主要內容
本書介紹的是黑客編程的基礎技術,涉及用戶層下的Windows編程和核心層下的Rootkit編程。本書分為用戶篇和核心篇兩部分,用戶篇包括11章,配套49個示例程式源碼;核心篇包括7章,配套28個示例程式源碼。本書介紹的每個技術都有詳細的實現原理,以及對應的示例代碼(配套代碼均支持32位和64位Windows 7、Windows 8.1及Windows 10系統),旨在幫助初學者建立起黑客編程技術的基礎。
本書面向對計算機系統安全開發感興趣,或者希望提升安全開發水平的讀者,以及從事惡意代碼分析研究的安全人員。
目 錄
第1篇 用戶篇
第1章 開發環境
1.1 環境安裝
1.2 工程項目設定
1.3 關於Debug模式和Release模式的小提示
第2章 基礎技術
2.1 運行單一實例
2.2 DLL延時載入
2.3 資源釋放
第3章 注入技術
3.1 全局鉤子注入
3.2 遠執行緒注入
3.3 突破SESSION 0隔離的遠執行緒注入
3.4 APC注入
第4章 啟動技術
4.1 創建進程API
4.2 突破SESSION 0隔離創建用戶進程
4.3記憶體直接載入運行
第5章 自啟動技術
5.1 註冊表
5.2 快速啟動目錄
5.3 計畫任務
5.4 系統服務
第6章 提權技術
6.1 進程訪問令牌許可權提升
6.2 Bypass UAC
第7章 隱藏技術
7.1 進程偽裝
7.2傀儡進程
7.3 進程隱藏
7.4 DLL劫持
第8章 壓縮技術
8.1 數據壓縮API
8.2 ZLIB壓縮庫
第9章 加密技術
9.1 Windows自帶的加密庫
9.2 Crypto++密碼庫
第10章 傳輸技術
10.1 Socket通信
10.2 FTP通信
10.3 HTTP通信
10.4 HTTPS通信
第11章 功能技術
11.1 進程遍歷
11.2 檔案遍歷
11.3 桌面截屏
11.4 按鍵記錄
11.5 遠程CMD
11.6 隨身碟監控
11.7 檔案監控
11.8 自刪除
第2篇 核心篇
第12章 開發環境
12.1 環境安裝
12.2 驅動程式開發與調試
12.3 驅動無源碼調試
12.4 32位和64位驅動開發
第13章 檔案管理技術
13.1 檔案管理之核心API
13.2 檔案管理之IRP
13.3 檔案管理之NTFS解析
第14章 註冊表管理技術
14.1 註冊表管理之核心API
14.2 註冊表管理之HIVE檔案解析
第15章 HOOK技術
15.1 SSDT Hook
15.2過濾驅動
第16章 監控技術
16.1 進程創建監控
16.2 模組載入監控
16.3 註冊表監控
16.4 對象監控
16.5 Minifilter檔案監控
16.6 WFP網路監控
第17章 反監控技術
17.1 反進程創建監控
17.2 反執行緒創建監控
17.3 反模組載入監控
17.4 反註冊表監控
17.5 反對象監控
17.6 反Minifilter檔案監控
第18章 功能技術
18.1 過PatchGuard的驅動隱藏
18.2 過PatchGuard的進程隱藏
18.3 TDI網路通信
18.4 強制結束進程
18.5 檔案保護
18.6 檔案強刪
附錄 函式一覽表