
2.6　小結(jié)
第3章　免殺與特征碼
3.1　特征碼免殺技術(shù)
3.1.1　理想狀態(tài)下的免殺
3.1.2　由腳本木馬免殺理解特征碼
3.2　特征碼定位原理
3.2.1　特征碼逐塊填充定位原理
3.2.2　特征碼逐塊暴露定位原理
3.2.3　特征碼混合定位原理
3.3　腳本木馬定位特征碼
3.4　MyCCL查找文件特征碼
3.4.1　MyCCL的典型應(yīng)用
3.4.2　針對MyCCL的一點(diǎn)思考
3.5　MyCCL查找內(nèi)存特征碼
3.6　特征碼修改方法
3.6.1　簡單的特征碼修改
3.6.2　特征碼修改進(jìn)階
3.7　小結(jié)
第4章　其他免殺技術(shù)
4.1　修改入口點(diǎn)免殺
4.2　使用VMProtect加密
4.3　Overlay附加數(shù)據(jù)的處理及應(yīng)用
4.4　驅(qū)動(dòng)程序免殺修改技巧
4.4.1　驅(qū)動(dòng)程序的常見免殺方法
4.4.2　驅(qū)動(dòng)程序的手工免殺思路
4.5　補(bǔ)丁在免殺中的應(yīng)用
4.6　PE文件進(jìn)階介紹
4.6.1　PE文件格式
4.6.2　虛擬內(nèi)存的簡單介紹
4.6.3　PE文件的內(nèi)存映射
4.7　網(wǎng)頁木馬的免殺
4.7.1　腳本木馬免殺
4.7.2　網(wǎng)頁掛馬的免殺
4.8　小結(jié)
第5章　花指令與免殺
5.1　什么是花指令
5.2　腳本木馬的花指令應(yīng)用
5.3　花指令的根基—匯編語言
5.3.1　認(rèn)識匯編
5.3.2　通過反匯編添加任意功能
5.4　花指令入門
5.5　花指令在免殺領(lǐng)域的應(yīng)用
5.5.1　花指令的應(yīng)用技巧
5.5.2　花指令的修改技巧簡介
5.5.3　空白區(qū)域?qū)ふ遗c加空白區(qū)段
5.6　花指令的高級應(yīng)用
5.6.1　花指令的提取與快速應(yīng)用
5.6.2　SEH異常的應(yīng)用
5.7　小結(jié)
第6章　殼在免殺中的應(yīng)用
6.1　殼的基礎(chǔ)知識
6.2　殼在免殺領(lǐng)域的應(yīng)用
6.2.1　加殼的免殺原理
6.2.2　FreeRes多重加殼
6.3　殼的修改技巧
6.3.1　殼的初級修改
6.3.2　制作通用補(bǔ)丁
6.4　小結(jié)
高級篇　免殺技術(shù)進(jìn)階
第7章　PE文件格式詳解
7.1　MS-DOS頭
7.1.1　重要字段
7.1.2　其他字段
7.2　PE文件頭
7.2.1　Signature字段
7.2.2　IMAGE_FILE_HEADER結(jié)構(gòu)
7.2.3　IMAGE_OPTIONAL_HEADER結(jié)構(gòu)（x86/x64）
7.2.4　數(shù)據(jù)目錄表
7.3　區(qū)段表
7.3.1　IMAGE_SECTION_HEADER結(jié)構(gòu)
7.3.2　區(qū)段名功能約定
7.3.3　區(qū)段對齊詳解
7.3.4　地址轉(zhuǎn)換
7.4　導(dǎo)出表
7.4.1　IMAGE_EXPORT_DIRECTORY結(jié)構(gòu)
7.4.2　識別導(dǎo)出表
7.5　導(dǎo)入表
7.5.1　IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)
7.5.2　識別導(dǎo)入表
7.6　資源
7.6.1　資源結(jié)構(gòu)
7.6.2　識別資源
7.7　異常
7.8　安全
7.8.1　安全目錄結(jié)構(gòu)
7.8.2　識別安全結(jié)構(gòu)
7.9　基址重定位
7.9.1　基址重定位表結(jié)構(gòu)
7.9.2　識別基址重定位表
7.10　調(diào)試
7.11　特殊結(jié)構(gòu)數(shù)據(jù)（版權(quán)）
7.12　全局指針
7.13　TLS
7.13.1　TLS的回調(diào)函數(shù)
7.13.2　TLS的結(jié)構(gòu)（x86/x64）
7.13.3　識別TLS
7.14　載入配置（x86/x64）
7.15　綁定導(dǎo)入表
7.15.1　綁定導(dǎo)入表結(jié)構(gòu)
7.15.2　識別綁定導(dǎo)入表
7.16　導(dǎo)入地址表
7.17　延遲加載表
7.17.1　延遲加載表結(jié)構(gòu)
7.17.2　識別延遲加載表
7.18　COM描述符
7.19　小結(jié)
第8章　PE文件知識在免殺中的應(yīng)用
8.1　PE文件與免殺思路
8.1.1　移動(dòng)PE文件頭位置免殺
