惡意代碼分析實戰
《惡意代碼分析實戰》是業內公認的迄今為止的一本惡意代碼分析指南,《惡意代碼分析實戰》也是每一位惡意代碼分析師都必須作為指導手冊珍藏的案頭必備。 《惡意代碼分析實戰》既是一本教材,也是一本動手實踐...
《惡意代碼分析實戰》是業內公認的迄今為止的一本惡意代碼分析指南,《惡意代碼分析實戰》也是每一位惡意代碼分析師都必須作為指導手冊珍藏的案頭必備。
《惡意代碼分析實戰》既是一本教材,也是一本動手實踐的指南。不僅教會你如何分析惡意代碼(技術指導),而且配了大量的實驗練習、案例、答案以及詳細的分析過程,同時還包含很多用作案例的惡意代碼樣本,提供了豐富、安全的學習環境。
針對初學者:本書的技術內容、實驗作業可以幫你漸入佳境;
針對中級讀者:本書大量的分析實踐會直接帶你進入更高的級別,臻入化境。
不管你是否有惡意代碼分析的背景和經驗,《惡意代碼分析實戰》極其豐富的內容都將使你獲益匪淺。
《惡意代碼分析實戰》教你如何、以及何時使用惡意代碼分析技術,深入掌握惡意代碼分析工具的核心功能,從而達到診斷、及時突破、快速響應的效果。
《惡意代碼分析實戰》一經問世,便贏來業內好評如潮,被業內人士一致推薦為入門、晉級的讀本。
詳盡,經典——每一位認真學習過《惡意代碼分析實戰》的讀者,必將在惡意代碼分析的專業技能上獲得巨大的提升。
推薦購買:
《線上幽靈》
《Metasploit滲透測試指南》
《Web前端黑客技術揭秘》
第0章 惡意代碼分析技術入門
0.1 惡意代碼分析目標
0.2 惡意代碼分析技術
0.2.1 靜態分析基礎技術
0.2.2 動態分析基礎技術
0.2.3 靜態分析高級技術
0.2.4 動態分析高級技術
0.3 惡意代碼類型
0.4 惡意代碼分析通用規則
第 1篇 靜態分析
第1章 靜態分析基礎技術
1.1 反病毒引擎掃描:實用的及時步
1.2 哈希值:惡意代碼的指紋
1.3 查找字符串
1.4 加殼與混淆惡意代碼
1.4.1 文件加殼
1.4.2 使用PEID檢測加殼
1.5 PE文件格式
1.6 鏈接庫與函數
1.6.1 靜態鏈接、運行時鏈接與動態鏈接
1.6.2 使用DEPENDENCY WALKER工具探索動態鏈接函數
1.6.3 導入函數
1.6.4 導出函數
1.7 靜態分析技術實踐
1.7.1 POTENTIALKEYLOGGER.EXE:一個未加殼的可執行文件
1.7.2 PACKEDPROGRAM.EXE:窮途末路
1.8 PE文件頭與分節
1.8.1 使用PEVIEW來分析PE文件
1.8.2 使用RESOURCE HACKER工具來查看資源節
1.8.3 使用其他的PE文件工具
1.8.4 PE文件頭概述
1.9 小結
1.10 實驗
第2章 在虛擬機中分析惡意代碼
2.1 虛擬機的結構
2.2 創建惡意代碼分析機
2.2.1 配置VMWARE
2.2.2 斷開網絡
2.2.3 創建主機模式網絡
2.2.4 使用多個虛擬機
2.3 使用惡意代碼分析機
2.3.1 讓惡意代碼連接互聯網
2.3.2 連接和斷開外圍設備
2.3.3 拍攝快照
2.3.4 從虛擬機傳輸文件
2.4 使用VMWARE進行惡意代碼分析的風險
2.5 記錄/重放:重復計算機運行軌跡
2.6 小結
第3章 動態分析基礎技術
3.1 沙箱:簡便但粗糙的方法
3.1.1 使用惡意代碼沙箱
3.1.2 沙箱的缺點
3.2 運行惡意代碼
3.3 進程監視器
3.3.1 進程監視器的顯示
3.3.2 進程監視器中的過濾
