恶意代码逆向分析基础详解

图书标准信息

• 作者 刘晓阳
• 出版社 清华大学出版社
• 出版时间 2023-06
• 版次 1
• ISBN 9787302630746
• 定价 79.00元
• 装帧 其他
• 开本 16开
• 纸张 胶版纸
• 页数 616页
• 字数 434.000千字

【内容简介】

本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。最后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。
  本书共14章，第1~9章详细讲述恶意代码分析基础技术点，从搭建环境开始，逐步深入分析WindowsPE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10~14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖恶意代码的网络流量和文件行为。
  本书既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。本书示例代码丰富，实践性和系统性较强。

【作者简介】

刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。

【目录】

第1章搭建恶意代码分析环境

1.1搭建虚拟机实验环境

1.1.1安装VMware Workstation Pro虚拟机软件

1.1.2安装Windows 10系统虚拟机

1.1.3安装FLARE系统虚拟机

1.1.4安装Kali Linux系统虚拟机

1.1.5配置虚拟机网络拓扑环境

1.2搭建软件实验环境

1.2.1安装Visual Studio 2022开发软件

1.2.2安装x64dbg调试软件

1.2.3安装IDA调试软件

1.2.4安装010 Editor编辑软件

第2章Windows程序基础

2.1PE结构基础介绍

2.1.1DOS部分

2.1.2PE文件头部分

2.1.3PE节表部分

2.1.4PE节数据部分

2.2PE分析工具

2.3编译与分析EXE程序

2.4编译与分析DLL程序

第3章生成和执行shellcode

3.1shellcode介绍

3.1.1shell终端接口介绍

3.1.2获取shellcode的方法

3.2Metasploit工具介绍

3.2.1Metasploit Framework目录组成

3.2.2Metasploit Framework模块组成

3.2.3Metasploit Framework命令接口

3.3MsfVenom工具介绍

3.3.1MsfVenom参数说明

3.3.2MsfVenom生成shellcode

3.4C语言加载执行shellcode代码

3.5Meterpreter后渗透测试介绍

3.5.1Meterpreter参数说明

3.5.2Meterpreter键盘记录案例

 

 

 

第4章逆向分析工具

4.1逆向分析方法

4.2静态分析工具 IDA基础

4.2.1IDA软件常用快捷键

4.2.2IDA软件常用设置

4.3动态分析工具 x64dbg基础

4.3.1x64dbg软件界面介绍

4.3.2x64dbg软件调试案例

第5章执行PE节中的shellcode

5.1嵌入PE节的原理

5.1.1内存中执行shellcode原理

5.1.2常用Windows API函数介绍

5.1.3scdbg逆向分析shellcode

5.2嵌入PE .text节区的shellcode

5.3嵌入PE .data节区的shellcode

5.4嵌入PE .rsrc节区的shellcode

5.4.1Windows 程序资源文件介绍

5.4.2查找与加载.rsrc节区相关函数介绍

5.4.3实现嵌入.rsrc节区shellcode

第6章分析base64编码的shellcode

6.1base64编码原理

6.2Windows实现base64编码shellcode

6.2.1base64解码相关函数

6.2.2base64编码shellcode

6.2.3执行base64编码shellcode

6.3x64dbg分析提取shellcode

6.3.1x64dbg断点功能介绍

6.3.2x64dbg分析可执行程序

第7章分析XOR加密的shellcode

7.1XOR加密原理

7.1.1异或位运算介绍

7.1.2Python实现XOR异或加密shellcode

7.2XOR解密shellcode

7.2.1XOR解密函数介绍

7.2.2执行XOR加密shellcode

7.3x64dbg分析提取shellcode

第8章分析AES加密的shellcode

8.1AES加密原理

8.2AES加密shellcode

8.2.1Python加密shellcode

8.2.2实现AES解密shellcode

8.3x64dbg提取并分析shellcode

第9章构建shellcode runner程序

9.1C语言 shellcode runner程序

9.1.1C语言开发环境Dev C  

9.1.2各种shellcode runner程序

9.2C#语言 shellcode runner程序

9.2.1VS 2022编写并运行C#程序

9.2.2C#语言调用Win32 API函数

9.2.3C#语言执行shellcode

9.3在线杀毒软件引擎Virus Total介绍

9.3.1Virus Total分析文件

9.3.2Virus Total分析进程

第10章分析API函数混淆

10.1PE分析工具pestudio基础

10.2API函数混淆原理与实现

10.2.1API函数混淆基本原理

10.2.2相关API函数介绍

10.2.3实现API函数混淆

10.3x64dbg分析函数混淆

第11章进程注入shellcode

11.1进程注入原理

11.2进程注入实现

11.2.1进程注入相关函数

11.2.2进程注入代码实现

11.3分析进程注入

11.3.1Process Hacker工具分析进程注入

11.3.2x64dbg工具分析进程注入

第12章DLL注入shellcode

12.1DLL注入原理

12.1.1DLL文件介绍

12.1.2DLL注入流程

12.2DLL注入实现

12.2.1生成DLL文件

12.2.2DLL注入代码实现

12.3分析DLL注入

第13章Yara检测恶意程序原理与实践

13.1Yara工具检测原理

13.2Yara工具基础

13.2.1安装Yara工具

13.2.2Yara基本使用方法

第14章检测和分析恶意代码

14.1搭建恶意代码分析环境

14.1.1REMnux Linux环境介绍

14.1.2配置分析环境的网络设置

14.1.3配置REMnux Linux网络服务

14.2实战： 分析恶意代码的网络流量

14.3实战： 分析恶意代码的文件行为

14.4实战： 在线恶意代码检测沙箱