8.1.2　導(dǎo)入表移動(dòng)免殺
8.1.3　導(dǎo)出表移動(dòng)免殺
8.2　PE文件與反啟發(fā)式掃描
8.2.1　最后一個(gè)區(qū)段為代碼段
8.2.2　可疑的區(qū)段頭部屬性
8.2.3　可疑的PE選項(xiàng)頭的有效尺寸值
8.2.4　可疑的代碼節(jié)名稱
8.2.5　多個(gè)PE頭部
8.2.6　導(dǎo)入表項(xiàng)存在可疑導(dǎo)入
8.3　一個(gè)稍顯復(fù)雜的例子—隱藏導(dǎo)入表
8.3.1　操作原理與先決條件
8.3.2　修改PE文件
8.3.3　構(gòu)造我們的反匯編代碼
8.4　小結(jié)
第9章　軟件逆向工程
9.1　準(zhǔn)備工作
9.1.1　要準(zhǔn)備的工具及基礎(chǔ)知識
9.1.2　程序是從哪里開始運(yùn)行的
9.2　一個(gè)簡單的小例子
9.3　函數(shù)識別初探
9.4　if-else分支
9.4.1　以常量為判斷條件的簡單if-else分支
9.4.2　以變量為判斷條件的簡單if-else分支
9.4.3　以常量為判斷條件的復(fù)雜if-else分支
9.4.4　以變量為判斷條件的復(fù)雜if-else分支
9.4.5　識別三目運(yùn)算符
9.5　循環(huán)分支
9.5.1　do-while循環(huán)
9.5.2　while循環(huán)
9.5.3　for循環(huán)
9.5.4　循環(huán)體的語句外提優(yōu)化
9.6　switch-case分支
9.6.1　簡單switch-case分支識別技巧
9.6.2　復(fù)雜分支的switch-case識別
9.6.3　switch-case分支結(jié)構(gòu)與稀疏矩陣
9.6.4　switch-case分支結(jié)構(gòu)與平衡二叉樹
9.7　加法與減法的識別與優(yōu)化原理
9.7.1　加法的識別與優(yōu)化
9.7.2　減法的識別與優(yōu)化
9.8　乘法與除法的識別與優(yōu)化原理
9.8.1　乘法的位移優(yōu)化
9.8.2　乘法的lea指令優(yōu)化
9.8.3　除法與倒數(shù)相乘
9.8.4　倒數(shù)相乘與定點(diǎn)運(yùn)算的配合
9.8.5　除法運(yùn)算的識別與優(yōu)化
9.8.6　取模運(yùn)算的識別與優(yōu)化
9.9　指針與數(shù)組
9.9.1　指針與數(shù)組的淵源
9.9.2　數(shù)組的不同表達(dá)方式
9.10　數(shù)組、結(jié)構(gòu)體與對象
9.10.1　數(shù)組與結(jié)構(gòu)體
9.10.2　結(jié)構(gòu)體與類
9.11　變量作用域的識別
9.12　識別構(gòu)造與析構(gòu)函數(shù)
9.12.1　快速識別出類
9.12.2　識別構(gòu)造函數(shù)
9.12.3　識別析構(gòu)函數(shù)
9.13　虛函數(shù)與純虛函數(shù)的識別
9.13.1　識別簡單的虛函數(shù)
9.13.2　識別較復(fù)雜的虛函數(shù)
9.14 　正確識別類的繼承關(guān)系
9.15　最后一役
9.15.1　MFC逆向初探
9.15.2　分析BypassUAC.exe
9.16　小結(jié)
第10章　源碼級免殺
10.1　怎樣定位產(chǎn)生特征的源代碼
10.1.1　定位文件特征
10.1.2　定位行為特征
10.2　基于源碼的特征修改
10.2.1　變換編譯器與編譯選項(xiàng)
10.2.2　添加垃圾代碼
10.2.3　語法變換
10.2.4　添加匯編花指令
10.3　小結(jié)
第11章　詳解C++殼的編寫
11.1　了解殼的運(yùn)行流程
11.2　設(shè)計(jì)一個(gè)純C++編寫的殼
11.2.1　用C++編寫的殼應(yīng)該是什么樣的
11.2.2　編寫過程中會遇到的問題
11.3　用C++寫一個(gè)簡單的殼
11.3.1　配置工程
11.3.2　編寫Stub部分
11.3.3　編寫加殼部分
11.3.4　編寫界面部分
11.4　設(shè)計(jì)一個(gè)由C++編寫的專業(yè)殼
11.4.1　為問題找到答案
11.4.2　設(shè)計(jì)專業(yè)殼的框架
11.4.3　如何設(shè)計(jì)Stub部分
11.4.4　如何設(shè)計(jì)加殼部分
11.4.5　需要注意的細(xì)節(jié)問題
11.5　怎樣調(diào)試由C++編寫的Stub部分
11.6　小結(jié)
第12章　黑客是怎樣打造免殺殼的
