國內(nèi)首部關(guān)于黑客免殺技術(shù)的專著,旨在為反病毒工程師剖析各種惡意軟件和應(yīng)對各種安全威脅提供指導(dǎo)。不僅從攻擊者(黑客)的視角多方位揭示了黑客免殺技術(shù)的常用方法、常用技術(shù)和思想原理,還從防御者(反病毒工程師)的視角深入講解了遏制免殺技術(shù)的具體方法策略。從純技術(shù)的角度講,本書不僅詳細(xì)講解了免殺技術(shù)的各種細(xì)節(jié)和方法,還詳細(xì)講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等安全技術(shù)的細(xì)節(jié)。
全書共20章,分為三大部分:基礎(chǔ)篇(第1~6章)詳細(xì)介紹了黑客免殺技術(shù)的初級技巧,包括查找(修改)特征碼、常見特征碼繞過技巧、殼在免殺中的應(yīng)用、花指令和其他免殺基礎(chǔ)知識;高級篇(第7~16章)深入講解了PE文件、逆向工程、C++殼的編寫、免殺殼的打造、脫殼、Rootkit等常用安全技術(shù)的原理和細(xì)節(jié),以及黑客免殺技術(shù)是如何應(yīng)用它們的,為反病毒工程師應(yīng)對各種惡意軟件提供了原理性指導(dǎo);擴(kuò)展篇(第17~20章)為遏制黑客免殺技術(shù)提供了思路和具體的方案。
相關(guān)推書推薦:
《Web之困:現(xiàn)代Web應(yīng)用安全指南》
《Metasploit滲透測試魔鬼訓(xùn)練營》 (首本中文原創(chuàng)Metasploit滲透測試著作!國內(nèi)信息安全領(lǐng)域布道者和博學(xué)Metasploit滲透測試專家領(lǐng)銜撰寫。)
《惡意軟件、Rootkit和僵尸網(wǎng)絡(luò)》 (惡意軟件、Rootkit和僵尸網(wǎng)絡(luò)領(lǐng)域經(jīng)典入門書,譯著雙馨,10余家安全機(jī)構(gòu)聯(lián)袂推薦,Amazon五星暢銷書)
《黑客免殺攻防》 (多方位揭示黑客免殺技術(shù)的常用方法、技術(shù)細(xì)節(jié)和思想原理,為反病毒工程師剖析惡意軟件和遏制免殺技術(shù)提供具體方法和應(yīng)對策略)
《Rootkit:系統(tǒng)灰色地帶的潛伏者》 (原書第2版)(Amazon五星級暢銷書,rootkit領(lǐng)域的重要著作,計算機(jī)安全領(lǐng)域公認(rèn)經(jīng)典)
《滲透測試實踐指南:必知必會的工具與方法》 (Amazon五星級超級暢銷書,美國國家安全局主管Keith B. Alexander將軍(向奧巴馬匯報)鼎力推薦!)
《BackTrack4:利用滲透測試保障系統(tǒng)安全》
多方位揭示黑客免殺技術(shù)的常用方法、技術(shù)細(xì)節(jié)和思想原理,為反病毒工程師剖析惡意軟件和遏制免殺技術(shù)提供具體方法和應(yīng)對策略
從攻與防的雙重角度詳細(xì)講解PE文件知識、逆向工程、C++殼的編寫、免殺殼的打造、脫殼技術(shù)、Rootkit等安全技術(shù)的細(xì)節(jié),為反病毒工程師提供技術(shù)指導(dǎo)
任曉琿
博學(xué)安全技術(shù)工程師,華章"信息安全技術(shù)叢書"專家顧問,致力于免殺技術(shù)和反病毒技術(shù)的實踐。對軟件安全、逆向工程、Rootkit、加殼與脫殼等技術(shù)有較深入的研究和理解,積累了豐富的經(jīng)驗。北京藍(lán)森科技有限公司創(chuàng)始人,黑客反病毒論壇(www.hackav.com)創(chuàng)始人,邪惡八進(jìn)制團(tuán)隊成員,博學(xué)培訓(xùn)講師,國內(nèi)知名信息安全培訓(xùn)品牌15PB的創(chuàng)始人。目前專注于計算機(jī)安全的中高端培訓(xùn)。