3.4 使用進程瀏覽器(PROCESS EXPLORER)來查看進程
3.4.1 進程瀏覽器的顯示
3.4.2 使用驗證選項
3.4.3 比較字符串
3.4.4 使用依賴遍歷器(DEPENDENCY WALKER)
3.4.5 分析惡意文檔
3.5 使用REGSHOT來比較注冊表快照
3.6 模擬網絡
3.6.1 使用APATEDNS
3.6.2 使用NETCAT進行監視
3.7 使用WIRESHARK進行數據包監聽
3.8 使用INETSIM
3.9 基礎動態分析工具實踐
3.10 小結
3.11 實驗
第 2篇 靜態分析高級技術篇
第4章 X86反匯編速成班
4.1 抽象層次
4.2 逆向工程
4.3 X86體系結構
4.3.1 內存
4.3.2 指令
4.3.3 操作碼和字節序
4.3.4 操作數
4.3.5 寄存器
4.3.6 簡單指令
4.3.7 棧
4.3.8 條件指令
4.3.9 分支指令
4.3.10 重復指令
4.3.11 C語言主函數和偏移
4.3.12 更多信息:INTEL X86 ARCHITECTURE MANUAL
4.4 小結
第5章 IDA PRO
5.1 加載一個可執行文件
5.2 IDA PRO接口
5.2.1 反匯編窗口模式
5.2.2 對分析有用的窗口
5.2.3 返回到默認視圖
5.2.4 導航IDA PRO
5.2.5 搜索
5.3 使用交叉引用
5.3.1 代碼交叉引用
5.3.2 數據交叉引用
5.4 分析函數
5.5 使用圖形選項
5.6 增強反匯編
5.6.1 重命名位置
5.6.2 注釋
5.6.3 格式化操作數
5.6.4 使用命名的常量
5.6.5 重新定義代碼和數據
5.7 用插件擴展IDA
5.7.1 使用IDC腳本
5.7.2 使用IDAPYTHON
5.7.3 使用商業插件
5.8 小結
5.9 實驗
第6章 識別匯編中的C代碼結構
6.1 全局與局部變量
6.2 反匯編算術操作
6.3 識別IF語句
6.3.1 用IDA PRO圖形化分析函數
6.3.2 識別嵌套的IF語句
6.4 識別循環
6.4.1 找到FOR循環
6.4.2 找到WHILE循環
6.5 理解函數調用約定
6.5.1 CDECL
6.5.2 STDCALL
6.5.3 FASTCALL
6.5.4 壓棧與移動
6.6 分析SWITCH語句
6.6.1 IF樣式
6.6.2 跳轉表
6.7 反匯編數組
6.8 識別結構體
6.9 分析鏈表遍歷
6.10 小結
6.11 實驗
第7章 分析惡意WINDOWS程序
7.1 WINDOWS API
7.1.1 類型和匈牙利表達法
7.1.2 句柄
7.1.3 文件系統函數
7.1.4 特殊文件
7.2 WINDOWS注冊表
7.2.1 注冊表根鍵
7.2.2 REGEDIT
7.2.3 自啟動程序
7.2.4 常用注冊表函數
7.2.5 練習分析注冊表操作代碼
7.2.6 使用.REG文件的注冊表腳本
7.3 網絡API
7.3.1 伯克利兼容套接字
7.3.2 網絡的服務器和客戶端
7.3.3 WININET API
7.4 跟蹤惡意代碼的運行
7.4.1 DLL
7.4.2 進程
7.4.3 線程
7.4.4 使用互斥量的進程間協作
7.4.5 服務
7.4.6 組件對象模型
7.4.7 異常:當事情出錯時
7.5 內核與用戶模式
7.6 原生API
7.7 小結
7.8 實驗
第 3篇 動態分析高級技術篇
