木馬核心技術(shù)剖析

第1章 緒論1.1 木馬的基本概念1.2 木馬的發(fā)展歷程1.3 木馬的類型1.4 本書組織結(jié)構(gòu)第2章 木馬的隱藏2.1 木馬自身文件的隱藏2.1.1 基于文件枚舉函數(shù)Hook的隱藏2.1.2 基于FSDHook的文件隱藏2.1.3 基于自定義文件系統(tǒng)的隱藏2.2 木馬模塊的隱藏2.2.1 “摘鏈”隱藏2.2.2 基于PELoader的隱藏2.3 網(wǎng)絡(luò)端口的隱藏2.3.1 WindowsXP系統(tǒng)下的端口隱藏2.3.2 Vista之后的端口隱藏2.3.3 端口復(fù)用2.4 小結(jié)第3章 木馬驅(qū)動加載與啟動3.1 Windows存儲與啟動過程3.1.1 Windows系統(tǒng)硬盤與分區(qū)3.1.2 基于BIOS的系統(tǒng)啟動過程3.1.3 基于UEFI的啟動過程3.2 基于MBR的Bootkit3.2.1 MBR結(jié)構(gòu)解析3.2.2 MBR的修改3.3 基于VBR的Bootkit3.3.1 VBR結(jié)構(gòu)解析3.3.2 VBR的修改3.4 Bootkit控制系統(tǒng)啟動與加載驅(qū)動3.4.1 掛鉤中斷3.4.2 監(jiān)控系統(tǒng)啟動3.4.3 加載驅(qū)動3.5 小結(jié)第4章 木馬的免殺4.1 免殺原理4.2 針對靜態(tài)查殺的免殺4.2.1 特征字符串變形4.2.2 木馬組件加密和存儲4.2.3 基于泛型的API動態(tài)調(diào)用4.3 針對動態(tài)查殺的免殺4.3.1 時間延遲方式4.3.2 資源耗盡方式4.3.3 上下文差異4.3.4 多次啟動4.3.5 虛擬環(huán)境中的WindowsAPI差異4.3.6 已知特定目標(biāo)機器信息4.4 其他免殺方法4.4.1 代碼注入4.4.2 傀儡進(jìn)程4.4.3 DLL劫持4.5 腳本化木馬4.6 小結(jié)第5章 木馬反分析技術(shù)5.1 反調(diào)試5.1.1 調(diào)試器的工作機制5.1.2 反調(diào)試5.2 反反匯編5.3 反虛擬機5.4 反沙盒5.4.1 沙盒原理5.4.2 沙盒檢測5.5 反內(nèi)存掃描5.6 小結(jié)第6章 Windows 64位系統(tǒng)下的木馬技術(shù)6.1 Windows 64位系統(tǒng)6.2 Wow64子系統(tǒng)6.3 Wow64中執(zhí)行64位代碼6.3.1 32位進(jìn)程中執(zhí)行64位的指令6.3.2 32位進(jìn)程中調(diào)用64位API6.4 小結(jié)第7章 木馬通信與防火墻穿透7.1 基于TCP的木馬控制通信7.1.1 粘包和分包處理7.1.2 鏈接?；?.2 基于UDP的木馬控制通信7.3 基于HTTP／HTTPS的木馬通信7.4 邊界防火墻穿透7.5 Forefront TMG穿透解析7.5.1 ForefrontTMG實驗網(wǎng)絡(luò)拓?fù)?.5.2 穿透思路與實現(xiàn)7.6 小結(jié)第8章 木馬實例解析8.1 模塊化的木馬系統(tǒng)架構(gòu)8.2 生成器8.3 被控端8.3.1 木馬釋放組件8.3.2 常駐模塊8.4 控制端8.4.1 控制端的架構(gòu)8.4.2 控制端的通信8.5 小結(jié)第9章 木馬技術(shù)的發(fā)展趨勢9.1 通信更加隱蔽化9.1.1 基于Tor的通信9.1.2 基于公共服務(wù)的中轉(zhuǎn)通信9.1.3 基于內(nèi)核的網(wǎng)絡(luò)通信9.2 實現(xiàn)呈現(xiàn)硬件化9.3 植入平臺多樣化9.4 小結(jié)參考文獻(xiàn)