前言
基礎(chǔ)篇初級免殺技術(shù)
第1章變臉
1.1為何變臉
1.2何為變臉
1.3免殺的發(fā)展史
1.4免殺技術(shù)的簡單原理
1.5免殺與其他技術(shù)的區(qū)別
1.5.1免殺不是Rootkit技術(shù)
1.5.2免殺不是加密解密技術(shù)
1.6小結(jié)
第2章免殺基礎(chǔ)知識
2.1如何開始免殺
2.2反病毒軟件原理與反病毒技術(shù)介紹
2.2.1反病毒軟件的工作原理
2.2.2基于文件掃描的反病毒技術(shù)
2.2.3基于內(nèi)存掃描的反病毒技術(shù)
2.2.4基于行為監(jiān)控的反病毒技術(shù)
2.2.5基于新興技術(shù)的反病毒技術(shù)
2.2.6反病毒技術(shù)前沿
2.2.7反病毒技術(shù)展望
2.3了解PE文件
2.3.1什么是PE文件
2.3.2PE文件的結(jié)構(gòu)
2.4免殺原理
2.4.1文件免殺原理
2.4.2內(nèi)存免殺原理
2.4.3行為免殺原理
2.5工具脫殼技巧
2.5.1殼的分類
2.5.2免殺與脫殼是什么關(guān)系
2.5.3使用專用脫殼工具脫殼
2.5.4使用通用脫殼工具脫殼
2.6小結(jié)
第3章免殺與特征碼
3.1特征碼免殺技術(shù)
3.1.1理想狀態(tài)下的免殺
3.1.2由腳本木馬免殺理解特征碼
3.2特征碼定位原理
3.2.1特征碼逐塊填充定位原理
3.2.2特征碼逐塊暴露定位原理
3.2.3特征碼混合定位原理
3.3腳本木馬定位特征碼
3.4MyCCL查找文件特征碼
3.4.1MyCCL的典型應(yīng)用
3.4.2針對MyCCL的一點思考
3.5MyCCL查找內(nèi)存特征碼
3.6特征碼修改方法
3.6.1簡單的特征碼修改
3.6.2特征碼修改進(jìn)階
3.7小結(jié)
第4章其他免殺技術(shù)
4.1修改入口點免殺
4.2使用VMProtect加密
4.3Overlay附加數(shù)據(jù)的處理及應(yīng)用
4.4驅(qū)動程序免殺修改技巧
4.4.1驅(qū)動程序的常見免殺方法
4.4.2驅(qū)動程序的手工免殺思路
4.5補(bǔ)丁在免殺中的應(yīng)用
4.6PE文件進(jìn)階介紹
4.6.1PE文件格式
4.6.2虛擬內(nèi)存的簡單介紹
4.6.3PE文件的內(nèi)存映射
4.7網(wǎng)頁木馬的免殺
4.7.1腳本木馬免殺
4.7.2網(wǎng)頁掛馬的免殺
4.8小結(jié)
第5章花指令與免殺
5.1什么是花指令
5.2腳本木馬的花指令應(yīng)用
5.3花指令的根基匯編語言
5.3.1認(rèn)識匯編
5.3.2通過反匯編添加任意功能
5.4花指令入門
5.5花指令在免殺領(lǐng)域的應(yīng)用
5.5.1花指令的應(yīng)用技巧
5.5.2花指令的修改技巧簡介
5.5.3空白區(qū)域?qū)ふ遗c加空白區(qū)段
5.6花指令的高級應(yīng)用
5.6.1花指令的提取與快速應(yīng)用
5.6.2SEH異常的應(yīng)用
5.7小結(jié)
第6章殼在免殺中的應(yīng)用
6.1殼的基礎(chǔ)知識
6.2殼在免殺領(lǐng)域的應(yīng)用
6.2.1加殼的免殺原理
6.2.2FreeRes多重加殼
6.3殼的修改技巧
6.3.1殼的初級修改
6.3.2制作通用補(bǔ)丁
6.4小結(jié)
高級篇免殺技術(shù)進(jìn)階
第7章PE文件格式詳解
7.1MS-DOS頭
7.1.1重要字段
7.1.2其他字段
7.2PE文件頭
7.2.1Signature字段
7.2.2IMAGE_FILE_HEADER結(jié)構(gòu)
7.2.3IMAGE_OPTIONAL_HEADER結(jié)構(gòu)(x86/x64)