第8章 動態調試
8.1 源代碼級與匯編級的調試器
8.2 內核模式與用戶模式調試
8.3 使用調試器
8.3.1 單步調試
8.3.2 單步跳過(STEPPING-OVER)和單步跳入(STEPPING-INTO)
8.3.3 用斷點暫停執行
8.4 異常
8.4.1 首次和二次異常處理
8.4.2 常見異常
8.5 使用調試器修改可執行文件
8.6 修改可執行程序的實踐
8.7 小結
第9章 OLLYDBG
9.1 加載惡意代碼
9.1.1 打開一個可執行文件
9.1.2 附加調試器到一個運行程序
9.2 OLLYDBG的接口
9.3 內存映射
9.3.1 基地址重定位
9.4 查看線程和堆棧
9.5 執行代碼
9.6 斷點
9.6.1 軟件斷點
9.6.2 條件斷點
9.6.3 硬件斷點
9.6.4 內存斷點
9.7 加載DLL
9.8 跟蹤
9.8.1 標準回溯跟蹤
9.8.2 堆棧調用跟蹤
9.8.3 運行跟蹤
9.8.4 跟蹤POISON IVY
9.9 異常處理
9.10 修補
9.11 分析SHELLCODE
9.12 協助功能
9.13 插件
9.13.1 OLLYDUMP
9.13.2 調試器隱藏插件
9.13.3 命令行
9.13.4 書簽
9.14 腳本調試
9.15 小結
9.16 實驗
第10章 使用WINDBG調試內核
10.1 驅動與內核代碼
10.2 安裝內核調試
10.3 使用WINDBG
10.3.1 從內存中讀取
10.3.2 使用算術操作符
10.3.3 設置斷點
10.3.4 列舉模塊
10.4 微軟符號表
10.4.1 搜索符號
10.4.2 查看結構信息
10.4.3 配置WINDOWS符號表
10.5 內核調試實踐
10.5.1 用戶空間的代碼
10.5.2 內核模式的代碼
10.5.3 查找驅動對象
10.6 ROOTKIT
10.6.1 ROOTKIT分析實踐
10.6.2 中斷
10.7 加載驅動
10.8 WINDOWS VISTA、WINDOWS 7 和X64版本的內核問題
10.9 小結
10.10 實驗
第 4篇 惡意代碼功能篇
第11章 惡意代碼行為
11.1 下載器和啟動器
11.2 后門(BACKDOOR)
11.2.1 反向SHELL
11.2.2 遠程控制工具
11.2.3 僵尸網絡
11.2.4 遠程控制工具與僵尸網絡的比較
11.3 登錄憑證竊密器
11.3.1 GINA攔截
11.3.2 口令哈希轉儲
11.3.3 擊鍵記錄
11.4 存活機制
11.4.1 WINDOWS注冊表
11.4.2 特洛伊木馬化(TROJANIZED)系統二進制文件
11.4.3 DLL加載順序劫持
11.5 提權
11.5.1 使用SEDEBUGPRIVILEGE
11.6 隱藏它的蹤跡——用戶態的ROOTKIT
11.6.1 IAT HOOK
11.6.2 INLINE HOOK
11.7 小結
11.8 實驗
第12章 隱蔽的惡意代碼啟動
12.1 啟動器(LAUNCHER)
12.2 進程注入
12.2.1 DLL注入
12.2.2 直接注入
12.3 進程替換
12.4 鉤子(HOOK)注入
12.4.1 本地和遠程鉤子(HOOK)
12.4.2 使用鉤子的擊鍵記錄器
12.4.3 使用SETWINDOWSHOOKEX
12.4.4目標線程
12.5 DETOURS
12.6 APC注入
12.6.1 用戶模式下APC注入
