
0人評分過此書
Windows APT Warfare:惡意程式前線戰術指南
全台第一本反守為攻的資安教戰守則!
囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。
★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上
★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題
★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招!
★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書
本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。
此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎!
囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。
★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上
★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題
★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招!
★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書
本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。
此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎!
-
CHAPTER 01 一個從C開始說起的故事
-
最精簡的Windows程式
-
組合語言腳本生成(C Compiler)
-
組譯器(Assembler)
-
組譯程式碼
-
連結器(Linker)
-
從靜態一路到動態執行
-
-
CHAPTER 02 檔案映射(File Mapping)
-
PE靜態內容分佈
-
NT Headers
-
Section Headers
-
Lab 2-1 靜態PE 解析器(PE Parser)
-
動態檔案映射
-
Lab 2-2 PE 蠕蟲感染(PE Patcher)
-
Lab 2-3 手工自造連結器(TinyLinker)
-
Lab 2-4 Process Hollowing(RunPE)
-
Lab 2-5 PE To HTML(PE2HTML)
-
-
CHAPTER 03 動態函數呼叫基礎
-
呼叫慣例
-
TEB(Thread Environment Block)
-
PEB(Process Environment Block)
-
Lab 3-1 參數偽造
-
Lab 3-2 動態模組列舉
-
Lab 3-3 動態模組資訊偽造
-
-
CHAPTER 04 導出函數攀爬
-
Lab 4-1 靜態DLL導出函數分析
-
Lab 4-2 動態PE攀爬搜尋函數位址
-
Lab 4-3 手工Shellcode開發實務
-
Lab 4-4 Shellcode樣板工具開發
-
-
CHAPTER 05 執行程式裝載器
-
Lab 5-1 靜態引入函數表分析
-
Lab 5-2 在記憶體中直接呼叫程式
-
Lab 5-3 引入函數表劫持
-
Lab 5-4 DLL Side-Loading(DLL 劫持)
-
-
CHAPTER 06 PE模組重定向(Relocation)
-
Lab 6-1 精簡版執行程式裝載器設計
-
- CHAPTER 07 將EXE 直接轉換為Shellcode(PE To Shellcode)
-
CHAPTER 08 加殼技術(Executable Compression)
-
加殼器(Packer)
-
殼主程式(Stub)
-
-
CHAPTER 09 數位簽名
-
Authenticode Digital Signatures
-
驗證嵌入數位簽章
-
WinVerifyTrust內部認證流程
-
PE結構中的Authenticode簽名訊息
-
證書簽名訊息
-
Lab 9-1 簽名偽造(Signature Thief)
-
Lab 9-2 雜湊校驗繞過
-
Lab 9-3 簽名擴展攻擊
-
濫用路徑正規化達成數位簽章偽造
-
-
CHAPTER 10 UAC防護逆向工程至本地提權
-
UAC服務概要
-
RAiLaunchAdminProcess
-
UAC信任授權雙重認證機制
-
Authentication A(認證A)
-
Authentication B(認證B)
-
UAC介面程式ConsentUI
-
UAC信任認證條件
-
不當註冊表配置引發的特權劫持提權
-
Elevated COM Object UAC Bypass
-
Lab 10-1 Elevated COM Object(IFileOperation)
-
Lab 10-2 CMSTP任意特權提升執行
-
Lab 10-3 透過信任路徑碰撞達成提權
-
-
APPENDIX A 附錄
-
Win32與NT路徑規範
-
DOS路徑1.0
-
DOS路徑2.0
-
例子1
-
例子2
-
例子3
-
例子4
-
例子5
-
例子6
-
例子7
-
例子8
-
- 出版地 : 臺灣
- 語言 : 繁體中文
評分與評論
請登入後再留言與評分