Windows黑客編程技術詳解

第 1篇　用戶篇
第　1章 開發(fā)環(huán)境　3
1．1　環(huán)境安裝　3
1．2　工程項目設置　5
1．3　關于Debug模式和Release模式的小提示　7
第　2章 基礎技術　10
2．1　運行單一實例　10
2．2　DLL延遲加載　13
2．3　資源釋放　15
第3章　注入技術　22
3．1　全局鉤子注入　22
3．2　遠線程注入　27
3．3　突破SESSION 0隔離的遠線程注入　34
3．4　APC注入　37
第4章　啟動技術　42
4．1　創(chuàng)建進程API　42
4．2　突破SESSION 0隔離創(chuàng)建用戶進程　48
4．3　內存直接加載運行　55
第5章　自啟動技術　60
5．1　注冊表　60
5．2　快速啟動目錄　66
5．3　計劃任務　69
5．4　系統服務　75
第6章　提權技術　84
6．1　進程訪問令牌權限提升　84
6．2　Bypass UAC　89
第7章　隱藏技術　97
7．1　進程偽裝　97
7．2　傀儡進程　102
7．3　進程隱藏　106
7．4　DLL劫持　112
第8章　壓縮技術　119
8．1　數據壓縮API　119
8．2　ZLIB壓縮庫　126
第9章　加密技術　133
9．1　Windows自帶的加密庫　133
9．2　Crypto++密碼庫　152
第　10章 傳輸技術　168
10．1　Socket通信　168
10．2　FTP通信　181
10．3　HTTP通信　190
10．4　HTTPS通信　202
第　11章 功能技術　210
11．1　進程遍歷　210
11．2　文件遍歷　214
11．3　桌面截屏　219
11．4　按鍵記錄　226
11．5　遠程CMD　232
11．6　U盤監(jiān)控　235
11．7　文件監(jiān)控　241
11．8　自刪除　245
第　2篇 內核篇
第　12章 開發(fā)環(huán)境　253
12．1　環(huán)境安裝　253
12．2　驅動程序的開發(fā)與調試　254
12．3　驅動無源碼調試　264
12．4　32位和64位驅動開發(fā)　268
第　13章 文件管理技術　270
13．1　文件管理之內核API　270
13．2　文件管理之IRP　293
13．3　文件管理之NTFS解析　303
第　14章 注冊表管理技術　317
14．1　注冊表管理之內核API　317
14．2　注冊表管理之HIVE文件解析　329
第　15章 HOOK技術　337
15．1　SSDT HOOK　337
15．2　過濾驅動　351
第　16章 監(jiān)控技術　357
16．1　進程創(chuàng)建監(jiān)控　357
16．2　模塊加載監(jiān)控　363
16．3　注冊表監(jiān)控　369
16．4　對象監(jiān)控　374
16．5　Minifilter文件監(jiān)控　379
16．6　WFP網絡監(jiān)控　385
第　17章 反監(jiān)控技術　392
17．1　反進程創(chuàng)建監(jiān)控　392
17．2　反線程創(chuàng)建監(jiān)控　397
17．3　反模塊加載監(jiān)控　403
17．4　反注冊表監(jiān)控　407
17．5　反對象監(jiān)控　411
17．6　反Minifilter文件監(jiān)控　415
第　18章 功能技術　421
18．1　過PatchGuard的驅動隱藏　421
18．2　過PatchGuard的進程隱藏　426
18．3　TDI網絡通信　429
18．4　強制結束進程　437
18．5　文件保護　442
18．6　文件強刪　444
附錄　函數一覽表　447