12.6.2 內核模式的APC注入
12.7 小結
12.8 實驗
第13章 數據加密
13.1 分析加密算法的目的
13.2 簡單的加密算法
13.2.1 凱撒密碼
13.2.2 XOR
13.2.3 其他一些簡單的加密策略
13.2.4 BASE64
13.3 常見的加密算法
13.3.1 識別字符串和導入
13.3.2 查找加密常量
13.3.3 查找高熵值內容
13.4 自定義加密
13.4.1 識別自定義加密
13.4.2 攻擊者使用自定義加密的優勢
13.5 解密
13.5.1 自解密
13.5.2 手動執行解密函數
13.5.3 使用通用的解密規范
13.6 小結
13.7 實驗
第14章 惡意代碼的網絡特征
14.1 網絡應對措施
14.1.1 在原始環境中觀察惡意代碼
14.1.2 惡意行為的痕跡
14.1.3 OPSEC=操作安全性
14.2 安全地調查在線攻擊者
14.2.1 間接性策略
14.2.2 獲取IP地址和域名信息
14.3 基于內容的網絡應對措施
14.3.1 使用SNORT進行入侵檢測
14.3.2 深入觀察
14.4 結合動態和靜態分析技術
14.4.1 過度分析的危險
14.4.2 在眾目睽睽下隱藏
14.4.3 理解周邊代碼
14.4.4 尋找網絡操作代碼
14.4.5 了解網絡內容的來源
14.4.6 硬編碼數據 VS. 臨時數據
14.4.7 確定和利用編碼步驟
14.4.8 創建特征
14.4.9 分析解析例程
14.4.10 針對多個元素
14.5 了解攻擊者的意圖
14.6 小結
14.7 實驗
第 5篇 逆向工程
第15章 對抗反匯編
15.1 何謂對抗反匯編技術
15.2 挫敗反匯編算法
15.2.1 線性反匯編
15.2.2 面向代碼流的反匯編
15.3 對抗反匯編技術
15.3.1 相同目標的跳轉指令
15.3.2 固定條件的跳轉指令
15.3.3 無效的反匯編指令
15.3.4 用IDA PRO對指令進行NOP替換
15.4 混淆控制流圖
15.4.1 函數指針問題
15.4.2 在IDA PRO中添加代碼的交叉引用
15.4.3 濫用返回指針
15.4.4 濫用結構化異常處理
15.5 挫敗棧幀分析
15.6 小結
15.7 實驗
第16章 反調試技術
16.1 探測WINDOWS調試器
16.1.1 使用WINDOWS API
16.1.2 手動檢測數據結構
16.1.3 系統痕跡檢測
16.2 識別調試器的行為
16.2.1 INT掃描
16.2.2 執行代碼校驗和檢查
16.2.3 時鐘檢測
16.3 干擾調試器的功能
16.3.1 使用TLS回調
16.3.2 使用異常
16.3.3 插入中斷
16.4 調試器漏洞
16.4.1 PE頭漏洞
16.4.2 OUTPUTDEBUGSTRING漏洞
16.5 小結
16.6 實驗
第17章 反虛擬機技術
17.1 VMWARE 痕跡
17.1.1 繞過VMWARE痕跡的探測
17.1.2 探測內存痕跡
17.2 查找漏洞指令
17.2.1 使用RED PILL反虛擬機技術
17.2.2 使用NO PILL技術
17.2.3 查詢I/O通信端口
17.2.4 使用STR指令
17.2.5 反虛擬機的X86指令
17.2.6 在IDA PRO中高亮顯示反虛擬機代碼
17.2.7 使用SCOOPYNG
17.3 調整設置
17.4 虛擬機逃逸
17.5 小結
17.6 實驗
第18章 加殼與脫殼
18.1 剖析加殼
