中文名: 殺不死的秘密：反匯編揭密黑客免殺變種技術
作者: 崔承琦
圖書分類: 軟件
資源格式: PDF
版本: 掃描版
出版社: 齊魯電子音像出版社
書號: 9787894620255
發行時間: 2010年06月01日
地區: 大陸
語言: 簡體中文
簡介:



內容簡介：
詳細的PE結構講解
本書既講解PE文件的免殺，同時也講解腳本文件的免殺。不過二者相比，本書更注重對於PE文件的免殺講解。在現在的技術研究圈子內，大部分的免殺愛好者對PE結構認識不清，導致了在免殺過程中遇到很多困難，卻無法從原理入手解決。本書面向廣大免殺愛好者，將PE結構單獨歸為一章進行詳細講解，將免殺制作中經常用到的PE結構字段講解清楚，語言通俗易懂。讀完本章，可是讀者有撥開雲霧見青天的感覺，第一次讓你了解你每天接觸的PE文件。
詳細的匯編知識講解
了解了PE結構還不夠，雖然對PE結構有了了解，但是還不能隨心所欲的修改PE文件，因為還不具備免殺必須的反匯編基礎。在如今的免殺愛好者群體中，流傳最為廣泛的匯編基礎知識是8086匯編指令集，而這個指令集也只是簡單的列出指令對應的中文意義，這完全不足以使初學者了解免殺必備的技術支持。針對這一問題，本書專門講匯編講解歸為一個很大的章，在本章中詳細講解免殺常用的匯編指令，並針對絕大多數的匯編指令進行了實力演示。為了能使匯編講解得到更好的效果，在本章開篇，還詳細介紹了寄存器，Win32尋址過程等基礎知識。本書關於匯編知識的講解，是同類書籍中從未有過的詳細。
知名殺毒軟件高級查殺原理探秘
啟發式掃描、主動防御、雲查殺……這些比較新的殺毒方法，可能只有360安全工具的雲查殺是廣大免殺愛好者比較了解的。但是對於主動防御和啟發式掃描這些概念，盡管免殺技術愛好者們每天都可能遇到這樣的字眼，但是這兩項技術的基本原理，恐怕還有很多免殺技術愛好者並不了解。本書作者有幸參加過瑞星2008年一次雲安全討論，在本書中，作者將針對主動防御、啟發式掃描等概念，進行了較為基礎的講解，為疑惑許久的免殺技術愛好者解惑。
全面的特征碼修改方法總匯
本書匯集了幾乎在網上能見到的所有有效的特征碼修改方法。作者更是把多年來的免殺經驗滲透到本書的各個章節，這是不可多得的知識，能讓讀者少走很多彎路。

真實的免殺實例
現在圈子裡不乏一些為文章而文章的情況。很多人寫的免殺實例並不是真正意義上的實例，而是自我構造出的免殺案例而已，這種現象已經非常普遍。導致很多朋友看完一些免殺案例後，自己動手做的時候，錯誤重重，後來甚至使讀者不再相信多數的免殺案例文章。而本書中著重強調實例，免殺實例章節中的所有免殺實例均為真實的案例，並配有測試錄像。
資源來自網絡，如侵犯了您的權利，請點擊，謝謝！
網盤分流地址：[殺不死的秘密：反匯編揭密黑客免殺變種技術].崔承琦.掃描版.pdf
更多、更好的書——》我的書庫
內容截圖：

目錄:


第一章 背景知識
1.1 免殺技術的發展.......................................................1
1.2 免殺技術的定義.......................................................2
1.3 殺毒軟件查殺原理.....................................................2
1.3.1 特征碼法....................................................2
1.3.2 校驗和法....................................................3
1.3.3 行為監測法..................................................4
1.3.4 軟件模擬法..................................................4
1.3.5 總結........................................................4
1.4 常見殺毒軟件及其殺毒引擎特點.........................................5
1.5 免殺技術的分類.......................................................6
1.5.1 內部免殺和外部免殺..........................................6
1.5.2 特征碼免殺和大范圍免殺......................................6
1.5.3 文件免殺、內存免殺和行為免殺................................6
1.5.4 盲免技術....................................................7
第二章 搭建實驗環境
2.1 免殺測試步驟及測試環境...............................................8
2.1.1 免殺測試中遇到的問題........................................8
2.1.2 虛擬機的概念................................................8
2.1.3 VMware工作原理.............................................9
2.1.4 系統還原技術................................................9
2.1.5 冰點還原工作原理............................................9
2.1.6 選用哪種方式測試免殺效果....................................9
2.2 VMware的安裝與使用.................................................10
2.2.1 安裝VMware Workstation 6.5.2中文版........................10
2.2.2 創建一個新的虛擬機..........................................12
2.2.3 在VMware的虛擬機中安裝Ghost XP...........................14
2.2.4 安裝VMware Tools及簡單使用VMware........................16
2.3 冰點還原的安裝與使用.................................................17
2.3.1 安裝冰點還原................................................17
2.3.2 使用冰點還原................................................18
2.4 綜合型的測試環境.....................................................19
2.5 常用免殺工具一覽.....................................................19
第三章 免殺技術前置知識——PE結構
3.1 PE結構簡單介紹......................................................26
3.1.1 PE文件結構(簡化)............................................26
3.1.2 初步理解內存地址............................................26
3.1.3 文件偏移地址和虛擬地址轉換..................................27
3.2 DOS文件頭和DOS塊...................................................27
3.2.1 DOS文件頭..................................................27
3.2.2 DOS塊......................................................28
3.3 PE文件頭............................................................29
3.3.1 FileHeader字段...............................................29
3.3.2 OptionalHeader字段...........................................30
3.4 區段表和區段.........................................................32
3.5 輸出表和輸入表.......................................................32
3.5.1 輸出表......................................................32
