黑客免杀攻防.pdf 【目录】(上传日期:20130927,目前无完整版,此版为前3章) 前言 基础篇 初级免杀技术 第1章 变脸 2 1.1 为何变脸 2 1.2 何为变脸 3 1.3 免杀的发展史 3 1.4 免杀技术的简单原理 4 1.5 免杀与其他技术的区别 5 1.5.1 免杀不是Rootkit技术 5 1.5.2 免杀不是加密解密技术 5 1.6 小结 6 第2章 免杀基础知识 7 2.1 如何开始免杀 7 2.2 反病毒软件原理与反病毒技术介绍 8 2.2.1 反病毒软件的工作原理 8 2.2.2 基于文件扫描的反病毒技术 9 2.2.3 基于内存扫描的反病毒技术 12 2.2.4 基于行为监控的反病毒技术 12 2.2.5 基于新兴技术的反病毒技术 12 2.2.6 反病毒技术前沿 14 2.2.7 反病毒技术展望 14 2.3 了解PE文件 15 2.3.1 什么是PE文件 15 2.3.2 PE文件的结构 16 2.4 免杀原理 17 2.4.1 文件免杀原理 17 2.4.2 内存免杀原理 20 2.4.3 行为免杀原理 21 2.5 工具脱壳技巧 21 2.5.1 壳 的分类 22 2.5.2 免杀与脱壳是什么关系 23 2.5.3 使用专用脱壳工具脱壳 24 2.5.4 使用通用脱壳工具脱壳 25 2.6 小结 26 第3章 免杀与特征码 27 3.1 特征码免杀技术 27 3.1.1 理想状态下的免杀 27 3.1.2 由脚本木马免杀理解特征码 28 3.2 特征码定位原理 29 3.2.1 特征码逐块填充定位原理 29 3.2.2 特征码逐块暴露定位原理 31 3.2.3 特征码混合定位原理 34 3.3 脚本木马定位特征码 35 3.4 MyCCL查找文件特征码 39 3.4.1 MyCCL的典型应用 39 3.4.2 针对MyCCL的一点思考 41 3.5 MyCCL查找内存特征码 43 3.6 特征码修改方法 44 3.6.1 简单的特征码修改 44 3.6.2 特征码修改进阶 45 3.7 小结 50 的分类 22 2.5.2 免杀与脱壳是什么关系 23 2.5.3 使用专用脱壳工具脱壳 24 2.5.4 使用通用脱壳工具脱壳 25 2.6 小结 26 第3章 免杀与特征码 27 3.1 特征码免杀技术 27 3.1.1 理想状态下的免杀 27 3.1.2 由脚本木马免杀理解特征码 28 3.2 特征码定位原理 29 3.2.1 特征码逐块填充定位原理 29 3.2.2 特征码逐块暴露定位原理 31 3.2.3 特征码混合定位原理 34 3.3 脚本木马定位特征码 35 3.4 MyCCL查找文件特征码 39 3.4.1 MyCCL的典型应用 39 3.4.2 针对MyCCL的一点思考 41 3.5 MyCCL查找内存特征码 43 3.6 特征码修改方法 44 3.6.1 简单的特征码修改 44 3.6.2 特征码修改进阶 45 3.7 小结 50