木馬核心技術剖析

第1章 緒論1.1 木馬的基本概念1.2 木馬的發(fā)展歷程1.3 木馬的類型1.4 本書組織結構第2章 木馬的隱藏2.1 木馬自身文件的隱藏2.1.1 基于文件枚舉函數(shù)Hook的隱藏2.1.2 基于FSDHook的文件隱藏2.1.3 基于自定義文件系統(tǒng)的隱藏2.2 木馬模塊的隱藏2.2.1 “摘鏈”隱藏2.2.2 基于PELoader的隱藏2.3 網絡端口的隱藏2.3.1 WindowsXP系統(tǒng)下的端口隱藏2.3.2 Vista之后的端口隱藏2.3.3 端口復用2.4 小結第3章 木馬驅動加載與啟動3.1 Windows存儲與啟動過程3.1.1 Windows系統(tǒng)硬盤與分區(qū)3.1.2 基于BIOS的系統(tǒng)啟動過程3.1.3 基于UEFI的啟動過程3.2 基于MBR的Bootkit3.2.1 MBR結構解析3.2.2 MBR的修改3.3 基于VBR的Bootkit3.3.1 VBR結構解析3.3.2 VBR的修改3.4 Bootkit控制系統(tǒng)啟動與加載驅動3.4.1 掛鉤中斷3.4.2 監(jiān)控系統(tǒng)啟動3.4.3 加載驅動3.5 小結第4章 木馬的免殺4.1 免殺原理4.2 針對靜態(tài)查殺的免殺4.2.1 特征字符串變形4.2.2 木馬組件加密和存儲4.2.3 基于泛型的API動態(tài)調用4.3 針對動態(tài)查殺的免殺4.3.1 時間延遲方式4.3.2 資源耗盡方式4.3.3 上下文差異4.3.4 多次啟動4.3.5 虛擬環(huán)境中的WindowsAPI差異4.3.6 已知特定目標機器信息4.4 其他免殺方法4.4.1 代碼注入4.4.2 傀儡進程4.4.3 DLL劫持4.5 腳本化木馬4.6 小結第5章 木馬反分析技術5.1 反調試5.1.1 調試器的工作機制5.1.2 反調試5.2 反反匯編5.3 反虛擬機5.4 反沙盒5.4.1 沙盒原理5.4.2 沙盒檢測5.5 反內存掃描5.6 小結第6章 Windows 64位系統(tǒng)下的木馬技術6.1 Windows 64位系統(tǒng)6.2 Wow64子系統(tǒng)6.3 Wow64中執(zhí)行64位代碼6.3.1 32位進程中執(zhí)行64位的指令6.3.2 32位進程中調用64位API6.4 小結第7章 木馬通信與防火墻穿透7.1 基于TCP的木馬控制通信7.1.1 粘包和分包處理7.1.2 鏈接?；?.2 基于UDP的木馬控制通信7.3 基于HTTP／HTTPS的木馬通信7.4 邊界防火墻穿透7.5 Forefront TMG穿透解析7.5.1 ForefrontTMG實驗網絡拓撲7.5.2 穿透思路與實現(xiàn)7.6 小結第8章 木馬實例解析8.1 模塊化的木馬系統(tǒng)架構8.2 生成器8.3 被控端8.3.1 木馬釋放組件8.3.2 常駐模塊8.4 控制端8.4.1 控制端的架構8.4.2 控制端的通信8.5 小結第9章 木馬技術的發(fā)展趨勢9.1 通信更加隱蔽化9.1.1 基于Tor的通信9.1.2 基于公共服務的中轉通信9.1.3 基于內核的網絡通信9.2 實現(xiàn)呈現(xiàn)硬件化9.3 植入平臺多樣化9.4 小結參考文獻