12.1　免殺殼與加密殼的異同
12.2　導(dǎo)入表加密
12.3　代碼混淆與代碼亂序
12.4　附加驅(qū)動(dòng)
12.5　小結(jié)
第13章　脫殼技術(shù)
13.1　尋找OEP
13.1.1　利用內(nèi)存斷點(diǎn)
13.1.2　利用堆棧平衡
13.1.3　利用編譯語言特點(diǎn)
13.1.4　利用跨區(qū)段跳轉(zhuǎn)
13.2　轉(zhuǎn)儲內(nèi)存映像
13.3　重建導(dǎo)入表
13.3.1　導(dǎo)入表重建原理
13.3.2　使用ImportREC重建導(dǎo)入表
13.4　小結(jié)
第14章　Rootkit基礎(chǔ)
14.1　構(gòu)建一個(gè)Rootkit基礎(chǔ)環(huán)境
14.1.1　構(gòu)建開發(fā)環(huán)境
14.1.2　構(gòu)建基于Visual Studio 2012的調(diào)試環(huán)境
14.1.3　構(gòu)建基于WinDbg的調(diào)試環(huán)境
14.1.4　將Rootkit加載到系統(tǒng)
14.1.5　創(chuàng)建一個(gè)簡單的驅(qū)動(dòng)并調(diào)試
14.2　何為Ring0層
14.3　關(guān)鍵表
14.4　內(nèi)存分頁
14.4.1　地址轉(zhuǎn)譯
14.4.2　內(nèi)存訪問檢查
14.4.3　Windows對重要表的保護(hù)
14.5　內(nèi)存描述符表
14.6　中斷描述符表（IDT）
14.7　系統(tǒng)服務(wù)調(diào)度表
14.8　控制寄存器
14.8.1　利用CR0禁用內(nèi)存保護(hù)機(jī)制
14.8.2　其他控制寄存器
14.9　小結(jié)
第15章　Rootkit在免殺中的應(yīng)用
15.1　用戶模式Rootkit
15.1.1　DLL遠(yuǎn)程注入技巧
15.1.2　內(nèi)聯(lián)鉤子
15.1.3　導(dǎo)入地址表鉤子
15.1.4　一個(gè)保護(hù)文件不被刪除的例子
15.2　內(nèi)核編程基礎(chǔ)
15.2.1　內(nèi)核編程環(huán)境與用戶層編程環(huán)境的異同
15.2.2　如何選擇Windows驅(qū)動(dòng)開發(fā)模型
15.2.3　驅(qū)動(dòng)設(shè)備與請求處理
15.2.4　內(nèi)核編程中的數(shù)據(jù)類型
15.2.5　函數(shù)調(diào)用
15.2.6　Windows內(nèi)核編程的特點(diǎn)
15.3　內(nèi)核模式Rootkit
15.3.1　SYSENTER鉤子
15.3.2　SSDT鉤子
15.3.3　內(nèi)聯(lián)鉤子
15.3.4　IRP鉤子
15.3.5　LADDR鉤子
15.3.6　IDT鉤子
15.3.7　IOAPIC鉤子
15.4　小結(jié)
第16章　免殺技術(shù)前沿
16.1　免殺技術(shù)的發(fā)展趨勢
16.2　免殺前沿之突破主動(dòng)防御
16.2.1　“移花接木”之屏幕截圖突破主動(dòng)防御
16.2.2　“暗渡陳倉”之利用可信進(jìn)程突破主動(dòng)防御
16.2.3　“釜底抽薪”之利用系統(tǒng)進(jìn)程突破主動(dòng)防御
16.2.4　“順手牽羊”之利用邏輯漏洞突破主動(dòng)防御
16.2.5　“渾水摸魚”之利用變形復(fù)制突破主動(dòng)防御
16.2.6　“金蟬脫殼”之利用異同逃逸虛擬機(jī)
16.2.7　“借尸還魂”之利用替換文件突破主動(dòng)防御
16.2.8　“借刀殺人”之利用調(diào)試接口突破主動(dòng)防御
16.3　黑客免殺技術(shù)的展望
16.4　小結(jié)
擴(kuò)展篇　遏制免殺技術(shù)初探
第17章　淺談部分免殺技巧的遏制
17.1　盯緊PE文件
17.2　盯緊程序行為
17.3　小結(jié)
第18章　反特征碼定位
18.1　釋放干擾碼
18.2　定位行為的判定
18.3　設(shè)定“靶特征碼”
18.4　小結(jié)
第19章　遏制免殺與Anti Rootkit
19.1　適當(dāng)?shù)谋O(jiān)控
19.2　基本檢測邏輯
19.3　Rootkit檢測方法初探
19.4　小結(jié)
第20章　淺談反病毒產(chǎn)品的改進(jìn)
20.1　云查殺與本地查殺緊密結(jié)合
20.2　注重感染型病毒木馬的清除工作
20.3　精進(jìn)啟發(fā)式掃描解決效率問題
20.4　小結(jié)
附錄A　80x86匯編基礎(chǔ)知識