3.5.2 輸入表......................................................33
3.6 什麼是加殼免殺.......................................................33
3.6.1 加殼免殺概念................................................33
3.6.2 殼程序的分類................................................33
3.7 殼程序的使用.........................................................34
3.7.1 ASPack加殼實例..............................................34
3.7.2 UPX加殼實例...............................................35
3.7.3 NSPack加殼實例..............................................36
3.8 實戰加殼免殺.........................................................37
3.9 從PEID實戰PE結構..................................................38
3.9.1 使用PEID載入一個文件.......................................39
3.9.2 入口點......................................................39
3.9.3 EP段.......................................................39
3.9.4 文件偏移....................................................40
3.9.5 首字節及匯編的概念..........................................40
3.9.6 查殼功能....................................................41
3.9.7 查殼原理....................................................41
3.9.8 PEID的設置.................................................41
第四章 免殺技術前置知識——匯編基礎
4.1 免殺技術與匯編及反匯編的關系.........................................42
4.1.1 機器語言....................................................42
4.1.2 匯編語言....................................................42
4.1.3 高級語言....................................................42
4.1.4 反匯編......................................................42
4.1.5 匯編與反匯編................................................43
4.2 寄存器和堆棧.........................................................44
4.2.1 寄存器......................................................44
4.2.2 堆棧........................................................44
4.3 內存單元與內存尋址...................................................45
4.3.1 內存單元....................................................45
4.3.2 內存地址....................................................45
4.3.3 80386的尋址機制.............................................46
4.3.4 大尾與小尾..................................................47
4.4 JMP指令與EIP寄存器.................................................48
4.4.1 jmp(JuMP)指令.............................................48
4.4.2 EIP寄存器...................................................48
4.5 常用傳送指令.........................................................49
4.5.1 PUSH(PUSH)指令..........................................49
4.5.2 POP(POP)指令.............................................49
4.5.3 MOV(MOVe)指令..........................................50
4.5.4 LEA(Load Effective Address)指令............................51
4.6 算術運算指令Ⅰ.......................................................52
4.6.1 ADD(ADD)指令............................................52
4.6.2 SUB(SUBtract)指令.........................................52
4.7 標志寄存器...........................................................52
4.7.1 ZF標志位...................................................52
4.7.2 PF標志位....................................................53
4.7.3 SF標志位....................................................54
4.7.4 CF標志位....................................................54
4.8 算術運算指令Ⅱ.......................................................55
4.8.1 ADC(ADd with Carry)指令.................................55
4.8.2 SBB(SuBtract with Borrow)指令............................55
4.8.3 INC(INCrement)指令........................................56
4.8.4 DEC(DECrement)指令......................................56
4.8.5 CMP(CoMPare)指令.........................................56
4.9 邏輯運算指令.........................................................57
4.9.1 AND(AND)指令............................................57
4.9.2 OR(OR)指令...............................................57
4.9.3 XOR(eXclusive OR)指令....................................58
4.9.4 TEST(TEST)指令...........................................58
4.10 程序轉移指令........................................................58
4.10.1 CALL(CALL)指令..........................................58
4.10.2 RETN/RETF(RETurN/ RETurn [內容被過濾，請注意論壇文明])指令..................59
