《Windows黑客編程技術(shù)詳解》介紹的是黑客編程的基礎(chǔ)技術(shù),涉及用戶層下的Windows編程和內(nèi)核層下的Rootkit編程。本書分為用戶篇和內(nèi)核篇兩部分,用戶篇包括11章,配套49個示例程序源碼;內(nèi)核篇包括7章,配套28個示例程序源碼。本書介紹的每個技術(shù)都有詳細(xì)的實現(xiàn)原理,以及對應(yīng)的示例代碼(配套代碼均支持32位和64位Windows 7、Windows 8.1及Windows 10系統(tǒng)),旨在幫助初學(xué)者建立起黑客編程技術(shù)的基礎(chǔ)。
《Windows黑客編程技術(shù)詳解》面向?qū)τ嬎銠C(jī)系統(tǒng)安全開發(fā)感興趣,或者希望提升安全開發(fā)水平的讀者,以及從事惡意代碼分析研究的安全人員。
理論技術(shù)與實戰(zhàn)操作相輔相成,凸顯“道與術(shù)”
庖丁解牛式剖析Windows用戶層和內(nèi)核層黑客技術(shù)原理
代碼兼容性高,支持Windows 7到Windows 10全平臺系統(tǒng)
近年來,全球大規(guī)模爆發(fā)勒索病毒和挖礦病毒,讓沉寂許久的黑客技術(shù),又重新回到了人們的視野中。Windows操作系統(tǒng)市場占有率高達(dá)90%以上,所以面對勒索病毒、挖礦病毒,Windows用戶首當(dāng)其沖。
為了揭開病毒木馬的神秘面紗,更好地服務(wù)于信息安全,本書總結(jié)并剖析了常見的Windows黑客編程技術(shù),用通俗易懂的語言介紹了用戶層下的Windows編程和內(nèi)核層下的Rootkit編程。
本書內(nèi)容
用戶篇
開發(fā)環(huán)境
基礎(chǔ)技術(shù)
注入技術(shù)
啟動技術(shù)
自啟動技術(shù)
提權(quán)技術(shù)
隱藏技術(shù)
壓縮技術(shù)
加密技術(shù)
傳輸技術(shù)
功能技術(shù)
內(nèi)核篇
開發(fā)環(huán)境
文件管理技術(shù)
注冊表管理技術(shù)
HOOK技術(shù)
監(jiān)控技術(shù)
反監(jiān)控技術(shù)
功能技術(shù)
甘迪文,北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院在讀研究生,2019年秋季即將步入清華大學(xué)攻讀軟件工程專業(yè)的博士學(xué)位,Write-Bug技術(shù)共享平臺(www.write-bug.com)創(chuàng)始人。對信息安全領(lǐng)域興趣頗深,常利用課余時間自學(xué)和鉆研安全開發(fā)技術(shù)。擅長Windows系統(tǒng)安全程序開發(fā),熟悉Windows內(nèi)核編程,閑來無事之時喜歡開發(fā)功能各異的小軟件。
第 1篇 用戶篇
第 1章 開發(fā)環(huán)境 3
1.1 環(huán)境安裝 3
1.2 工程項目設(shè)置 5
1.3 關(guān)于Debug模式和Release模式的小提示 7
第 2章 基礎(chǔ)技術(shù) 10
2.1 運(yùn)行單一實例 10
2.2 DLL延遲加載 13
2.3 資源釋放 15
第3章 注入技術(shù) 22
3.1 全局鉤子注入 22
3.2 遠(yuǎn)線程注入 27
3.3 突破SESSION 0隔離的遠(yuǎn)線程注入 34
3.4 APC注入 37
第4章 啟動技術(shù) 42
4.1 創(chuàng)建進(jìn)程API 42
4.2 突破SESSION 0隔離創(chuàng)建用戶進(jìn)程 48
4.3 內(nèi)存直接加載運(yùn)行 55
第5章 自啟動技術(shù) 60
5.1 注冊表 60
5.2 快速啟動目錄 66
5.3 計劃任務(wù) 69
5.4 系統(tǒng)服務(wù) 75
第6章 提權(quán)技術(shù) 84
6.1 進(jìn)程訪問令牌權(quán)限提升 84
6.2 Bypass UAC 89
第7章 隱藏技術(shù) 97
7.1 進(jìn)程偽裝 97
7.2 傀儡進(jìn)程 102
7.3 進(jìn)程隱藏 106
7.4 DLL劫持 112
第8章 壓縮技術(shù) 119
8.1 數(shù)據(jù)壓縮API 119
8.2 ZLIB壓縮庫 126
第9章 加密技術(shù) 133
9.1 Windows自帶的加密庫 133
9.2 Crypto++密碼庫 152
第 10章 傳輸技術(shù) 168
10.1 Socket通信 168
10.2 FTP通信 181
10.3 HTTP通信 190
10.4 HTTPS通信 202
第 11章 功能技術(shù) 210
11.1 進(jìn)程遍歷 210
11.2 文件遍歷 214
11.3 桌面截屏 219
11.4 按鍵記錄 226
11.5 遠(yuǎn)程CMD 232
11.6 U盤監(jiān)控 235
11.7 文件監(jiān)控 241
11.8 自刪除 245
第 2篇 內(nèi)核篇
第 12章 開發(fā)環(huán)境 253
12.1 環(huán)境安裝 253
12.2 驅(qū)動程序的開發(fā)與調(diào)試 254
12.3 驅(qū)動無源碼調(diào)試 264
12.4 32位和64位驅(qū)動開發(fā) 268
第 13章 文件管理技術(shù) 270
13.1 文件管理之內(nèi)核API 270
13.2 文件管理之IRP 293
13.3 文件管理之NTFS解析 303
第 14章 注冊表管理技術(shù) 317
14.1 注冊表管理之內(nèi)核API 317
14.2 注冊表管理之HIVE文件解析 329
第 15章 HOOK技術(shù) 337
15.1 SSDT HOOK 337
15.2 過濾驅(qū)動 351
第 16章 監(jiān)控技術(shù) 357
16.1 進(jìn)程創(chuàng)建監(jiān)控 357
16.2 模塊加載監(jiān)控 363
16.3 注冊表監(jiān)控 369
16.4 對象監(jiān)控 374
16.5 Minifilter文件監(jiān)控 379
16.6 WFP網(wǎng)絡(luò)監(jiān)控 385
第 17章 反監(jiān)控技術(shù) 392
17.1 反進(jìn)程創(chuàng)建監(jiān)控 392
17.2 反線程創(chuàng)建監(jiān)控 397
17.3 反模塊加載監(jiān)控 403
17.4 反注冊表監(jiān)控 407
17.5 反對象監(jiān)控 411
17.6 反Minifilter文件監(jiān)控 415
第 18章 功能技術(shù) 421
18.1 過PatchGuard的驅(qū)動隱藏 421
18.2 過PatchGuard的進(jìn)程隱藏 426
18.3 TDI網(wǎng)絡(luò)通信 429
18.4 強(qiáng)制結(jié)束進(jìn)程 437
18.5 文件保護(hù) 442
18.6 文件強(qiáng)刪 444
附錄 函數(shù)一覽表 447