《恶意代码逆向分析基础详解》[66]百度网盘|亲测有效|pdf下载

产品特色

编辑推荐

本书立足实战，以深入浅出的方式，为广大安全技术人员开拓出一条“行之有效”的安全技术进阶之路，细致而全面地讲述了恶意代码分析技术工作所需要的各项逆向技能，指导学习者在理解PE文件的同时，如何去分析各种复杂的shellcode。

内容简介

本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。
本书共14章，第1~9章详细讲述恶意代码分析基础技术点，从搭建环境开始，逐步深入分析WindowsPE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10~14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖恶意代码的网络流量和文件行为。
本书既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。本书示例代码丰富，实践性和系统性较强。

作者简介

刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。

目　　录

第1章搭建恶意代码分析环境
2.1.4PE节数据部分
第6章分析base64编码的shellcode
10.2API函数混淆原理与实现
10.2.1API函数混淆基本原理
10.2.2相关API函数介绍
10.2.3实现API函数混淆
10.3x64dbg分析函数混淆
第11章进程注入shellcode
11.1进程注入原理
11.2进程注入实现
11.2.1进程注入相关函数
11.2.2进程注入代码实现
11.3分析进程注入

第1章搭建恶意代码分析环境
1.1搭建虚拟机实验环境
1.1.1安装VMware Workstation Pro虚拟机软件
1.1.2安装Windows 10系统虚拟机
1.1.3安装FLARE系统虚拟机
1.1.4安装Kali Linux系统虚拟机
1.1.5配置虚拟机网络拓扑环境
1.2搭建软件实验环境
1.2.1安装Visual Studio 2022开发软件
1.2.2安装x64dbg调试软件
1.2.3安装IDA调试软件
1.2.4安装010 Editor编辑软件
第2章Windows程序基础
2.1PE结构基础介绍
2.1.1DOS部分
2.1.2PE文件头部分
2.1.3PE节表部分
 2.1.4PE节数据部分
2.2PE分析工具
2.3编译与分析EXE程序
2.4编译与分析DLL程序
第3章生成和执行shellcode
3.1shellcode介绍
3.1.1shell终端接口介绍
3.1.2获取shellcode的方法
3.2Metasploit工具介绍
3.2.1Metasploit Framework目录组成
3.2.2Metasploit Framework模块组成
3.2.3Metasploit Framework命令接口
3.3MsfVenom工具介绍
3.3.1MsfVenom参数说明
3.3.2MsfVenom生成shellcode
3.4C语言加载执行shellcode代码
3.5Meterpreter后渗透测试介绍
3.5.1Meterpreter参数说明
3.5.2Meterpreter键盘记录案例
 
 
 
第4章逆向分析工具
4.1逆向分析方法
4.2静态分析工具 IDA基础
4.2.1IDA软件常用快捷键
4.2.2IDA软件常用设置
4.3动态分析工具 x64dbg基础
4.3.1x64dbg软件界面介绍
4.3.2x64dbg软件调试案例
第5章执行PE节中的shellcode
5.1嵌入PE节的原理
5.1.1内存中执行shellcode原理
5.1.2常用Windows API函数介绍
5.1.3scdbg逆向分析shellcode
5.2嵌入PE .text节区的shellcode
5.3嵌入PE .data节区的shellcode
5.4嵌入PE .rsrc节区的shellcode
5.4.1Windows 程序资源文件介绍
5.4.2查找与加载.rsrc节区相关函数介绍
5.4.3实现嵌入.rsrc节区shellcode
 第6章分析base64编码的shellcode
6.1base64编码原理
6.2Windows实现base64编码shellcode
6.2.1base64解码相关函数
6.2.2base64编码shellcode
6.2.3执行base64编码shellcode
6.3x64dbg分析提取shellcode
6.3.1x64dbg断点功能介绍
6.3.2x64dbg分析可执行程序
第7章分析XOR加密的shellcode
7.1XOR加密原理
7.1.1异或位运算介绍
7.1.2Python实现XOR异或加密shellcode
7.2XOR解密shellcode
7.2.1XOR解密函数介绍
7.2.2执行XOR加密shellcode
7.3x64dbg分析提取shellcode
第8章分析AES加密的shellcode
8.1AES加密原理
8.2AES加密shellcode
8.2.1Python加密shellcode
8.2.2实现AES解密shellcode
8.3x64dbg提取并分析shellcode
第9章构建shellcode runner程序
9.1C语言 shellcode runner程序
9.1.1C语言开发环境Dev C 
9.1.2各种shellcode runner程序
9.2C#语言 shellcode runner程序
9.2.1VS 2022编写并运行C#程序
9.2.2C#语言调用Win32 API函数
9.2.3C#语言执行shellcode
9.3在线杀毒软件引擎Virus Total介绍
9.3.1Virus Total分析文件
9.3.2Virus Total分析进程
第10章分析API函数混淆
10.1PE分析工具pestudio基础
 10.2API函数混淆原理与实现
10.2.1API函数混淆基本原理
10.2.2相关API函数介绍
10.2.3实现API函数混淆
10.3x64dbg分析函数混淆
第11章进程注入shellcode
11.1进程注入原理
11.2进程注入实现
11.2.1进程注入相关函数
11.2.2进程注入代码实现
11.3分析进程注入
11.3.1Process Hacker工具分析进程注入
11.3.2x64dbg工具分析进程注入
第12章DLL注入shellcode
12.1DLL注入原理
12.1.1DLL文件介绍
12.1.2DLL注入流程
12.2DLL注入实现
12.2.1生成DLL文件
12.2.2DLL注入代码实现
12.3分析DLL注入
第13章Yara检测恶意程序原理与实践
13.1Yara工具检测原理
13.2Yara工具基础
13.2.1安装Yara工具
13.2.2Yara基本使用方法
第14章检测和分析恶意代码
14.1搭建恶意代码分析环境
14.1.1REMnux Linux环境介绍
14.1.2配置分析环境的网络设置
14.1.3配置REMnux Linux网络服务
14.2实战： 分析恶意代码的网络流量
14.3实战： 分析恶意代码的文件行为
14.4实战： 在线恶意代码检测沙箱