4.10.3 條件轉移指令................................................60
4.10.4 LOOP(LOOP)指令.........................................60
4.10.5 NOP(No OPeretion)指令...................................61
4.11 環境保存............................................................61
4.11.1 變化的ESP寄存器...........................................61
4.11.2 LEAVE(LEAVE)指令.......................................62
4.12 OD使用指南.........................................................62
4.12.1 將文件載入OD..............................................63
4.12.2 反匯編代碼窗口.............................................63
4.12.3 程序是如何執行的...........................................64
4.12.4 免殺過程中經常用到的OD的調試功能..........................65
4.12.5 單步跟蹤和單步步入.........................................65
4.12.6 斷點和設置斷點.............................................66
4.12.7 編輯指令...................................................66
4.12.8 表達式跟隨.................................................66
4.12.9 查找命令...................................................67
4.12.10 重新設置EIP...............................................67
4.12.11 復制到可執行文件..........................................67
4.12.12 查看跳轉方向..............................................67
4.13 手工加花免殺........................................................68
4.13.1 加花免殺的原理.............................................68
4.13.2 一個典型的花指令...........................................68
4.13.3 給上興服務端加花...........................................68
4.14 工具加花免殺實例....................................................72
4.15 為什麼要編寫花指令..................................................73
4.15.1 堆棧平衡...................................................73
4.15.2 pushad和popad..............................................73
4.15.3 常用平衡指令...............................................73
4.16 C32Asm使用指南....................................................74
4.16.1 打開文件...................................................74
4.16.2 編輯數據...................................................74
4.16.3 地址跳轉...................................................75
4.16.4 數據查找...................................................75
4.16.5 文本操作...................................................75
4.16.6 保存文件...................................................75
4.17 API調用.............................................................75
第五章 手工脫殼
5.1 脫殼基礎知識.........................................................80
5.1.1 脫殼的概念..................................................80
5.1.2 OEP(Original Entry Point)...................................80
5.1.3 脫殼的用處..................................................80
5.2 單步跟蹤法...........................................................80
5.2.1 使用單步跟蹤法追蹤OEP的常見步驟............................80
5.2.2 使用單步跟蹤法脫UPX殼.....................................81
5.3 ESP定律法...........................................................85
5.3.1 使用ESP定律追蹤OEP的常見步驟..............................85
5.3.2 ESP定律脫北斗殼.............................................85
5.3.3 ESP定律原理................................................86
5.4 二次斷點法...........................................................87
5.4.1 使用二次斷點法追蹤OEP的常見步驟............................87
5.4.2 使用二次斷點法脫殼實例......................................87
5.5 末次異常法...........................................................90
5.5.1 使用末次異常法追蹤OEP的常見步驟............................90
5.5.2 使用末次異常法脫tElock 0.98.................................90
5.6 模擬跟蹤法...........................................................95
5.6.1 模擬跟蹤法的常見步驟........................................95
5.6.2 使用模擬跟蹤法脫FSG 1.33殼.................................95
5.7 SFX自動脫殼法.......................................................96
5.7.1 使用SFX自動脫殼法脫殼的常見步驟............................96
5.7.2 使用SFX自動脫殼法脫dxpack殼...............................96
5.8 出口標志法...........................................................97
5.8.1 使用出口標志法脫殼的常見步驟................................97
5.8.2 使用出口標志法脫depack殼...................................98
5.9 使用脫殼腳本輔助脫殼.................................................99
