木马核心技术剖析PDF|Epub|txt|kindle电子书版本网盘下载

木马核心技术剖析PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 绪论1

1.1木马的基本概念1

1.2木马的发展历程4

1.3木马的类型7

1.4本书组织结构8

第2章 木马的隐藏11

2.1木马自身文件的隐藏11

2.1.1基于文件枚举函数Hook的隐藏12

2.1.2基于FSD Hook的文件隐藏20

2.1.3基于自定义文件系统的隐藏25

2.2木马模块的隐藏30

2.2.1“摘链”隐藏30

2.2.2基于PE Loader的隐藏34

2.3网络端口的隐藏38

2.3.1Windows XP系统下的端口隐藏39

2.3.2Vista之后的端口隐藏45

2.3.3端口复用51

2.4小结55

第3章 木马驱动加载与启动56

3.1Windows存储与启动过程56

3.1.1Windows系统硬盘与分区56

3.1.2基于BIOS的系统启动过程59

3.1.3基于UEFI的启动过程65

3.2基于MBR的Bootkit66

3.2.1MBR结构解析66

3.2.2MBR的修改69

3.3基于VBR的Bootkit71

3.3.1VBR结构解析71

3.3.2VBR的修改73

3.4Bootkit控制系统启动与加载驱动74

3.4.1挂钩中断74

3.4.2监控系统启动76

3.4.3加载驱动79

3.5小结81

第4章 木马的免杀82

4.1免杀原理82

4.2针对静态查杀的免杀84

4.2.1特征字符串变形84

4.2.2木马组件加密和存储86

4.2.3基于泛型的API动态调用89

4.3针对动态查杀的免杀93

4.3.1时间延迟方式94

4.3.2资源耗尽方式94

4.3.3上下文差异95

4.3.4多次启动96

4.3.5虚拟环境中的Windows API差异97

4.3.6已知特定目标机器信息98

4.4其他免杀方法99

4.4.1代码注入99

4.4.2傀儡进程101

4.4.3DLL劫持102

4.5脚本化木马104

4.6小结105

第5章 木马反分析技术106

5.1反调试106

5.1.1调试器的工作机制106

5.1.2反调试108

5.2反反汇编116

5.3反虚拟机119

5.4反沙盒125

5.4.1沙盒原理125

5.4.2沙盒检测126

5.5反内存扫描127

5.6小结129

第6章 Windows64位系统下的木马技术130

6.1Windows64位系统130

6.2Wow64子系统132

6.3Wow64中执行64位代码136

6.3.1 32位进程中执行64位的指令136

6.3.2 32位进程中调用64位API139

6.4小结141

第7章 木马通信与防火墙穿透142

7.1基于TCP的木马控制通信143

7.1.1粘包和分包处理144

7.1.2链接保活145

7.2基于UDP的木马控制通信147

7.3基于HTTP/HTTPS的木马通信150

7.4边界防火墙穿透155

7.5Forefront TMG穿透解析158

7.5.1Forefront TMG实验网络拓扑160

7.5.2穿透思路与实现161

7.6小结163

第8章 木马实例解析164

8.1模块化的木马系统架构164

8.2生成器166

8.3被控端168

8.3.1木马释放组件169

8.3.2常驻模块172

8.4控制端177

8.4.1控制端的架构177

8.4.2控制端的通信178

8.5小结182

第9章 木马技术的发展趋势183

9.1通信更加隐蔽化183

9.1.1基于Tor的通信183

9.1.2基于公共服务的中转通信184

9.1.3基于内核的网络通信185

9.2实现呈现硬件化186

9.3植入平台多样化188

9.4小结189

参考文献190