惡意代碼逆向分析基礎詳解

本書以實戰項目為主線，以理論基礎為核心，引導讀者漸進式學習如何分析Windows作業系統的惡意程式。從惡意代碼開發者的角度出發，闡述惡意代碼的編碼和加密、規避檢測技術。最後，實戰分析惡意程式的網路流量和檔案行為，挖掘惡意域名等信息。

本書共14章，第1~9章詳細講述惡意代碼分析基礎技術點，從搭建環境開始，逐步深入分析WindowsPE檔案結構，講述如何執行編碼或加密的shellcode二進制代碼；第10~14章詳細解析惡意代碼常用的API函式混淆、進程注入、DLL注入規避檢測技術，介紹Yara工具檢測惡意代碼的使用方法，從零開始，系統深入地剖惡意代碼的網路流量和檔案行為。

本書既適合初學者入門，對於工作多年的惡意代碼分析工程師、網路安全滲透測試工程、網路安全軟體開發人員、安全課程培訓人員、高校網路安全專業方向的學生等也有參考價值，並可作為高等院校和培訓機構相關專業的教學參考書。本書示例代碼豐富，實踐性和系統性較強。

目錄

第1章搭建惡意代碼分析環境

1.1搭建虛擬機實驗環境

1.1.1安裝VMware Workstation Pro虛擬機軟體

1.1.2安裝Windows 10系統虛擬機

1.1.3安裝FLARE系統虛擬機

1.1.4安裝Kali Linux系統虛擬機

1.1.5配置虛擬機網路拓撲環境

1.2搭建軟體實驗環境

1.2.1安裝Visual Studio 2022開發軟體

1.2.2安裝x64dbg調試軟體

1.2.3安裝IDA調試軟體

1.2.4安裝010 Editor編輯軟體

第2章Windows程式基礎

2.1PE結構基礎介紹

2.1.1DOS部分

2.1.2PE檔案頭部分

2.1.3PE節表部分

2.1.4PE節數據部分

2.2PE分析工具

2.3編譯與分析EXE程式

2.4編譯與分析DLL程式

第3章生成和執行shellcode

3.1shellcode介紹

3.1.1shell終端接口介紹

3.1.2獲取shellcode的方法

3.2Metasploit工具介紹

3.2.1Metasploit Framework目錄組成

3.2.2Metasploit Framework模組組成

3.2.3Metasploit Framework命令接口

3.3MsfVenom工具介紹

3.3.1MsfVenom參數說明

3.3.2MsfVenom生成shellcode

3.4C語言載入執行shellcode代碼

3.5Meterpreter後滲透測試介紹

3.5.1Meterpreter參數說明

3.5.2Meterpreter鍵盤記錄案例

第4章逆向分析工具

4.1逆向分析方法

4.2靜態分析工具 IDA基礎

4.2.1IDA軟體常用快捷鍵

4.2.2IDA軟體常用設定

4.3動態分析工具 x64dbg基礎

4.3.1x64dbg軟體界面介紹

4.3.2x64dbg軟體調試案例

第5章執行PE節中的shellcode

5.1嵌入PE節的原理

5.1.1記憶體中執行shellcode原理

5.1.2常用Windows API函式介紹

5.1.3scdbg逆向分析shellcode

5.2嵌入PE .text節區的shellcode

5.3嵌入PE .data節區的shellcode

5.4嵌入PE .rsrc節區的shellcode

5.4.1Windows 程式資源檔案介紹

5.4.2查找與載入.rsrc節區相關函式介紹

5.4.3實現嵌入.rsrc節區shellcode

第6章分析base64編碼的shellcode

6.1base64編碼原理

6.2Windows實現base64編碼shellcode

6.2.1base64解碼相關函式

6.2.2base64編碼shellcode

6.2.3執行base64編碼shellcode

6.3x64dbg分析提取shellcode

6.3.1x64dbg斷點功能介紹

6.3.2x64dbg分析可執行程式

第7章分析XOR加密的shellcode

7.1XOR加密原理

7.1.1異或位運算介紹

7.1.2Python實現XOR異或加密shellcode

7.2XOR解密shellcode

7.2.1XOR解密函式介紹

7.2.2執行XOR加密shellcode

7.3x64dbg分析提取shellcode

第8章分析AES加密的shellcode

8.1AES加密原理

8.2AES加密shellcode

8.2.1Python加密shellcode

8.2.2實現AES解密shellcode

8.3x64dbg提取並分析shellcode

第9章構建shellcode runner程式

9.1C語言 shellcode runner程式

9.1.1C語言開發環境Dev C

9.1.2各種shellcode runner程式

9.2C#語言 shellcode runner程式

9.2.1VS 2022編寫並運行C#程式

9.2.2C#語言調用Win32 API函式

9.2.3C#語言執行shellcode

9.3線上防毒軟體引擎Virus Total介紹

9.3.1Virus Total分析檔案

9.3.2Virus Total分析進程

第10章分析API函式混淆

10.1PE分析工具pestudio基礎

10.2API函式混淆原理與實現

10.2.1API函式混淆基本原理

10.2.2相關API函式介紹

10.2.3實現API函式混淆

10.3x64dbg分析函式混淆

第11章進程注入shellcode

11.1進程注入原理

11.2進程注入實現

11.2.1進程注入相關函式

11.2.2進程注入代碼實現

11.3分析進程注入

11.3.1Process Hacker工具分析進程注入

11.3.2x64dbg工具分析進程注入

第12章DLL注入shellcode

12.1DLL注入原理

12.1.1DLL檔案介紹

12.1.2DLL注入流程

12.2DLL注入實現

12.2.1生成DLL檔案

12.2.2DLL注入代碼實現

12.3分析DLL注入

第13章Yara檢測惡意程式原理與實踐

13.1Yara工具檢測原理

13.2Yara工具基礎

13.2.1安裝Yara工具

13.2.2Yara基本使用方法

第14章檢測和分析惡意代碼

14.1搭建惡意代碼分析環境

14.1.1REMnux Linux環境介紹

14.1.2配置分析環境的網路設定

14.1.3配置REMnux Linux網路服務

14.2實戰： 分析惡意代碼的網路流量

14.3實戰： 分析惡意代碼的檔案行為

14.4實戰： 線上惡意代碼檢測沙箱