第1章绪论
1.1木马的基本概念
1.2木马的发展历程
1.3木马的类型
1.4本书组织结构
第2章木马的隐藏
2.1木马自身文件的隐藏
2.1.1基于文件枚举函数Hook的隐藏
2.1.2基于FSDHook的文件隐藏
2.1.3基于自定义文件系统的隐藏
2.2木马模块的隐藏
2.2.1“摘链”隐藏
2.2.2基于PELoader的隐藏
2.3网络端口的隐藏
2.3.1WindowsXP系统下的端口隐藏
2.3.2Vista之后的端口隐藏
2.3.3端口复用
2.4小结
第3章木马驱动加载与启动
3.1Windows存储与启动过程
3.1.1Windows系统硬盘与分区
3.1.2基于BIOS的系统启动过程
3.1.3基于UEFI的启动过程
3.2基于MBR的Bootkit
3.2.1MBR结构解析
3.2.2MBR的修改
3.3基于VBR的Bootkit
3.3.1VBR结构解析
3.3.2VBR的修改
3.4Bootkit控制系统启动与加载驱动
3.4.1挂钩中断
3.4.2监控系统启动
3.4.3加载驱动
3.5小结
第4章木马的免杀
4.1免杀原理
4.2针对静态查杀的免杀
4.2.1特征字符串变形
4.2.2木马组件加密和存储
4.2.3基于泛型的API动态调用
4.3针对动态查杀的免杀
4.3.1时间延迟方式
4.3.2资源耗尽方式
4.3.3上下文差异
4.3.4多次启动
4.3.5虚拟环境中的WindowsAPI差异
4.3，6已知特定目标机器信息
4，4其他免杀方法
4.4.1代码注入
4.4.2傀儡进程
4.4.3DLL劫持
4.5脚本化木马
4.6小结
第5章木马反分析技术
5.1反调试
5.1.1调试器的工作机制
5.1.2反调试
5.2反反汇编
5.3反虚拟机
5.4反沙盒
5.4.1沙盒原理
5.4.2沙盒检测
5.5反内存扫描
5.6小结
第6章Windows64位系统下的木马技术
6.1Windows64位系统
6.2Wow64子系统
6.3Wow64中执行64位代码
6.3.132位进程中执行64位的指令
6.3.232位进程中调用64位API
6.4小结
第7章木马通信与防火墙穿透
7.1基于TCP的木马控制通信
7.1.1粘包和分包处理
7.1.2链接保活
7.2基于UDP的木马控制通信
7.3基于HTTP／HTTPS的木马通信
7.4边界防火墙穿透
7.5ForefrontTMG穿透解析
7.5.1ForefrontTMG实验网络拓扑
7.5.2穿透思路与实现
7.6小结
第8章木马实例解析
8.1模块化的木马系统架构
8.2生成器
8.3被控端
8.3.1木马释放组件
8.3.2常驻模块
8.4控制端
8.4.1控制端的架构
8.4.2控制端的通信
8.5小结
第9章木马技术的发展趋势
9.1通信更加隐蔽化
9.1.1基于Tor的通信
9.1.2基于公共服务的中转通信
9.1.3基于内核的网络通信
9.2实现呈现硬件化
9.3植入平台多样化
9.4小结
参考文献