恶意代码逆向分析基础详解

定　价：¥79.00

作　者：	刘晓阳
出版社：	清华大学出版社
丛编项：
标　签：	暂缺

购买这本书可以去

当当网 (¥59.20)

ISBN：	9787302630746	出版时间：	2023-06-01	包装：	平装-胶订
开本：	16开	页数：		字数：

内容简介

　　本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。本书共14章，第1~9章详细讲述恶意代码分析基础技术点，从搭建环境开始，逐步深入分析WindowsPE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10~14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖恶意代码的网络流量和文件行为。本书既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。本书示例代码丰富，实践性和系统性较强。

作者简介

　　刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。

图书目录

第1章搭建恶意代码分析环境
1.1搭建虚拟机实验环境
1.1.1安装VMware Workstation Pro虚拟机软件
1.1.2安装Windows 10系统虚拟机
1.1.3安装FLARE系统虚拟机
1.1.4安装Kali Linux系统虚拟机
1.1.5配置虚拟机网络拓扑环境
1.2搭建软件实验环境
1.2.1安装Visual Studio 2022开发软件
1.2.2安装x64dbg调试软件
1.2.3安装IDA调试软件
1.2.4安装010 Editor编辑软件
第2章Windows程序基础
2.1PE结构基础介绍
2.1.1DOS部分
2.1.2PE文件头部分
2.1.3PE节表部分
2.1.4PE节数据部分
2.2PE分析工具
2.3编译与分析EXE程序
2.4编译与分析DLL程序
第3章生成和执行shellcode
3.1shellcode介绍
3.1.1shell终端接口介绍
3.1.2获取shellcode的方法
3.2Metasploit工具介绍
3.2.1Metasploit Framework目录组成
3.2.2Metasploit Framework模块组成
3.2.3Metasploit Framework命令接口
3.3MsfVenom工具介绍
3.3.1MsfVenom参数说明
3.3.2MsfVenom生成shellcode
3.4C语言加载执行shellcode代码
3.5Meterpreter后渗透测试介绍
3.5.1Meterpreter参数说明
3.5.2Meterpreter键盘记录案例

第4章逆向分析工具
4.1逆向分析方法
4.2静态分析工具 IDA基础
4.2.1IDA软件常用快捷键
4.2.2IDA软件常用设置
4.3动态分析工具 x64dbg基础
4.3.1x64dbg软件界面介绍
4.3.2x64dbg软件调试案例
第5章执行PE节中的shellcode
5.1嵌入PE节的原理
5.1.1内存中执行shellcode原理
5.1.2常用Windows API函数介绍
5.1.3scdbg逆向分析shellcode
5.2嵌入PE .text节区的shellcode
5.3嵌入PE .data节区的shellcode
5.4嵌入PE .rsrc节区的shellcode
5.4.1Windows 程序资源文件介绍
5.4.2查找与加载.rsrc节区相关函数介绍
5.4.3实现嵌入.rsrc节区shellcode
第6章分析base64编码的shellcode
6.1base64编码原理
6.2Windows实现base64编码shellcode
6.2.1base64解码相关函数
6.2.2base64编码shellcode
6.2.3执行base64编码shellcode
6.3x64dbg分析提取shellcode
6.3.1x64dbg断点功能介绍
6.3.2x64dbg分析可执行程序
第7章分析XOR加密的shellcode
7.1XOR加密原理
7.1.1异或位运算介绍
7.1.2Python实现XOR异或加密shellcode
7.2XOR解密shellcode
7.2.1XOR解密函数介绍
7.2.2执行XOR加密shellcode
7.3x64dbg分析提取shellcode
第8章分析AES加密的shellcode
8.1AES加密原理
8.2AES加密shellcode
8.2.1Python加密shellcode
8.2.2实现AES解密shellcode
8.3x64dbg提取并分析shellcode
第9章构建shellcode runner程序
9.1C语言 shellcode runner程序
9.1.1C语言开发环境Dev C
9.1.2各种shellcode runner程序
9.2C#语言 shellcode runner程序
9.2.1VS 2022编写并运行C#程序
9.2.2C#语言调用Win32 API函数
9.2.3C#语言执行shellcode
9.3在线杀毒软件引擎Virus Total介绍
9.3.1Virus Total分析文件
9.3.2Virus Total分析进程
第10章分析API函数混淆
10.1PE分析工具pestudio基础
10.2API函数混淆原理与实现
10.2.1API函数混淆基本原理
10.2.2相关API函数介绍
10.2.3实现API函数混淆
10.3x64dbg分析函数混淆
第11章进程注入shellcode
11.1进程注入原理
11.2进程注入实现
11.2.1进程注入相关函数
11.2.2进程注入代码实现
11.3分析进程注入
11.3.1Process Hacker工具分析进程注入
11.3.2x64dbg工具分析进程注入
第12章DLL注入shellcode
12.1DLL注入原理
12.1.1DLL文件介绍
12.1.2DLL注入流程
12.2DLL注入实现
12.2.1生成DLL文件
12.2.2DLL注入代码实现
12.3分析DLL注入
第13章Yara检测恶意程序原理与实践
13.1Yara工具检测原理
13.2Yara工具基础
13.2.1安装Yara工具
13.2.2Yara基本使用方法
第14章检测和分析恶意代码
14.1搭建恶意代码分析环境
14.1.1REMnux Linux环境介绍
14.1.2配置分析环境的网络设置
14.1.3配置REMnux Linux网络服务
14.2实战：分析恶意代码的网络流量
14.3实战：分析恶意代码的文件行为
14.4实战：在线恶意代码检测沙箱