18.1.1 脫殼存根
18.1.2 加載可執行文件
18.1.3 解析導入函數表
18.1.4 尾部跳轉
18.1.5 圖示脫殼過程
18.2 識別加殼程序
18.2.1 加殼程序的標識
18.2.2 熵計算
18.3 脫殼選項
18.4 自動脫殼
18.5 手動脫殼
18.5.1 使用導入重構器重構導入表
18.5.2 查
電話鈴聲急促響起,網絡管理員告訴你說公司網站被黑了,網站上的客戶敏感信息被盜了。于是你立馬開始調查分析,首先檢查了日志記錄,來確定事件涉及的主機。你用殺毒軟件對這些主機進行了掃描,檢查是否感染了惡意代碼。你的運氣還算不錯,殺毒軟件檢測到一個木馬程序,名為TROJ.snapAK。你刪除這個文件,并清理了現場,同時你還部署了一個入侵檢測系統,來確認沒有其他主機被感染。你修補了一個你認為是被攻擊者利用來入侵主機的安全漏洞,來確保這種攻擊事件不會再次發生。
不幸的是,幾天之后網絡管理員再次打電話過來,告訴你說敏感信息又被竊取了。這看起來似乎是相同的攻擊,但你卻不知道該做什么。很顯然,你部署的入侵檢測系統特征庫失效了。因為更多的主機被感染了,而你的殺毒軟件并沒有提供足夠的保護來隔離攻擊威脅。現在,公司高層管理人員要求你解釋發生了什么,而你可以告訴他們的只是一個名為TROJ.snapAK的惡意代碼。你沒有針對最重要問題的答案,這讓他們認為你是一位不稱職的安全工程師。
你該如何確定TROJ.snapAK惡意代碼在做什么,從而可以讓你消除這個威脅?你如何才能寫出一個更有效的網絡檢測特征?你怎樣才能找出其他感染了這個惡意代碼的主機呢?你該如何確保你刪除了整個惡意代碼程序包,而不只是其中的一部分呢?你該如何回答管理層關于這個惡意代碼干了些什么的問題呢?
如果你所有能做的,只是告訴你的老板,說你需要聘請昂貴的外部咨詢顧問,因為你不能保護自己的網絡,這真的不是確保工作飯碗的好辦法。
幸運的是,你有著足夠的智慧,馬上啃起了這本《惡意代碼分析實戰》,從這本書中你將學到的技能,可以教你如何來回答這些困難的問題,并為你展示保護網絡免受惡意代碼侵害的方法。
什么是惡意代碼分析
惡意代碼,也稱為惡意軟件,在大多數計算機入侵事件中都扮演了重要角色。任何以某種方式來對用戶、計算機或網絡造成破壞的軟件,都可以被認為是惡意代碼,包括計算機病毒、木馬、蠕蟲、內核套件、勒索軟件、間諜軟件,等等。盡管各種不同的惡意代碼類型會做一些不同的事情(你將會在本書中看到),作為惡意代碼分析師,我們擁有一組核心的工具和技術,用來解剖分析各式各樣的惡意代碼。
惡意代碼分析是一種解剖惡意代碼的藝術,了解惡意代碼是如何工作的、如何識別它,以及如何戰勝或消除它。你并不是需要成為一名超級黑客,才能進行惡意代碼分析。
網絡上每天有著數以百萬計,甚至更多的惡意代碼,惡意代碼分析成為了任何一位從事計算機安全事件響應安全工程師的必需技能。此外,由于惡意代碼分析專業人才的短缺,熟練的惡意代碼分析師正處于強烈的人才需求之中。
這么說吧,這不是一本關于如何找到惡意代碼的書籍。我們的重點是在如何分析已經找到的惡意代碼。我們專注于Windows操作系統上發現的惡意代碼——因為到目前為止,Windows操作系統還是最為常用的操作系統。但你所學到的技能可以為你在任何操作系統上分析惡意代碼提供支持。我們還將專注在可執行文件上,因為它們是最常見的,也是你所遇到的最難以分析的一些文件。與此同時,我們選擇不討論如惡意JavaScript腳本、Java程序等其他類型的惡意代碼,相反的是,我們選擇對方法進行深入討論,用于分析更加高級的威脅,比如后門、隱蔽性惡意代碼和內核套件。