7.2.4數(shù)據(jù)目錄表
7.3區(qū)段表
7.3.1IMAGE_SECTION_HEADER結(jié)構(gòu)
7.3.2區(qū)段名功能約定
7.3.3區(qū)段對齊詳解
7.3.4地址轉(zhuǎn)換
7.4導(dǎo)出表
7.4.1IMAGE_EXPORT_DIRECTORY結(jié)構(gòu)
7.4.2識別導(dǎo)出表
7.5導(dǎo)入表
7.5.1IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)
7.5.2識別導(dǎo)入表
7.6資源
7.6.1資源結(jié)構(gòu)
7.6.2識別資源
7.7異常
7.8安全
7.8.1安全目錄結(jié)構(gòu)
7.8.2識別安全結(jié)構(gòu)
7.9基址重定位
7.9.1基址重定位表結(jié)構(gòu)
7.9.2識別基址重定位表
7.10調(diào)試
7.11特殊結(jié)構(gòu)數(shù)據(jù)(版權(quán))
7.12全局指針
7.13TLS
7.13.1TLS的回調(diào)函數(shù)
7.13.2TLS的結(jié)構(gòu)(x86/x64)
7.13.3識別TLS
7.14載入配置(x86/x64)
7.15綁定導(dǎo)入表
7.15.1綁定導(dǎo)入表結(jié)構(gòu)
7.15.2識別綁定導(dǎo)入表
7.16導(dǎo)入地址表
7.17延遲加載表
7.17.1延遲加載表結(jié)構(gòu)
7.17.2識別延遲加載表
7.18COM描述符
7.19小結(jié)
第8章PE文件知識在免殺中的應(yīng)用
8.1PE文件與免殺思路
8.1.1移動PE文件頭位置免殺
8.1.2導(dǎo)入表移動免殺
8.1.3導(dǎo)出表移動免殺
8.2PE文件與反啟發(fā)式掃描
8.2.1一個區(qū)段為代碼段
8.2.2可疑的區(qū)段頭部屬性
8.2.3可疑的PE選項頭的有效尺寸值
8.2.4可疑的代碼節(jié)名稱
8.2.5多個PE頭部
8.2.6導(dǎo)入表項存在可疑導(dǎo)入
8.3一個稍顯復(fù)雜的例子隱藏導(dǎo)入表
8.3.1操作原理與先決條件
8.3.2修改PE文件
8.3.3構(gòu)造我們的反匯編代碼
8.4小結(jié)
第9章軟件逆向工程
9.1準(zhǔn)備工作
9.1.1要準(zhǔn)備的工具及基礎(chǔ)知識
9.1.2程序是從哪里開始運行的
9.2一個簡單的小例子
9.3函數(shù)識別初探
9.4if-else分支
9.4.1以常量為判斷條件的簡單if-else分支
9.4.2以變量為判斷條件的簡單if-else分支
9.4.3以常量為判斷條件的復(fù)雜if-else分支
9.4.4以變量為判斷條件的復(fù)雜if-else分支
9.4.5識別三目運算符
9.5循環(huán)分支
9.5.1do-while循環(huán)
9.5.2while循環(huán)
9.5.3for循環(huán)
9.5.4循環(huán)體的語句外提優(yōu)化
9.6switch-case分支
9.6.1簡單switch-case分支識別技巧
9.6.2復(fù)雜分支的switch-case識別
9.6.3switch-case分支結(jié)構(gòu)與稀疏矩陣
9.6.4switch-case分支結(jié)構(gòu)與平衡二叉樹
9.7加法與減法的識別與優(yōu)化原理
9.7.1加法的識別與優(yōu)化
9.7.2減法的識別與優(yōu)化
9.8乘法與除法的識別與優(yōu)化原理
9.8.1乘法的位移優(yōu)化
9.8.2乘法的lea指令優(yōu)化
9.8.3除法與倒數(shù)相乘
9.8.4倒數(shù)相乘與定點運算的配合
