**部分 反病毒技术入门 第1章 反病毒软件入门 1.1 何谓反病毒软件 1.2 反病毒软件的历史与现状 1.3 反病毒扫描器、内核和产品 1.4 反病毒软件的典型误区 1.5 反病毒软件功能 1.5.1 基础功能 1.5.2 **功能 1.6 总结 第2章 逆向工程核心 2.1 逆向分析工具 2.1.1 命令行工具与GUI工具 2.1.2 调试符号 2.1.3 提取调试符号的技巧 2.2 调试技巧 2.3 移植内核 2.4 实战案例:为Linux版Avast编写Python binding 2.4.1 Linux版Avast简介 2.4.2 为Linux版Avast编写简单的Python binding 2.4.3 Python binding的*终版本 2.5 实战案例:为Linux版Comodo编写本机C/C++工具 2.6 内核加载的其他部分 2.7 总结 第3章 插件系统 3.1 插件加载原理 3.1.1 反病毒软件的全功能链接器 3.1.2 理解动态加载 3.1.3 插件打包方式的利弊 3.2 反病毒插件的种类 3.2.1 扫描器和通用侦测程序 3.2.2 支持文件格式和协议 3.2.3 启发式检测 3.3 **插件 3.3.1 内存扫描器 3.3.2 非本机代码 3.3.3 脚本语言 3.3.4 模拟器 3.4 总结 第4章 反病毒特征码技术 4.1 典型特征码 4.1.1 字节流 4.1.2 校验和 4.1.3 定制的校验和 4.1.4 加密散列算法 4.2 **特征码 4.2.1 模糊散列算法 4.2.2 基于程序图的可执行文件散列算法 4.3 总结 第5章 反病毒软件的*新系统 5.1 理解*新协议 5.1.1 支持SSL/TLS 5.1.2 验证*新文件 5.2 剖析*新协议 5.3 错误的保护 5.4 总结 第二部分 绕过反病毒软件 第6章 绕过反病毒软件 6.1 谁会使用反病毒软件的绕过技术 6.2 探究反病毒软件侦测恶意软件的方式 6.2.1 用于侦测恶意软件的老把戏:分治算法 6.2.2 二进制指令和污点分析 6.3 总结 第7章 绕过特征码识别 7.1 文件格屎偏酶例和无文档说明案例 7.2 绕过现实中的特征码 7.3 绕过特定文件格式的相关提示和技巧 7.3.1 PE文件 7.3.2 JavaScript 7.3.3 PDF 7.4 总结 第8章 绕过扫描器 8.1 绕过技术的通用提示和策略 8.1.1 识别分析模拟器 8.1.2 **绕过技巧 8.2 自动化绕过扫描器 8.2.1 初始步骤 8.2.2 MultiAV配置 8.2.3 peCloak 8.2.4 编写**工具 8.3 总结 第9章 绕过启发式引擎 9.1 启发式引擎种类 9.1.1 静态启发式引擎 9.1.2 绕过简单的静态启发式引擎 9.1.3 动态启发式引擎 9.2 总结 **0章 确定攻击面 10.1 理解本地攻击面 10.1.1 查找文件和系统目录权限的弱点 10.1.2 权限提升 10.2 错误的访问控制列表 10.2.1 在Unix平台上利用SUID和SGID二进制文件漏洞 10.2.2 程序和二进制文件的ASLR和DEP保护 10.2.3 利用Windows对象的错误权限 10.2.4 利用逻辑缺陷 10.3 理解远程攻击面 10.3.1 文件解析器 10.3.2 通用侦测和感染文件修复代码 10.3.3 网络服务、管理面板和控制台 10.3.4 防火墙、入侵监测系统和解析器 10.3.5 *新服务 10.3.6 浏览器插件 10.3.7 安全增强软件 10.4 总结 **1章 拒*服务攻击 11.1 本地拒*服务攻击 11.1.1 压缩** 11.1.2 文件格式解析器中的缺陷 11.1.3 攻击内核驱动 11.2 远程拒*服务攻击 11.2.1 压缩** 11.2.2 文件格式解析器中的缺陷 11.3 总结 第三部分 分析与攻击 **2章 静态分析 12.1 手动二进制审计 12.1.1 文件格式解析器 12.1.2 远程服务 12.2 总结 **3章 动态分析 13.1 模糊测试 13.1.1 模糊测试工具是什么 13.1.2 简单的模糊测试 13.1.3 对反病毒产品的自动化模糊测试 13.1.4 找到好的模糊测试模版 13.1.5 查找模版文件 13.1.6 使代码覆盖率*大化 13.1.7 模糊测试套组Nightmare 13.2 总结 **4章 本地攻击 14.1 利用后门和隐藏功能 14.2 挖掘非法特权、权限分配和访问控制列表 14.3 在内核态查找隐蔽的功能特性 14.4 *多的内核逻辑漏洞 14.5 总结 **5章 远程漏洞 15.1 实施客户端漏洞利用攻击 15.1.1 利用沙盒的缺陷 15.1.2 利用ASLR、DEP和位于固定地址的RWX页面漏洞 15.1.3 编写复杂的payload 15.1.4 利用*新服务中的漏洞 15.2 服务器端的漏洞利用 15.2.1 客户端和服务器端漏洞利用的区别 15.2.2 利用ASLR、DEP和地址固定的RWX内存页面相关漏洞 15.3 总结 第四部分 当前趋势与建议 **6章 当前反病毒防护趋势 16.1 匹配攻击技术与目标 16.1.1 多种多样的反病毒产品 16.1.2 针对家庭用户 16.1.3 针对中小型公司 16.2 针对政府机构和大型公司 16.3 总结 **7章 一些建议和未来展望 17.1 给反病毒软件用户的建议 17.1.1 盲目信任是错误的 17.1.2 隔离机器来增强防护 17.1.3 审计反病毒产品 17.2 给反病毒厂商的建议 17.2.1 **的工程师并不代表安全 17.2.2 利用反病毒软件的漏洞很简单 17.2.3 进行审计 17.2.4 模糊测试 17.2.5 安全地使用权限 17.2.6 减少解析器中的危险代码 17.2.7 改进升级服务和协议的安全性 17.2.8 删除或禁用旧代码 17.3 总结 |