先決條件
不管你是否有惡意代碼分析的背景或經驗,你都會從本書中受益。
第1~3章將討論基礎的惡意代碼分析技術,即使你沒有安全或編程經驗,也可以用這些技術來進行惡意代碼分析。第4~14章則覆蓋中等級別的內容,可以讓你武裝上一些用來分析大多數惡意程序的主流工具與技能。這些章節都需要一些關于編程語言的基本知識。第15~19章,則提供的技術材料,即使對博學的惡意代碼分析師來說都是有用的,因為這部分內容涵蓋了惡意代碼分析的一些戰術和技巧,在分析最為復雜的惡意代碼樣本時都用得上,比如那些應用了對抗反匯編、反調試技術或加殼技術的惡意代碼。
本書將教你如何以及何時使用各種惡意代碼分析技術。了解何時應該使用特定的技術與掌握技術本身一樣重要,因為在某個特定狀況下使用了錯誤的技術,可能會是在令人沮喪地浪費時間。我們不會涵蓋每一個工具,因為工具會隨時改變,而它的核心功能才是最重要的。此外,我們將在整本書中使用切合實際的惡意代碼樣本(你可以從www.practicalmalwareanalysis.com/或www.nostarch. com/malware.htm下載),來為你揭示在分析真實世界中惡意代碼時會遇到的各種狀況。
實踐動手學習
我們有著逆向工程和惡意代碼分析專業課程的豐富教學經驗,這些經驗已經告訴我們,學生只有通過使用所學習的技能進行動手實踐練習時,才能真正掌握和學到這些技能。我們也發現了實驗作業的質量與講授的課程內容同等重要,如果沒有一個實驗作業部分,要學會如何分析惡意代碼是幾乎不可能的。
從始至終,本書中絕大多數章節都會給出一些實驗作業,讓你來練習這一章中所講授的技術。這些實驗作業為你提供了真實惡意代碼樣本的挑戰,旨在展示你將在真實世界中遭遇到惡意代碼中最為普遍的類型和行為。這些實驗作業旨在加強每章中所介紹的基本概念,而不會用一些無關信息來讓你無所適從。每個實驗都包括一個或多個惡意文件(可以從www.practicalmalware analysis.com/,或者www.nostarch.com/malware.htm下載),以及一些特意設計來引導你完成實驗的問題,此外也給出了對這些問題的簡短答案,以及對惡意代碼樣本的詳細分析過程。
這些實驗都模擬了真實的惡意代碼分析場景。比如,它們都以通用化的文件名字進行命名,而不會提供任何能夠洞察到惡意代碼功能的信息。對于真正環境中的惡意代碼,你也同樣在開始分析時不會有任何信息,而你需要用你所學到的技能,來收集線索,并找出惡意代碼在做些什么。
每個實驗所需的時間將取決于你的經驗。你可以嘗試自己來完成實驗,或者沿著詳細分析過程,來了解如何在實踐中使用各種技術。
大多數章節都包含了三個實驗作業。及時個實驗通常是最簡單的,絕大多數讀者都應該能夠完成它。第二個實驗是中等難度的,大多數讀者會需要解答中的一些援助來完成。而第三個實驗是最困難的,如果沒有從參考答案取得提示,只有最勤奮和技術大拿的讀者們才能夠完成它們。
本書內容預覽
《惡意代碼分析實戰》以使用簡單的方法,從相對而言不那么復雜的惡意代碼中獲取信息開始,然后逐步提升難度,講解可以用來對抗最為先進惡意程序的復雜技術。以下是本書每章的內容預覽:
第0章,"惡意代碼分析技術入門",建立起惡意代碼分析的整體過程和基礎方法學。
第1章,"靜態分析基礎技術",傳授無須執行就能從可執行文件獲取信息的方法。