9.8.5除法運算的識別與優(yōu)化
9.8.6取模運算的識別與優(yōu)化
9.9指針與數(shù)組
9.9.1指針與數(shù)組的淵源
9.9.2數(shù)組的不同表達(dá)方式
9.10數(shù)組、結(jié)構(gòu)體與對象
9.10.1數(shù)組與結(jié)構(gòu)體
9.10.2結(jié)構(gòu)體與類
9.11變量作用域的識別
9.12識別構(gòu)造與析構(gòu)函數(shù)
9.12.1快速識別出類
9.12.2識別構(gòu)造函數(shù)
9.12.3識別析構(gòu)函數(shù)
9.13虛函數(shù)與純虛函數(shù)的識別
9.13.1識別簡單的虛函數(shù)
9.13.2識別較復(fù)雜的虛函數(shù)
9.14 正確識別類的繼承關(guān)系
9.15一役
9.15.1MFC逆向初探
9.15.2分析BypassUAC.exe
9.16小結(jié)
第10章源碼級免殺
10.1怎樣定位產(chǎn)生特征的源代碼
10.1.1定位文件特征
10.1.2定位行為特征
10.2基于源碼的特征修改
10.2.1變換編譯器與編譯選項
10.2.2添加垃圾代碼
10.2.3語法變換
10.2.4添加匯編花指令
10.3小結(jié)
第11章詳解C++殼的編寫
11.1了解殼的運行流程
11.2設(shè)計一個純C++編寫的殼
11.2.1用C++編寫的殼應(yīng)該是什么樣的
11.2.2編寫過程中會遇到的問題
11.3用C++寫一個簡單的殼
11.3.1配置工程
11.3.2編寫Stub部分
11.3.3編寫加殼部分
11.3.4編寫界面部分
11.4設(shè)計一個由C++編寫的專業(yè)殼
11.4.1為問題找到答案
11.4.2設(shè)計專業(yè)殼的框架
11.4.3如何設(shè)計Stub部分
11.4.4如何設(shè)計加殼部分
11.4.5需要注意的細(xì)節(jié)問題
11.5怎樣調(diào)試由C++編寫的Stub部分
11.6小結(jié)
第12章黑客是怎樣打造免殺殼的
12.1免殺殼與加密殼的異同
12.2導(dǎo)入表加密
12.3代碼混淆與代碼亂序
12.4附加驅(qū)動
12.5小結(jié)
第13章脫殼技術(shù)
13.1尋找OEP
13.1.1利用內(nèi)存斷點
13.1.2利用堆棧平衡
13.1.3利用編譯語言特點
13.1.4利用跨區(qū)段跳轉(zhuǎn)
13.2轉(zhuǎn)儲內(nèi)存映像
13.3重建導(dǎo)入表
13.3.1導(dǎo)入表重建原理
13.3.2使用ImportREC重建導(dǎo)入表
13.4小結(jié)
第14章Rootkit基礎(chǔ)
14.1構(gòu)建一個Rootkit基礎(chǔ)環(huán)境
14.1.1構(gòu)建開發(fā)環(huán)境
14.1.2構(gòu)建基于Visual Studio 2012的調(diào)試環(huán)境
14.1.3構(gòu)建基于WinDbg的調(diào)試環(huán)境
14.1.4將Rootkit加載到系統(tǒng)
14.1.5創(chuàng)建一個簡單的驅(qū)動并調(diào)試
14.2何為Ring0層
14.3關(guān)鍵表
14.4內(nèi)存分頁
14.4.1地址轉(zhuǎn)譯
14.4.2內(nèi)存訪問檢查
14.4.3Windows對重要表的保護(hù)
14.5內(nèi)存描述符表
14.6中斷描述符表(IDT)
14.7系統(tǒng)服務(wù)調(diào)度表
14.8控制寄存器
14.8.1利用CR0禁用內(nèi)存保護(hù)機(jī)制
14.8.2其他控制寄存器
14.9小結(jié)
第15章Rootkit在免殺中的應(yīng)用
