具体描述
《木马核心技术剖析》是木马技术分析与检测方面的参考书,可作为从事网络安全等研究领域科研人员的参考书,也可作为高等院校网络安全专业本科生与研究生的参考教材。
作者简介
作者简介
孙钦东,博士,教授,西安理工大学网络与信息安全研究所所长,主要从事网络与信息安全、大数据分析、物联网技术等方面的研究与应用工作。先后主持国家自然科学基金面上项目、国家自然科学基金青年项目、国家242信息安全计划项目、教育部科学技术研究重点项目、中国博士后科学基金一等资助项目、科技部中小企业技术创新基金、陕西科技统筹创新工程项目、陕西省国际科技合作重点项目等纵向科研项目20余项,主持企业科研项目30余项。目前,所研究与开发的多套系统已在实际中应用推广;发表学术论文50余篇,其中SCI/EI检索40余篇;获陕西省科学技术奖一等奖1项、三等奖2项,西安市科学技术奖3项,陕西高等学校科学技术奖3项,出版学术专著3部,申请发明专利11项,申请软件著作权20余项,获“陕西省青年科技新星”荣誉称号,获第十届陕西青年科技奖。
目录信息
目录
第1章绪论
1.1木马的基本概念
1.2木马的发展历程
1.3木马的类型
1.4本书组织结构
第2章木马的隐藏
2.1木马自身文件的隐藏
2.1.1基于文件枚举函数Hook的隐藏
2.1.2基于FSDHook的文件隐藏
2.1.3基于自定义文件系统的隐藏
2.2木马模块的隐藏
2.2.1“摘链”隐藏
2.2.2基于PELoader的隐藏
2.3网络端口的隐藏
2.3.1WindowsXP系统下的端口隐藏
2.3.2Vista之后的端口隐藏
2.3.3端口复用
2.4小结
第3章木马驱动加载与启动
3.1Windows存储与启动过程
3.1.1Windows系统硬盘与分区
3.1.2基于BIOS的系统启动过程
3.1.3基于UEFI的启动过程
3.2基于MBR的Bootkit
3.2.1MBR结构解析
3.2.2MBR的修改
3.3基于VBR的Bootkit
3.3.1VBR结构解析
3.3.2VBR的修改
3.4Bootkit控制系统启动与加载驱动
3.4.1挂钩中断
3.4.2监控系统启动
3.4.3加载驱动
3.5小结
第4章木马的免杀
4.1免杀原理
4.2针对静态查杀的免杀
4.2.1特征字符串变形
4.2.2木马组件加密和存储
4.2.3基于泛型的API动态调用
4.3针对动态查杀的免杀
4.3.1时间延迟方式
4.3.2资源耗尽方式
4.3.3上下文差异
4.3.4多次启动
4.3.5虚拟环境中的WindowsAPI差异
4.3,6已知特定目标机器信息
4,4其他免杀方法
4.4.1代码注入
4.4.2傀儡进程
4.4.3DLL劫持
4.5脚本化木马
4.6小结
第5章木马反分析技术
5.1反调试
5.1.1调试器的工作机制
5.1.2反调试
5.2反反汇编
5.3反虚拟机
5.4反沙盒
5.4.1沙盒原理
5.4.2沙盒检测
5.5反内存扫描
5.6小结
第6章Windows64位系统下的木马技术
6.1Windows64位系统
6.2Wow64子系统
6.3Wow64中执行64位代码
6.3.132位进程中执行64位的指令
6.3.232位进程中调用64位API
6.4小结
第7章木马通信与防火墙穿透
7.1基于TCP的木马控制通信
7.1.1粘包和分包处理
7.1.2链接保活
7.2基于UDP的木马控制通信
7.3基于HTTP/HTTPS的木马通信
7.4边界防火墙穿透
7.5ForefrontTMG穿透解析
7.5.1ForefrontTMG实验网络拓扑
7.5.2穿透思路与实现
7.6小结
第8章木马实例解析
8.1模块化的木马系统架构
8.2生成器
8.3被控端
8.3.1木马释放组件
8.3.2常驻模块