5.10 使用脫殼工具脫殼....................................................100
5.10.1 超級巡警脫殼工具的工作方法..................................100
5.10.2 使用超級巡警脫殼工具脫殼..................................100
第六章 常用大范圍免殺方法
6.1 利用加多個花指令的方法實現木馬免殺..................................101
6.1.1 加多花免殺的原理............................................101
6.1.2 加多花免殺實例..............................................101
6.2 利用殼外花實現木馬免殺..............................................104
6.3 利用FreeRes實現加多殼免殺............................................106
6.4 利用修改殼頭實現木馬免殺.............................................107
6.4.1 ASPack 2.12殼的修改........................................107
6.4.2 UPX殼的修改...............................................108
6.5 利用移動PE頭的方法實現木馬免殺.....................................109
6.6 利用SEH技術給木馬加花...............................................113
6.7 利用去頭加花方法實現木馬免殺.........................................114
6.8 利用reloc改殼免殺木馬................................................117
6.9 利用LordPE重建PE實現免殺...........................................119
6.10 利用添加PE數字簽名實現免殺.........................................119
6.10.1 判斷一個PE文件是否具有數字證書...........................120
6.10.2 獲取PE文件內數字簽名的起始位置............................120
6.10.3 獲取PE文件內數字簽名的長度...............................120
6.10.4 拷貝數字簽名到pcmain.dll中................................120
6.10.5 給pcmain.dll添加PE數字簽名相關配置信息.....................121
6.10.6 利用工具快速給PE文件添加數字簽名..........................121
第七章 特征碼定位
7.1 再談特征碼...........................................................122
7.1.1 特征碼查殺兩要素............................................122
7.1.2 復合特征碼查殺..............................................122
7.1.3 隱藏特征碼.................................................123
7.1.4 啟發式掃描..................................................123
7.1.5 狹義上的特征碼與廣義上的特征碼..............................124
7.2 MyCCL定位原理......................................................124
7.2.1 MyCCL定位復合特征碼的原理.................................124
7.2.2 MyCCL對特征碼的精確定位...................................125
7.2.3 隱式隱含特征碼..............................................126
7.3 MultiCCL定位原理.....................................................126
7.4 MyCCL定位文件特征碼實例...........................................128
7.4.1 粗略定位復合特征碼..........................................128
7.4.2 精確定位復合特征碼..........................................130
7.5 MultiCCL定位文件特征碼實例..........................................131
7.5.1 使用MultiCCL定位文件特征碼.................................131
7.5.2 MultiCCL保護區域的設置....................................134
7.6 定位內存特征碼......................................................135
7.6.1 使用MyCCL定位內存特征碼...................................135
7.6.2 使用MultiCCL定位內存特征碼.................................136
7.7 啟發式掃描與主動防御................................................138
7.7.1 啟發式掃描.................................................138
7.7.2 主動防御....................................................139
第八章 特征碼修改方法
8.1 等值替換法修改特征碼................................................140
8.2 修改ASCII特征碼大小寫...............................................141
8.2.1 ASCII碼和ANSI碼............................................141
8.2.2 利用ASCII特征碼大小寫轉換免殺LCX..........................142
8.3 去除無用ASCII特征碼................................................142
8.4 移動ASCII特征碼......................................................143
8.4.1 ASCII碼數據如何發揮作用....................................144
8.4.2 免殺原始文件................................................144
8.4.3 移動ASCII特征碼實例.........................................144
8.5 顛倒代碼順序實現特征碼修改..........................................147
8.6 利用vmprotect v1.21加密特征碼.......................................148
8.6.1 導出原始服務端中的SYS驅動文件.............................148
8.6.2 免殺SYS驅動文件...........................................149
8.7 利用通用跳轉法修改特征碼.............................................152
8.7.1 利用通用跳轉法修改特征碼的原理.............................152
8.7.2 利用通用跳轉法修改特征碼...................................152
8.8 移動輸入表函數特征碼................................................154
8.9 加空格免殺輸入表文件名...............................................159