15.1用戶模式Rootkit
15.1.1DLL遠(yuǎn)程注入技巧
15.1.2內(nèi)聯(lián)鉤子
15.1.3導(dǎo)入地址表鉤子
15.1.4一個保護(hù)文件不被刪除的例子
15.2內(nèi)核編程基礎(chǔ)
15.2.1內(nèi)核編程環(huán)境與用戶層編程環(huán)境的異同
15.2.2如何選擇Windows驅(qū)動開發(fā)模型
15.2.3驅(qū)動設(shè)備與請求處理
15.2.4內(nèi)核編程中的數(shù)據(jù)類型
15.2.5函數(shù)調(diào)用
15.2.6Windows內(nèi)核編程的特點
15.3內(nèi)核模式Rootkit
15.3.1SYSENTER鉤子
15.3.2SSDT鉤子
15.3.3內(nèi)聯(lián)鉤子
15.3.4IRP鉤子
15.3.5LADDR鉤子
15.3.6IDT鉤子
15.3.7IOAPIC鉤子
15.4小結(jié)
第16章免殺技術(shù)前沿
16.1免殺技術(shù)的發(fā)展趨勢
16.2免殺前沿之突破主動防御
16.2.1"移花接木"之屏幕截圖突破主動防御
16.2.2"暗渡陳倉"之利用可信進(jìn)程突破主動防御
16.2.3"釜底抽薪"之利用系統(tǒng)進(jìn)程突破主動防御
16.2.4"順手牽羊"之利用邏輯漏洞突破主動防御
16.2.5"渾水摸魚"之利用變形復(fù)制突破主動防御
16.2.6"金蟬脫殼"之利用異同逃逸虛擬機(jī)
16.2.7"借尸還魂"之利用替換文件突破主動防御
16.2.8"借刀殺人"之利用調(diào)試接口突破主動防御
16.3黑客免殺技術(shù)的展望
16.4小結(jié)
擴(kuò)展篇遏制免殺技術(shù)初探
第17章淺談部分免殺技巧的遏制
17.1盯緊PE文件
17.2盯緊程序行為
17.3小結(jié)
第18章反特征碼定位
18.1釋放干擾碼
18.2定位行為的判定
18.3設(shè)定"靶特征碼"
18.4小結(jié)
第19章遏制免殺與Anti Rootkit
19.1適當(dāng)?shù)谋O(jiān)控
19.2基本檢測邏輯
19.3Rootkit檢測方法初探
19.4小結(jié)
第20章淺談反病毒產(chǎn)品的改進(jìn)
20.1云查殺與本地查殺緊密結(jié)合
20.2注重感染型病毒木馬的清除工作
20.3精進(jìn)啟發(fā)式掃描解決效率問題
20.4小結(jié)
附錄A80x86匯編基礎(chǔ)知識
前言
為什么要寫這本書
計算機(jī)安全領(lǐng)域最初且規(guī)模較大的博弈莫過于病毒與反病毒的博弈,這也是計算機(jī)安全領(lǐng)域的硝煙燃起之處。然而,我們當(dāng)中的有些人可能并不知曉黑客免殺技術(shù)現(xiàn)今已經(jīng)成為反病毒領(lǐng)域中的主要破壞力量,而究其原因,也許是由此技術(shù)帶來的大規(guī)模病毒木馬泛濫與黑客免殺技術(shù)本身的隱蔽性所導(dǎo)致的。
但是很幸運,您手中的這本書就是迄今為止及時本詳細(xì)介紹免殺技術(shù)的圖書,您和我都應(yīng)為此而感到慶幸。
2008年2月,我應(yīng)邀與《黑客X檔案》雜志的主編一起策劃了《黑客免殺入門》的編寫工作。《黑客免殺入門》就是本書的雛形,那真的是一個很好的開始。當(dāng)時還在上大一的我為了使這本書能夠快速上市,幾乎犧牲了所有課余時間。在經(jīng)過半年的艱苦寫作之后,《黑客免殺入門》終于在2008年10月正式上市,并在半年內(nèi)創(chuàng)下了5000冊銷量的佳績。
但是由于種種原因,使得我對自己的及時本書并不滿意,因為要考慮到初學(xué)者的接受力與知識儲備,因此并未將黑客免殺技術(shù)的真正意義體現(xiàn)在那本書里,再加之免殺技術(shù)在及時本書發(fā)行后的幾年里發(fā)生了很大變化,因此使我有了編寫第二本書的動力。