8.4控制端
8.4.1控制端的架构
8.4.2控制端的通信
8.5小结
第9章木马技术的发展趋势
9.1通信更加隐蔽化
9.1.1基于Tor的通信
9.1.2基于公共服务的中转通信
9.1.3基于内核的网络通信
9.2实现呈现硬件化
9.3植入平台多样化
9.4小结
参考文献
· · · · · · (收起)
第1章绪论
1.1木马的基本概念
1.2木马的发展历程
1.3木马的类型
1.4本书组织结构
第2章木马的隐藏
2.1木马自身文件的隐藏
2.1.1基于文件枚举函数Hook的隐藏
2.1.2基于FSDHook的文件隐藏
2.1.3基于自定义文件系统的隐藏
2.2木马模块的隐藏
2.2.1“摘链”隐藏
2.2.2基于PELoader的隐藏
2.3网络端口的隐藏
2.3.1WindowsXP系统下的端口隐藏
2.3.2Vista之后的端口隐藏
2.3.3端口复用
2.4小结
第3章木马驱动加载与启动
3.1Windows存储与启动过程
3.1.1Windows系统硬盘与分区
3.1.2基于BIOS的系统启动过程
3.1.3基于UEFI的启动过程
3.2基于MBR的Bootkit
3.2.1MBR结构解析
3.2.2MBR的修改
3.3基于VBR的Bootkit
3.3.1VBR结构解析
3.3.2VBR的修改
3.4Bootkit控制系统启动与加载驱动
3.4.1挂钩中断
3.4.2监控系统启动
3.4.3加载驱动
3.5小结
第4章木马的免杀
4.1免杀原理
4.2针对静态查杀的免杀
4.2.1特征字符串变形
4.2.2木马组件加密和存储
4.2.3基于泛型的API动态调用
4.3针对动态查杀的免杀
4.3.1时间延迟方式
4.3.2资源耗尽方式
4.3.3上下文差异
4.3.4多次启动
4.3.5虚拟环境中的WindowsAPI差异
4.3,6已知特定目标机器信息
4,4其他免杀方法
4.4.1代码注入
4.4.2傀儡进程
4.4.3DLL劫持
4.5脚本化木马
4.6小结
第5章木马反分析技术
5.1反调试
5.1.1调试器的工作机制
5.1.2反调试
5.2反反汇编
5.3反虚拟机
5.4反沙盒
5.4.1沙盒原理
5.4.2沙盒检测
5.5反内存扫描
5.6小结
第6章Windows64位系统下的木马技术
6.1Windows64位系统
6.2Wow64子系统
6.3Wow64中执行64位代码
6.3.132位进程中执行64位的指令
6.3.232位进程中调用64位API
6.4小结
第7章木马通信与防火墙穿透
7.1基于TCP的木马控制通信
7.1.1粘包和分包处理
7.1.2链接保活
7.2基于UDP的木马控制通信
7.3基于HTTP/HTTPS的木马通信
7.4边界防火墙穿透
7.5ForefrontTMG穿透解析
7.5.1ForefrontTMG实验网络拓扑
7.5.2穿透思路与实现
7.6小结
第8章木马实例解析
8.1模块化的木马系统架构
8.2生成器
8.3被控端
8.3.1木马释放组件
8.3.2常驻模块
8.4控制端
8.4.1控制端的架构
8.4.2控制端的通信
8.5小结
第9章木马技术的发展趋势
9.1通信更加隐蔽化
9.1.1基于Tor的通信
9.1.2基于公共服务的中转通信
9.1.3基于内核的网络通信
9.2实现呈现硬件化
9.3植入平台多样化
9.4小结
参考文献
· · · · · · (收起)
读后感
评分
评分
评分
评分
评分
用户评价
评分
评分
评分
评分
评分
相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 book.quotespace.org All Rights Reserved. 小美书屋 版权所有