8.9.1 什麼是加空格免殺法.........................................159
8.9.2 下面就來實際操作一下........................................159
8.10 修改輸入表描述信息免殺..............................................160
8.11 移動輸出表函數特征碼...............................................160
8.11.1 認識輸出表的結構..........................................161
8.11.2 移動輸出表函數名..........................................162
8.12 利用異或算法加密特征碼..............................................163
8.12.1 重溫異或算法...............................................163
8.12.2 異或算法在免殺上的運用....................................163
8.12.3 修改區段標志...............................................164
8.12.4 加入新區段，並記錄相關數據.................................165
8.12.5 實施加密...................................................167
8.13 利用異或算法加密輸出表函數特征碼...................................172
8.14 通過修改干擾碼實現特征碼免殺........................................174
8.14.1 修改第一部分干擾碼.........................................175
8.14.2 修改第二部分干擾碼.........................................175
8.14.3 修改第三部分干擾碼.........................................176
8.14.4 修改特征碼................................................176
8.15 特征碼交換..........................................................177
8.15.1 數據傳送法修改特征碼的原理.................................177
8.15.2 特征碼交換的原理及應用....................................177
8.15.3 特征碼交換實例.............................................178
8.16 隱藏輸入表..........................................................181
第九章 對抗新型安全工具
9.1 利用Abetter突破卡巴斯基主動防御.....................................185
9.2 突破卡巴斯基、瑞星、360安全衛士的安全監控............................187
9.3 簡單突破江民等殺毒軟件主動防御.......................................191
9.4 突破360安全衛士啟動項監控Ⅰ.........................................191
9.4.1 突破360安全衛士啟動項監控的原理.............................191
9.4.2 突破360安全衛士啟動項監控實例.............................192
9.5 突破360安全衛士啟動項監控Ⅱ.........................................194
第十章 綜合免殺實例
10.1 免殺PcShare過諾頓11...............................................196
10.1.1 定位特征碼.................................................196
10.1.2 特征碼修改..................................................196
10.2 免殺PcShare過NOD32...............................................199
10.2.1 PcMain.dll文件特征碼的修改..................................199
10.2.2 PcInit.exe文件特征碼的修改..................................201
10.3 免殺PcShare過瑞星...................................................202
10.3.1 免殺PcMain.dll..............................................202
10.3.2 免殺PcHide.sys..............................................214
10.3.3 免殺PcInit.exe..............................................214
10.4 免殺PcShare過卡巴斯基...............................................216
10.4.1 免殺PcMain.dll..............................................216
10.4.2 免殺PcInit.exe..............................................224
10.5 免殺PcShare附加數據過常見殺毒軟件..................................233
10.5.1 修改配置信息加密密鑰........................................233
10.5.2 設置動態密鑰加密............................................235
10.6 免殺PcShare過BitDefender 2010.......................................239
10.6.1 免殺PcMain.dll..............................................240
10.6.2 免殺PcInit.exe..............................................242
第十一章 簡單腳本免殺
11.1 PHP後門的免殺......................................................247
11.2 簡單免殺ASP木馬....................................................248
11.3 拆分網頁木馬的特征碼................................................248
11.4 利用HTML混淆器免殺網頁木馬.......................................251
11.5 用Escape加密網頁木馬................................................252
11.6 最實用的ASP後門免殺方法............................................253
11.7 腳本後門及網頁木馬的免殺綜述.......................................254
11.7.1 加密法....................................................254
11.7.2 特征碼修改法..............................................255
11.7.3 分割文件包含法.............................................256
11.7.4 王牌“免殺法”.............................................256
附錄
匯編速查手冊.............................................................258
閱讀本書過程中可能遇到的問題.............................................261