如何閱讀本書
本書詳細(xì)描述了Windows系統(tǒng)下黑客免殺的所有技術(shù)細(xì)節(jié),講解了為什么病毒、木馬在經(jīng)過免殺處理后就會被反病毒軟件誤認(rèn)為是正常的程序。除此之外,本書還詳細(xì)講述了黑客與反病毒工程師都應(yīng)該掌握的基礎(chǔ)知識,包括PE文件結(jié)構(gòu)、軟件逆向工程、殼的原理及編寫思路、Rootkit等等。在,筆者總結(jié)了一些遏制免殺技術(shù)的方法以及應(yīng)對策略,相信對于很多反病毒工程師來講都會有所啟發(fā)。
本書共分為基礎(chǔ)篇、高級篇與擴(kuò)展篇三大部分,分別面向的是零基礎(chǔ)讀者、高級讀者與反病毒工程師,要掌握這三部分,所需的基礎(chǔ)知識如下:
基礎(chǔ)篇其中所有內(nèi)容幾乎都未過深涉及任何計算機(jī)語言,因此只要能熟練操作Windows系統(tǒng),并對硬件有基本的常識性認(rèn)識,即可順利閱讀這部分內(nèi)容,除此之外不再需要讀者有任何基礎(chǔ)。
高級篇要求讀者對于C/C++、匯編語言有基本的了解,并且要有一定的Windows程序開發(fā)經(jīng)驗,除此之外也需要讀者對操作系統(tǒng)的結(jié)構(gòu)有所了解。
擴(kuò)展篇要求讀者熟悉黑客免殺的技術(shù)細(xì)節(jié),并初步掌握PE文件結(jié)構(gòu)、軟件逆向工程、殼的原理及編寫思路、Rootkit等高端技術(shù)。
本書的主要內(nèi)容
基礎(chǔ)篇包括第1章~第6章,這部分由第1章"變臉"開篇,以類比的形式將黑客免殺技術(shù)的特點向大家娓娓道來,隨后通過對免殺基礎(chǔ)知識的介紹,可以迅速讓初級讀者徹底明白何為黑客免殺技術(shù)。
待初級讀者理解了何為免殺技術(shù)后,隨后的幾個章節(jié)則以比較簡單易懂的語言向大家描述與黑客免殺技術(shù)密切相關(guān)的一些技術(shù),例如特征碼、花指令、殼等等。
高級篇包括第7章~第16章,這部分所講的內(nèi)容都是黑客們得以展開較高層面免殺操作的技術(shù)基礎(chǔ),同時也是反病毒工程師與大部分軟件安全行業(yè)從業(yè)者必備的技術(shù)基礎(chǔ)。
本篇詳細(xì)地闡述了Windows下的PE文件結(jié)構(gòu),并著重講解了軟件逆向工程的技術(shù)原理與分析思路。除此之外,第11章還在純C++語言的角度描述了一個殼的編寫,這在國內(nèi)來說尚屬首次。在本篇的,還詳細(xì)介紹了部分Rootkit技術(shù)的實現(xiàn)原理與當(dāng)前黑客免殺技術(shù)的最前沿思想。
擴(kuò)展篇包括第17章~第20章,這部分主要針對當(dāng)下的免殺技巧及黑客常用的免殺手法提出了一些反制措施,分別對反特征碼定位、遏制Rootkit展開了討論,并在對時下的反病毒產(chǎn)品簡略地給出了一些改進(jìn)建議。
這正是那醞釀三年的2.0版
現(xiàn)在您拿在手里的這本書是以《黑客免殺入門》的部分內(nèi)容為基礎(chǔ),加入大量新鮮內(nèi)容后重新組織、編排的一個全新版本,這本書真正考慮到了免殺技術(shù)的廣度與深度,采用了知識層次分離編寫的方式,以求照顧到高中低各層次的絕大多數(shù)讀者。
深廣結(jié)合,高低分離
本書的全部內(nèi)容分為三個部分,其中每個部分都相對獨立、互成體系,分別面對不同層次的讀者。對于基礎(chǔ)知識的講解主要集中在前兩部分,及時部分只對相關(guān)知識進(jìn)行了解性講解,其難度以滿足閱讀及時部分內(nèi)容所需的知識儲備為標(biāo)準(zhǔn)。第二部分對免殺的所有技術(shù)細(xì)節(jié)進(jìn)行了細(xì)致深入的講解,可看作是及時部分的延伸與拓展。
