木馬在網(wǎng)絡安全中扮演極其重要的角色,對其進行深入透徹的分析是網(wǎng)絡攻防中的重要內(nèi)容。孫欽東編的《木馬核心技術剖析》從Windows系統(tǒng)啟動、存儲、文件管理、模塊管理、通信管理等核心機制入手,深度分析木馬核心技術所依托的系統(tǒng)底層基礎,詳細剖析木馬隱藏、驅(qū)動加載與啟動、Windows系統(tǒng)的安全機制繞過、防火墻穿透通信、反病毒軟件免殺、反分析、Windows64位系統(tǒng)兼容等核心技術的原理與實現(xiàn)機制,給出了一個綜合運用各項核心技術、高度可配置的木馬框架。
本書是木馬技術分析與檢測方面的參考書,可作為從事網(wǎng)絡安全等研究領域科研人員的參考書,也可作為高等院校網(wǎng)絡安全專業(yè)本科生與研究牛的參考教材。
更多科學出版社服務,請掃碼獲取。
第1章 緒論
1.1 木馬的基本概念
1.2 木馬的發(fā)展歷程
1.3 木馬的類型
1.4 本書組織結(jié)構(gòu)
第2章 木馬的隱藏
2.1 木馬自身文件的隱藏
2.1.1 基于文件枚舉函數(shù)Hook的隱藏
2.1.2 基于FSDHook的文件隱藏
2.1.3 基于自定義文件系統(tǒng)的隱藏
2.2 木馬模塊的隱藏
2.2.1 “摘鏈”隱藏
2.2.2 基于PELoader的隱藏
2.3 網(wǎng)絡端口的隱藏
2.3.1 WindowsXP系統(tǒng)下的端口隱藏
2.3.2 Vista之后的端口隱藏
2.3.3 端口復用
2.4 小結(jié)
第3章 木馬驅(qū)動加載與啟動
3.1 Windows存儲與啟動過程
3.1.1 Windows系統(tǒng)硬盤與分區(qū)
3.1.2 基于BIOS的系統(tǒng)啟動過程
3.1.3 基于UEFI的啟動過程
3.2 基于MBR的Bootkit
3.2.1 MBR結(jié)構(gòu)解析
3.2.2 MBR的修改
3.3 基于VBR的Bootkit
3.3.1 VBR結(jié)構(gòu)解析
3.3.2 VBR的修改
3.4 Bootkit控制系統(tǒng)啟動與加載驅(qū)動
3.4.1 掛鉤中斷
3.4.2 監(jiān)控系統(tǒng)啟動
3.4.3 加載驅(qū)動
3.5 小結(jié)
第4章 木馬的免殺
4.1 免殺原理
4.2 針對靜態(tài)查殺的免殺
4.2.1 特征字符串變形
4.2.2 木馬組件加密和存儲
4.2.3 基于泛型的API動態(tài)調(diào)用
4.3 針對動態(tài)查殺的免殺
4.3.1 時間延遲方式
4.3.2 資源耗盡方式
4.3.3 上下文差異
4.3.4 多次啟動
4.3.5 虛擬環(huán)境中的WindowsAPI差異
4.3.6 已知特定目標機器信息
4.4 其他免殺方法
4.4.1 代碼注入
4.4.2 傀儡進程
4.4.3 DLL劫持
4.5 腳本化木馬
4.6 小結(jié)
第5章 木馬反分析技術
5.1 反調(diào)試
5.1.1 調(diào)試器的工作機制
5.1.2 反調(diào)試
5.2 反反匯編
5.3 反虛擬機
5.4 反沙盒
5.4.1 沙盒原理
5.4.2 沙盒檢測
5.5 反內(nèi)存掃描
5.6 小結(jié)
第6章 Windows 64位系統(tǒng)下的木馬技術
6.1 Windows 64位系統(tǒng)
6.2 Wow64子系統(tǒng)
6.3 Wow64中執(zhí)行64位代碼
6.3.1 32位進程中執(zhí)行64位的指令
6.3.2 32位進程中調(diào)用64位API
6.4 小結(jié)
第7章 木馬通信與防火墻穿透
7.1 基于TCP的木馬控制通信
7.1.1 粘包和分包處理
7.1.2 鏈接;
7.2 基于UDP的木馬控制通信
7.3 基于HTTP/HTTPS的木馬通信
7.4 邊界防火墻穿透
7.5 Forefront TMG穿透解析
7.5.1 ForefrontTMG實驗網(wǎng)絡拓撲
7.5.2 穿透思路與實現(xiàn)
7.6 小結(jié)
第8章 木馬實例解析
8.1 模塊化的木馬系統(tǒng)架構(gòu)
8.2 生成器
8.3 被控端
8.3.1 木馬釋放組件
8.3.2 常駐模塊
8.4 控制端
8.4.1 控制端的架構(gòu)
8.4.2 控制端的通信
8.5 小結(jié)
第9章 木馬技術的發(fā)展趨勢
9.1 通信更加隱蔽化
9.1.1 基于Tor的通信
9.1.2 基于公共服務的中轉(zhuǎn)通信
9.1.3 基于內(nèi)核的網(wǎng)絡通信
9.2 實現(xiàn)呈現(xiàn)硬件化
9.3 植入平臺多樣化
9.4 小結(jié)
參考文獻