第2章,"在虛擬機中分析惡意代碼",帶你一起設置虛擬機,用作運行惡意代碼的安全環境。
第3章,"動態分析基礎技術",介紹一些通過執行惡意程序進行分析、易于使用但非常高效的技術方法。
第4章,"x86反匯編速成班",是對x86匯編語言的一個簡要介紹,這章為使用IDA Pro進行惡意代碼深入分析提供了基礎。
第5章,"IDA Pro",為你顯示如何使用IDA Pro,一個最為重要的惡意代碼分析工具。我們將在全書的其余章節使用IDA Pro工具。
第6章,"識別匯編中的C代碼結構",提供了一些C語言代碼的匯編語句案例,并教你如何理解匯編代碼的高層功能結構。
第7章,"分析惡意Windows程序",覆蓋范圍廣泛的Windows程序特定概念,而這些是理解惡意Windows程序所必需的。
第8章,"動態調試",解釋調試的基本知識,以及惡意代碼分析師該如何使用調試器。
第9章,"OllyDbg",為你展示如何使用OllyDbg,惡意代碼分析師中流行的一款調試器。
第10章,"使用WinDbg調試內核",包括了如何使用WinDbg來分析內核模式惡意代碼和內核套件。
第11章,"惡意代碼行為",介紹了常見的惡意代碼功能,并告訴你在分析惡意代碼時該如何識別惡意功能。
第12章,"隱蔽的惡意代碼啟動",討論如何分析一類將自己的執行隱藏至另一進程中的特殊惡意代碼。
第13章,"數據加密",演示了惡意代碼如何加密數據,使其更難在網絡流量或受害主機上被發現。
第14章,"惡意代碼的網絡特征",教你如何通過惡意代碼分析來創建網絡檢測特征,并演示這類特征要優于單獨從捕獲網絡流量中提取的特征。
第15章,"對抗反匯編",解釋一些惡意代碼編寫者如何設計自己的惡意代碼,使得它們難以被反匯編,并說明如何識別和擊敗這些技術。
第16章,"反調試技術",描述惡意代碼編寫者可以讓他們的代碼難以被調試的伎倆,以及克服這些障礙的方法。
第17章,"反虛擬機技術",演示惡意代碼所使用的反虛擬機技術,這些技術會讓分析師在虛擬機中難以分析這些惡意代碼,并介紹繞過這些技術的方法。
第18章,"加殼與脫殼",告訴讀者惡意代碼是如何使用加殼來隱藏自己真正目的的,然后提供一步一步的脫殼的技術方法。
第19章,"shellcode分析",解釋了shellcode是什么,并展示分析惡意shellcode的一些技巧和竅門。
第20章,"C++代碼分析",為你指明C++代碼在編譯之后存在什么樣的差異,并教授你如何對由C++編寫的惡意代碼進行分析。
第21章,"64位惡意代碼",討論惡意代碼編寫者為何使用64位惡意代碼,以及你所需要了解的x86與x64之間的區別。
附錄A,"常見Windows函數列表",簡要介紹了惡意代碼中普遍使用的Windows函數。
附錄B,"流行的惡意代碼分析工具列表",列出了對于惡意代碼分析師們來說最有用的工具。
附錄C,"實驗作業參考解答",對全書每個章節的實驗給出了參考解答。
附錄D,"致青春,基礎軟件開發的中國故事",講述中國程序員開發Windows內核調試器Syser的幕后故事。
附錄E,"Syser操作入門",提供Syser內核調試器的入門指南。
我們整本書的目標就是為你武裝能夠擊敗各種類型惡意代碼的分析技術。正如你看到的,我們涵蓋了大量的技術材料,以及能夠加強這些技術材料的實驗作業。當你讀完本書時,應該學到了用來分析任何惡意代碼的技能,包括快速分析常規惡意代碼樣本的基礎技術,以及解剖那些甚至是"來自外星"的神秘惡意代碼樣本所需的高超技術。
那么,讓我們開始吧!