分解難點,注重延續(xù)
及時部分的閱讀基礎(chǔ)大致定位在非專業(yè)人士的層次上。因此為了照顧這部分讀者的后續(xù)學(xué)習(xí)能力,對每個重點、難點都進(jìn)行了相應(yīng)的拆分講解,并以第二部分的部分內(nèi)容作為擴(kuò)展閱讀資源,使得初級讀者的技術(shù)飛躍成為可能。
增新改舊,重排章節(jié)
本書新增了大量的技術(shù)描述,例如PE文件結(jié)構(gòu)、殼的編寫技術(shù)、Rootkit技術(shù)等,同時刪除了及時版中關(guān)于突破主動防御的章節(jié)并重新整理編寫。除此之外,對于其他章節(jié)也進(jìn)行了大量的重寫與更新,這些更新使得及時版保留下來的內(nèi)容不超過10%。
本書的讀者
及時篇對應(yīng)的為初級層次的讀者,如果你已經(jīng)有了一定的基礎(chǔ),且對黑客免殺技術(shù)有了一定的了解,可跳過本部分。適合閱讀本部分的讀者如下:
黑客技術(shù)愛好者
信息安全專業(yè)的學(xué)生
想了解黑客免殺技術(shù)的初學(xué)者
第二篇對應(yīng)的為中級層次的讀者,如果你已經(jīng)對PE文件、軟件逆向、殼的編寫、Rootkit有了較為深入的了解,可跳過本部分。適合閱讀本部分的讀者如下:
軟件安全愛好者
想系統(tǒng)學(xué)習(xí)PE文件結(jié)構(gòu)的人
需要快速掌握軟件逆向技術(shù)的相關(guān)工作人員
想用C++寫殼的技術(shù)狂人,或僅想寫一個殼的愛好者
對于Rootkit感興趣的人
第三篇對應(yīng)的為高級層次的讀者,此部分內(nèi)容并沒有具體的技術(shù)細(xì)節(jié),著重講解了相關(guān)技術(shù)的核心思想,適合具備一定基礎(chǔ)的人閱讀:
反病毒工程師
免殺技術(shù)愛好者
勘誤和支持
本書從創(chuàng)意到落實寫作,再到最終完成,整整度過了三年的時間,其中有足足兩年的時間是用于本書的寫作,這是我用人生最精彩的一段時間撰寫的一本書,因此也期望這本書能同樣精彩。
但是,事實總是殘酷的,由于本人的水平有限,而且感覺兩年的時間還是太少了,書中難免還會有一些不足。記得俄羅斯的"斯坦尼斯拉夫斯基"用了一生的時間才寫出了《演員的自我修養(yǎng)》這本書,這是沒有認(rèn)真寫書經(jīng)歷的人難以體會的。
我是一個不愿妥協(xié)的人,在撰寫本書之初就是如此,但是很不幸的是我還是一次次地被殘酷的事實打敗。在我與之對抗了兩年之后,才感覺這本書可以拿出來見人了,我承認(rèn)它離還有相當(dāng)長的一段距離。
這本40余萬字的圖書是我目前為止做過的較大的一個"工程",我保障會在精力允許的前提下,在本書出版之前不放棄任何一次修正本書錯誤的機(jī)會,但是我知道它最終還是會帶著若干錯誤與讀者們見面,請原諒我無法修復(fù)這些錯誤,這有可能是我的精力問題,也有可能是我的能力問題。但是,我非常期望能收到您的來信,指導(dǎo)我修正本書中的錯誤,為這本書走向"添磚加瓦"。
為此,我在黑客反病毒論壇中建立了一個專門的分區(qū)來處理本書中的所有問題,包括讀者反饋、勘誤列表與本書的相關(guān)資源下載,本書的交流專區(qū):book.hackav.com/。本書相關(guān)資源還可到華章官網(wǎng)下載,華章的官網(wǎng):www.hzbook.com/。
除此之外,您還可以通過郵件與我取得聯(lián)系,我的郵箱:0x0026@gmail.com、a1pass@ 163.com。
特別致謝
首先請允許我借此機(jī)會感謝我的父母在事業(yè)上、寫作上以及生活上對我的支持與關(guān)愛,我因擁有你們的愛而變得更加堅強(qiáng)與勇敢,我的所有榮耀都屬于你們。
