编辑推荐
理论技术与实战操作相辅相成,凸显“道与术”庖丁解牛式剖析Windows用户层和内核层黑客技术原理代码兼容性高,支持Windows7到Windows10全平台系统近年来,全球大规模爆发勒索病毒和挖矿病毒,让沉寂许久的黑客技术,又重新回到了人们的视野中。Windows操作系统市场占有率高达90%以上,所以面对勒索病毒、挖矿病毒,Windows用户首当其冲。为了揭开病毒木马的神秘面纱,更好地服务于信息安全,本书总结并剖析了常见的Windows黑客编程技术,用通俗易懂的语言介绍了用户层下的Windows编程和内核层下的Rootkit编程。本书内容用户篇开发环境基础技术注入技术启动技术自启动技术提权技术隐藏技术压缩技术加密技术传输技术功能技术内核篇开发环境文件管理技术注册表管理技术HOOK技术监控技术反监控技术功能技术
内容简介
《Windows黑客编程技术详解》介绍的是黑客编程的基础技术,涉及用户层下的Windows编程和内核层下的Rootkit编程。本书分为用户篇和内核篇两部分,用户篇包括11章,配套49个示例程序源码;内核篇包括7章,配套28个示例程序源码。本书介绍的每个技术都有详细的实现原理,以及对应的示例代码(配套代码均支持32位和64位Windows7、Windows8.1及Windows10系统),旨在帮助初学者建立起黑客编程技术的基础。《Windows黑客编程技术详解》面向对计算机系统安全开发感兴趣,或者希望提升安全开发水平的读者,以及从事恶意代码分析研究的安全人员。
作者简介
甘迪文,北京邮电大学网络空间安全学院在读研究生,2019年秋季即将步入清华大学攻读软件工程专业的博士学位,Write-Bug技术共享平台(www.write-bug.com)创始人。对信息安全领域兴趣颇深,常利用课余时间自学和钻研安全开发技术。擅长Windows系统安全程序开发,熟悉Windows内核编程,闲来无事之时喜欢开发功能各异的小软件。
目录
- 第1篇用户篇
- 第1章开发环境3
- 1.1环境安装3
- 1.2工程项目设置5
- 1.3关于Debug模式和Release模式的小提示7
- 第2章基础技术10
- 2.1运行单一实例10
- 2.2DLL延迟加载13
- 2.3资源释放15
- 第3章注入技术22
- 3.1全局钩子注入22
- 3.2远线程注入27
- 3.3突破SESSION0隔离的远线程注入34
- 3.4APC注入37
- 第4章启动技术42
- 4.1创建进程API42
- 4.2突破SESSION0隔离创建用户进程48
- 4.3内存直接加载运行55
- 第5章自启动技术60
- 5.1注册表60
- 5.2快速启动目录66
- 5.3计划任务69
- 5.4系统服务75
- 第6章提权技术84
- 6.1进程访问令牌权限提升84
- 6.2BypassUAC89
- 第7章隐藏技术97
- 7.1进程伪装97
- 7.2傀儡进程102
- 7.3进程隐藏106
- 7.4DLL劫持112
- 第8章压缩技术119
- 8.1数据压缩API119
- 8.2ZLIB压缩库126
- 第9章加密技术133
- 9.1Windows自带的加密库133
- 9.2Crypto++密码库152
- 第10章传输技术168
- 10.1Socket通信168
- 10.2FTP通信181
- 10.3HTTP通信190
- 10.4HTTPS通信202
- 第11章功能技术210
- 11.1进程遍历210
- 11.2文件遍历214
- 11.3桌面截屏219
- 11.4按键记录226
- 11.5远程CMD232
- 11.6U盘监控235
- 11.7文件监控241
- 11.8自删除245
- 第2篇内核篇
- 第12章开发环境253
- 12.1环境安装253
- 12.2驱动程序的开发与调试254
- 12.3驱动无源码调试264
- 12.432位和64位驱动开发268
- 第13章文件管理技术270
- 13.1文件管理之内核API270
- 13.2文件管理之IRP293
- 13.3文件管理之NTFS解析303
- 第14章注册表管理技术317
- 14.1注册表管理之内核API317
- 14.2注册表管理之HIVE文件解析329
- 第15章HOOK技术337
- 15.1SSDTHOOK337
- 15.2过滤驱动351
- 第16章监控技术357
- 16.1进程创建监控357
- 16.2模块加载监控363
- 16.3注册表监控369
- 16.4对象监控374
- 16.5Minifilter文件监控379
- 16.6WFP网络监控385
- 第17章反监控技术392
- 17.1反进程创建监控392
- 17.2反线程创建监控397
- 17.3反模块加载监控403
- 17.4反注册表监控407
- 17.5反对象监控411
- 17.6反Minifilter文件监控415
- 第18章功能技术421
- 18.1过PatchGuard的驱动隐藏421
- 18.2过PatchGuard的进程隐藏426
- 18.3TDI网络通信429
- 18.4强制结束进程437
- 18.5文件保护442
- 18.6文件强删444
- 附录函数一览表447