
目录

本书源代码



第1章搭建恶意代码分析环境

1.1搭建虚拟机实验环境

1.1.1安装VMware Workstation Pro虚拟机软件

1.1.2安装Windows 10系统虚拟机

1.1.3安装FLARE系统虚拟机

1.1.4安装Kali Linux系统虚拟机

1.1.5配置虚拟机网络拓扑环境

1.2搭建软件实验环境

1.2.1安装Visual Studio 2022开发软件

1.2.2安装x64dbg调试软件

1.2.3安装IDA调试软件

1.2.4安装010 Editor编辑软件

第2章Windows程序基础

2.1PE结构基础介绍

2.1.1DOS部分

2.1.2PE文件头部分

2.1.3PE节表部分


2.1.4PE节数据部分

2.2PE分析工具

2.3编译与分析EXE程序

2.4编译与分析DLL程序

第3章生成和执行shellcode

3.1shellcode介绍

3.1.1shell终端接口介绍

3.1.2获取shellcode的方法

3.2Metasploit工具介绍

3.2.1Metasploit Framework目录组成

3.2.2Metasploit Framework模块组成

3.2.3Metasploit Framework命令接口

3.3MsfVenom工具介绍

3.3.1MsfVenom参数说明

3.3.2MsfVenom生成shellcode

3.4C语言加载执行shellcode代码

3.5Meterpreter后渗透测试介绍

3.5.1Meterpreter参数说明

3.5.2Meterpreter键盘记录案例







第4章逆向分析工具

4.1逆向分析方法

4.2静态分析工具 IDA基础

4.2.1IDA软件常用快捷键

4.2.2IDA软件常用设置

4.3动态分析工具 x64dbg基础

4.3.1x64dbg软件界面介绍

4.3.2x64dbg软件调试案例

第5章执行PE节中的shellcode

5.1嵌入PE节的原理

5.1.1内存中执行shellcode原理

5.1.2常用Windows API函数介绍

5.1.3scdbg逆向分析shellcode

5.2嵌入PE .text节区的shellcode

5.3嵌入PE .data节区的shellcode

5.4嵌入PE .rsrc节区的shellcode

5.4.1Windows 程序资源文件介绍

5.4.2查找与加载.rsrc节区相关函数介绍

5.4.3实现嵌入.rsrc节区shellcode


第6章分析base64编码的shellcode

6.1base64编码原理

6.2Windows实现base64编码shellcode

6.2.1base64解码相关函数

6.2.2base64编码shellcode

6.2.3执行base64编码shellcode

6.3x64dbg分析提取shellcode

6.3.1x64dbg断点功能介绍

6.3.2x64dbg分析可执行程序

第7章分析XOR加密的shellcode

7.1XOR加密原理

7.1.1异或位运算介绍

7.1.2Python实现XOR异或加密shellcode

7.2XOR解密shellcode

7.2.1XOR解密函数介绍

7.2.2执行XOR加密shellcode

7.3x64dbg分析提取shellcode

第8章分析AES加密的shellcode

8.1AES加密原理

8.2AES加密shellcode

8.2.1Python加密shellcode

8.2.2实现AES解密shellcode

8.3x64dbg提取并分析shellcode

第9章构建shellcode runner程序

9.1C语言 shellcode runner程序

9.1.1C语言开发环境Dev C++

9.1.2各种shellcode runner程序

9.2C#语言 shellcode runner程序

9.2.1VS 2022编写并运行C#程序

9.2.2C#语言调用Win32 API函数

9.2.3C#语言执行shellcode

9.3在线杀毒软件引擎Virus Total介绍

9.3.1Virus Total分析文件

9.3.2Virus Total分析进程

第10章分析API函数混淆

10.1PE分析工具pestudio基础


10.2API函数混淆原理与实现

10.2.1API函数混淆基本原理

10.2.2相关API函数介绍

10.2.3实现API函数混淆

10.3x64dbg分析函数混淆

第11章进程注入shellcode

11.1进程注入原理

11.2进程注入实现

11.2.1进程注入相关函数

11.2.2进程注入代码实现

11.3分析进程注入

11.3.1Process Hacker工具分析进程注入

11.3.2x64dbg工具分析进程注入

第12章DLL注入shellcode

12.1DLL注入原理

12.1.1DLL文件介绍

12.1.2DLL注入流程

12.2DLL注入实现

12.2.1生成DLL文件

12.2.2DLL注入代码实现

12.3分析DLL注入

第13章Yara检测恶意程序原理与实践

13.1Yara工具检测原理

13.2Yara工具基础

13.2.1安装Yara工具

13.2.2Yara基本使用方法

第14章检测和分析恶意代码

14.1搭建恶意代码分析环境

14.1.1REMnux Linux环境介绍

14.1.2配置分析环境的网络设置

14.1.3配置REMnux Linux网络服务

14.2实战： 分析恶意代码的网络流量

14.3实战： 分析恶意代码的文件行为

14.4实战： 在线恶意代码检测沙箱