其次,盡管只有我的名字被印在了本書的封面上,但是您手中的這本40余萬字的書顯然不是一個人的工作成果,本書的順利出版得益于眾多朋友的鼎力相助。在此,我要感謝那些在我寫作的過程中為我提供過幫助的人。
錢林松感謝您將我引薦給楊福川,這使得我有了完成自己寫作夢想的機(jī)會。
薛亮亮我的創(chuàng)業(yè)伙伴,沒有你的理解與擔(dān)當(dāng)就不可能有這本書的面世。
黃瀚為本書提供了大量一手資料,感謝你一直以來對于本書的關(guān)注與支持。
段剛段老師預(yù)讀了本書的部分章節(jié),并對本書的定位提出了很多特別好的建議。
李常坤審閱了本書的第11章和第12章,并提出了寶貴建議。
盧超超在本書的定位方面及前期的策劃時發(fā)揮了重要作用,并在初期提出了寶貴建議。
彭燕青對第14章和第15章的編寫提供了寶貴的技術(shù)方面的建議。
許曉明審閱了本書的第7章和第9章,并修改了一些技術(shù)上的錯誤。
吳彬在寫作初期向我詳細(xì)闡述了反病毒工程師的各個工作流程。
全珠榮為本書提出了不錯的建議,感謝你在寫作上對我的幫助。
楊福川首席策劃,感謝您在整本書的寫作期間所做的大量協(xié)調(diào)工作。
孫海亮我的編輯,感謝您對本書的審校工作,您的敏銳思維能力讓我很欣賞。
楊繡國我的編輯,十分細(xì)心地審閱了本書的大部分章節(jié),感謝您對此做出的工作。
白宇我的編輯,幫我熟悉了整套圖書出版的流程,感謝您的幫助。
,感謝北京藍(lán)森科技有限公司的所有同事,這本書的順利出版離不開你們的理解與支持,是你們在我寫作的過程中為我承擔(dān)了大部分的工作。另外,感謝黑客反病毒組織(www.hackav.com)中對本書提出過寶貴意見的所有網(wǎng)友,是你們的投票保障了本書內(nèi)容安排的合理性。
任曉琿
于北京
還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看還行,不錯,勉強(qiáng)能看
物流贊,超級快!
很好的書,正版
非常好
還不錯
有點技術(shù)
寫的很好
贊爆!
贊爆!
可以
好
非常不錯的書籍
很好
好書
很好的書籍
全方位揭示黑客免殺技術(shù)的常用方法、技術(shù)細(xì)節(jié)和思想原理,為反病毒工程師剖析惡意軟件和遏制免殺技術(shù)提供具體方法和應(yīng)對策略
這方面的書比較少見,作者能系統(tǒng)講解,對底層有較深入了解
在微博上看見的,反響不錯,收到后大致看了一下,值得推薦。
這本書填了一些內(nèi)容更詳細(xì)了,總體來說值得一讀
還沒讀過,大致看了下目錄和逆向那部分,太精彩了,排版太人性化了!
書還可以,講的都是基礎(chǔ)知識,很詳細(xì),要是能講些實例就更好啦
從黑客免殺入門的那本書而來,比那本書多了很多東西,也寫的比較詳細(xì),涉及的深度比較深
可以說是國內(nèi)第一本比較系統(tǒng)的闡述免殺的書吧!適合入門。
好書,值得閱讀,非常詳細(xì),是一本非常不錯的書籍,免殺技術(shù)更新得蠻快的。
書包裝的的不錯,快遞小哥也是個很不錯有耐心的人,我的收貨地址沒填詳細(xì),快遞小哥還很盡職的在那條街的路口等我,很喜歡這本書,價格實惠,內(nèi)容非常精彩,比起電子書看起來要更爽。
知識很新,當(dāng)前流行的最高級免殺-源碼免殺已經(jīng)出現(xiàn)了書中。感謝
本書不錯,前面的章節(jié)主要是介紹一些關(guān)于免殺的基礎(chǔ),在后面的章節(jié)中大量介紹內(nèi)功方面的內(nèi)容,也就是知識不僅僅停留在為了免殺而免殺上,更多的是一些原理性,和更具營養(yǎng)性的知識。盡可能的達(dá)到知其然知其所以然的效果。作者自己創(chuàng)業(yè),主要是搞安全方面開發(fā)和培訓(xùn)的,因此文筆不錯,通俗易懂。建議愛好者一讀。
