惡意代碼逆向分析基礎詳解

本書以實戰項目為主線，結合理論基礎，引導讀者逐步學習如何分析Windows操作系統中的惡意程序。從惡意代碼開發者的角度出發，深入探討惡意代碼的編碼、加密和規避檢測技術。同時，透過實際案例，指導讀者分析惡意程序的網絡流量、文件行為以及挖掘惡意域名等相關信息。

本書共分為14章，前九章詳細介紹惡意代碼分析的基礎技術點。從搭建環境開始，逐步深入介紹WindowsPE文件結構，並詳細解說如何執行編碼或加密的shellcode二進制代碼。後五章則深入探討惡意代碼常用的API函數混淆、進程註入、DLL註入以及規避檢測技術。同時，本書還介紹了Yara工具用於檢測惡意代碼的使用方法，並從零開始，深入分析惡意代碼的網絡流量和文件行為。

本書適合初學者入門，同時也提供了工作多年的惡意代碼分析工程師、網絡安全滲透測試工程師、網絡安全軟件開發人員、安全課程培訓人員以及高校網絡安全專業學生等參考價值。此外，本書還可作為高等院校和培訓機構相關專業的教學參考書。其中，書中豐富的示例代碼使讀者能夠獲得更實踐性和系統性的學習體驗。

目錄

本書源代碼

第1章搭建惡意代碼分析環境

1.1搭建虛擬機實驗環境

1.1.1安裝VMware Workstation Pro虛擬機軟件

1.1.2安裝Windows 10系統虛擬機

1.1.3安裝FLARE系統虛擬機

1.1.4安裝Kali Linux系統虛擬機

1.1.5配置虛擬機網絡拓撲環境

1.2搭建軟件實驗環境

1.2.1安裝Visual Studio 2022開發軟件

 

1.2.2安裝x64dbg調試軟件

 

1.2.3安裝IDA調試軟件

 

1.2.4安裝010 Editor編輯軟件

 

第2章Windows程序基礎

 

2.1PE結構基礎介紹

 

2.1.1DOS部分

 

2.1.2PE文件頭部分

 

2.1.3PE節表部分

 

 

2.1.4PE節數據部分

 

2.2PE分析工具

 

2.3編譯與分析EXE程序

 

2.4編譯與分析DLL程序

 

第3章生成和執行shellcode

 

3.1shellcode介紹

 

3.1.1shell終端接口介紹

 

3.1.2獲取shellcode的方法

 

3.2Metasploit工具介紹

 

3.2.1Metasploit Framework目錄組成

 

3.2.2Metasploit Framework模塊組成

 

3.2.3Metasploit Framework命令接口

 

3.3MsfVenom工具介紹

 

3.3.1MsfVenom參數說明

 

3.3.2MsfVenom生成shellcode

 

3.4C語言加載執行shellcode代碼

 

3.5Meterpreter後滲透測試介紹

 

3.5.1Meterpreter參數說明

 

3.5.2Meterpreter鍵盤記錄案例

 

 

 

 

 

 

 

第4章逆向分析工具

 

4.1逆向分析方法

 

4.2靜態分析工具 IDA基礎

 

4.2.1IDA軟件常用快捷鍵

 

4.2.2IDA軟件常用設置

 

4.3動態分析工具 x64dbg基礎

 

4.3.1x64dbg軟件界面介紹

 

4.3.2x64dbg軟件調試案例

 

第5章執行PE節中的shellcode

 

5.1嵌入PE節的原理

 

5.1.1內存中執行shellcode原理

 

5.1.2常用Windows API函數介紹

 

5.1.3scdbg逆向分析shellcode

 

5.2嵌入PE .text節區的shellcode

 

5.3嵌入PE .data節區的shellcode

 

5.4嵌入PE .rsrc節區的shellcode

 

5.4.1Windows 程序資源文件介紹

 

5.4.2查找與加載.rsrc節區相關函數介紹

 

5.4.3實現嵌入.rsrc節區shellcode

 

 

第6章分析base64編碼的shellcode

 

6.1base64編碼原理

 

6.2Windows實現base64編碼shellcode

 

6.2.1base64解碼相關函數

 

6.2.2base64編碼shellcode

 

6.2.3執行base64編碼shellcode

 

6.3x64dbg分析提取shellcode

 

6.3.1x64dbg斷點功能介紹

 

6.3.2x64dbg分析可執行程序

 

第7章分析XOR加密的shellcode

 

7.1XOR加密原理

 

7.1.1異或位運算介紹

 

7.1.2Python實現XOR異或加密shellcode

 

7.2XOR解密shellcode

 

7.2.1XOR解密函數介紹

 

7.2.2執行XOR加密shellcode

 

7.3x64dbg分析提取shellcode

 

第8章分析AES加密的shellcode

 

8.1AES加密原理

 

8.2AES加密shellcode

 

8.2.1Python加密shellcode

 

8.2.2實現AES解密shellcode

 

8.3x64dbg提取並分析shellcode

 

第9章構建shellcode runner程序

 

9.1C語言 shellcode runner程序

 

9.1.1C語言開發環境Dev C++

 

9.1.2各種shellcode runner程序

 

9.2C#語言 shellcode runner程序

 

9.2.1VS 2022編寫並運行C#程序

 

9.2.2C#語言調用Win32 API函數

 

9.2.3C#語言執行shellcode

 

9.3在線殺毒軟件引擎Virus Total介紹

 

9.3.1Virus Total分析文件

 

9.3.2Virus Total分析進程

 

第10章分析API函數混淆

 

10.1PE分析工具pestudio基礎

 

 

10.2API函數混淆原理與實現

 

10.2.1API函數混淆基本原理

 

10.2.2相關API函數介紹

 

10.2.3實現API函數混淆

 

10.3x64dbg分析函數混淆

 

第11章進程註入shellcode

 

11.1進程註入原理

 

11.2進程註入實現

 

11.2.1進程註入相關函數

 

11.2.2進程註入代碼實現

 

11.3分析進程註入

 

11.3.1Process Hacker工具分析進程註入

 

11.3.2x64dbg工具分析進程註入

 

第12章DLL註入shellcode

 

12.1DLL註入原理

 

12.1.1DLL文件介紹

 

12.1.2DLL註入流程

 

12.2DLL註入實現

 

12.2.1生成DLL文件

 

12.2.2DLL註入代碼實現

 

12.3分析DLL註入

 

第13章Yara檢測惡意程序原理與實踐

 

13.1Yara工具檢測原理

 

13.2Yara工具基礎

 

13.2.1安裝Yara工具

 

13.2.2Yara基本使用方法

 

第14章檢測和分析惡意代碼

 

14.1搭建惡意代碼分析環境

 

14.1.1REMnux Linux環境介紹

 

14.1.2配置分析環境的網絡設置

 

14.1.3配置REMnux Linux網絡服務

 

14.2實戰： 分析惡意代碼的網絡流量

 

14.3實戰： 分析惡意代碼的文件行為

 

14.4實戰： 在線惡意代碼檢測沙箱