显示全部信息

前　　言

很多人在年少时，曾经有一个黑客梦。

还记得“黑客”这个词是我在一部名为《黑客帝国》的电影中次接触到，虽然那时我并没有学习网络安全相关知识，但是里面的情景却深深地印在了我的脑海中。眼花缭乱的命令行画面让我兴奋不已，幻想着自己以后也能够敲出神奇的命令，其中关于注入木马病毒的场景至今记忆犹新。

随着互联网的快速发展，网络攻击日益频繁，恶意代码常被用于控制目标服务器，执行系统命令、监控操作系统等。恶意代码分析工程师需要分析恶意代码的样本，提取shellcode二进制代码，归纳总结恶意代码的特征码。使用特征码识别对应的恶意代码，从而检测和查杀对应的恶意程序。

目前市面上很少有关于逆向分析恶意代码的入门类书籍，这正是撰写本书的初衷，希望本书能为网络安全行业贡献一份微薄之力。通过编写本书，笔者查阅了大量的资料，使知识体系扩大了不少，收获良多。

本书主要内容

第1章介绍搭建恶意代码分析环境，包括FLARE VM及Kali Linux虚拟机的安装。

第2章介绍Windows程序基础，包括PE文件结构和PE分析工具。

第3章介绍生成和执行shellcode，包括Metasploit Framework生成shellcode和C语言加载执行shellcode。

第4章介绍逆向分析工具基础，包括静态分析工具IDA和动态分析工具x64dbg。

第5章介绍执行PE节中的shellcode，包括嵌入PE节的原理，执行嵌入.text、.data、.rsrc的shellcode。

第6章介绍base64编码的shellcode，包括base64编码原理、执行base64编码的shellcode，以及使用x64dbg工具分析提取shellcode。

第7章介绍XOR异或加密shellcode，包括XOR异或加密原理、执行XOR异或加密的shellcode，以及使用x64dbg工具分析提取shellcode。

第8章介绍AES加密shellcode，包括AES加密原理、执行AES加密的shellcode，以及使用x64dbg工具分析提取shellcode。

第9章介绍构建shellcode runner程序，包括C语言加载并执行shellcode的多种方法，C语言加载并执行shellcode的方法，以及Virus Total分析恶意代码的使用方法。

第10章介绍API函数混淆，包括API函数混淆的原理与实现，以及使用x64dbg工具分析API函数混淆。

第11章介绍进程注入技术，包括进程注入原理与实现，使用Process Hacker和x64dbg工具分析进程注入。

第12章介绍DLL注入技术，包括DLL注入原理与实现，使用x64dbg工具分析提取shellcode。

第13章介绍Yara检测恶意程序的原理与实践，包括安装Yara工具，以及使用Yara工具的规则文件检测恶意代码。

第14章介绍检测和分析恶意代码，包括搭建REMnux Linux环境，分析恶意代码的恶意域名信息，剖析恶意代码的网络流量和文件行为。

阅读建议

本书是一本基础入门加实战的书籍，既有基础知识，又有丰富示例，包括详细的操作步骤，实操性强。由于逆向分析恶意代码的相关技术较多，所以本书仅对逆向分析恶意代码的基本概念和技术进行介绍，包括基本概念及代码示例。每个知识点都配有代码示例，力求精简。对于每个知识点和项目案例，先通读一遍有个大概印象，然后将每个知识点的实例代码在分析环境中操作一遍，加深对知识点的印象。

建议读者先把第1章搭建恶意代码分析环境通读一遍，搭建好分析环境。

第2~5章是逆向分析恶意代码的基础，掌握Windows操作系统PE文件结构，将生成的shellcode二进制代码嵌入PE文件的不同节区，使用C语言加载并执行嵌入的shellcode二进制代码。了解逆向分析工具IDA和x64dbg的基础。

第6~9章是关于编码和加密shellcode二进制代码的内容，掌握base64编码、XOR异或加密、AES加密shellcode二进制代码，能够使用x64dbg工具分析提取shellcode二进制代码。

第10~14章是关于规避检测和实战分析的内容，掌握API函数混淆、进程注入、DLL注入规避检测的技术，能够使用x64dbg工具分析并提取shellcode二进制代码。掌握Yara工具检测恶意代码的基本使用方法。搭建REMnux Linux环境，实战分析恶意代码的网络流量和文件行为。

致谢

首先感谢我敬爱的领导刘高峰校长对我工作和生活的指导，给予我的关心与支持，点拨我的教育教学，指明我人生的道路，正是你的教诲和领导，才让我更有信心地坚持学习并专研网络安全技术。

感谢赵佳霓编辑对内容和结构上的指导，以及细心的审阅，让本书更加完善和严谨，也感谢清华大学出版社的排版、设计、审校等所有参与本书出版过程的工作人员，有了你们的支持才会有本书的出版。

后感谢我深爱的妻子、我可爱的女儿，感谢你们在我编写本书时给予的无条件的理解和支持，使我可以全身心地投入写作工作，在我专心写书时给了我无尽的关怀和耐心的陪伴。

由于时间仓促，书中难免存在不妥之处，请读者见谅，并提宝贵意见。

刘晓阳
2023年1月