一本的惡意代碼速成教程。
Dino Dai Zovi,自由安全咨詢師
一本最為的惡意代碼分析技術指南,覆蓋了所有惡意代碼分析所需的關鍵技術,幫助你理解惡意代碼帶來的技術挑戰。
Chris Eagle,美國海軍研究生院,計算機科學系高級講師
一本惡意代碼分析的實踐入門指南,我把這本書推薦給所有希望解剖Windows惡意代碼的讀者。
— Ilfak Guilfanov,IDA PRO創始人
一本惡意代碼分析的指南,所有章節都包含有詳細的技術解釋和動手實踐案例教程,讓你能夠立即面對真實的惡意代碼。
— Sebastian Porst,Google軟件工程師
本書為各個技術層次上的讀者帶來逆向工程方法,提供了一大堆覆蓋各種技術并且容易訪問的實踐案例,將帶領你更加深入地理解逆向工程的藝術與科學。我強烈推薦本書,無論是新手還是領域專家。
— Danny Quist,博士,OFFENSIVE COMPUTING創始人
如果你只要讀一本惡意代碼的書籍,或是希望進入到惡意代碼分析師的世界,就來看這本書吧!
— Patrick Engbretson,達科他州立大學教授,The Basics of Hacking and Pen Testing一書的作者
為軟件安全或入侵檢測系統等研究生級別高級課程提供很好的課程資料,實踐案例對學生學習逆向工程方法、惡意代碼分析和理解等方面具有特殊的價值。
— Sal Stolfo,哥倫比亞大學教授
買好書去當當
包裝太差,就一個薄薄的塑料袋包著,塑料袋破了好多洞,書都摔散架了。快遞員也不問一聲是否介意書被摔散架,扔下包裹就跑了。
書如其名很好
挺好,書很厚,是我們要求的教材
不錯不錯
這次一下買了幾十本書,當當服務很好,其中有一本破損了,很快過來換,服務很好。
為什么沒有塑料膜包裝??_?
內容詳實,包裝太差了,破損!
還差兩章就讀完了,很好的圖書。
很不錯,喜歡,過幾天看
還沒開始看,很厚的一本
涉及面廣,講的深入,入門必備
不錯的專業書
包裝完好,物流很快!
書就不評了。就說當當現在這包裝太糊弄事了,多次提了意見有啥用呢!人家就是這種理念。我也是鉆石級用戶了,你用紙殼一包能有多少成本?就用個破塑料袋,都爛了,書也不封膜了,這還不磕壞磕臟了!絕對差評!
書的內容很不錯,但是下載各種工具時花費很長時間不錯
書有折痕,書頁中有一一兩個小洞,導致一兩個字丟失
配合著加密解密、逆向工程核心原理、軟件調試等書一起看,會有交大收獲
非常不錯的書,里面有很多東西都是可以實際操作的,入門級人員慎入
不錯的書,估計這類書讀者圈也比較小,比較專業的書,當天拍,第二天就收到了,買書還是來當當網買,快捷,劃算
送貨速度挺快的,包裝也還不錯,就是書皮有點劃痕,承受范圍內,總之還不錯。書的內容還沒看,網評都挺好的,期待!
先買了學習下代碼分析,以后必定移動安全是大方向
內容必將豐富 算是代碼分析講解很深入的 操作性強 適合邊讀邊練
為滲透了,要學一學分析 , 分析了才能更好的滲透 。。
這本書最大的亮點在于實戰,每一章都有難度相當的上機實戰問題,并指導你如何解決這些問題
本來之前買了好多本,貌似一次培訓大都送人了,所以再來買幾本,學習惡意代碼分析相當不錯的書
感覺很厲害的一本書,紙質也很好,總體還是不錯的.感覺很厲害的一本書,紙質也很好,總體還是不錯的.感覺很厲害的一本書,紙質也很好,總體還是不錯的.感覺很厲害的一本書,紙質也很好,總體還是不錯的
介紹各種動態、靜態分析惡意代碼技術,最好有匯編、反匯編、加密解密基礎。
這次一下把當當兩個倉庫的都買完了,不過也只有三本,本來準備買個五六本的,書很不錯,特價也相對便宜,適合想學習惡意代碼分析的人
