C++黑客編程揭秘與防范（第2版）

第1章 黑客編程入門1
1.1 初識Windows消息1
1.1.1 對消息的演示測試1
1.1.2 對MsgTest代碼的解釋3
1.1.3 如何獲取窗口的類名稱4
1.2 Windows消息機制的處理5
1.2.1 DOS程序與Windows程序執行流程對比5
1.2.2 一個簡單的Windows應用程序7
1.3 模擬鼠標鍵盤按鍵的操作13
1.3.1 基於發送消息的模擬13
1.3.2 通過API函數模擬鼠標鍵盤按鍵的操作16
1.4 通過消息實現進程間的通信19
1.4.1 通過自定義消息進行進程通信19
1.4.2 通過WM_COPYDATA消息進行進程通信21
1.5 VC相關開發輔助工具24
1.5.1 Error Lookup工具的使用24
1.5.2 Windows Error Lookup Tool工具的使用25
1.5.3 VC6調試工具介紹26
1.6 總結33
第2章 黑客網絡編程34
2.1 Winsock編程基礎知識34
2.1.1 網絡基礎知識34
2.1.2 面向連接協議與非面向連接協議所使用的函數36
2.1.3 Winsock網絡編程知識36
2.1.4 字節順序41
2.2 Winsock編程實例43
2.2.1 基於TCP的通信43
2.2.2 基於UDP的通信45
2.2.3 口令暴力猜解47
2.3 非阻塞模式開發54
2.3.1 設置Winsock的工作模式54
2.3.2 非阻塞模式下的簡單遠程控制的開發55
2.4 原始套接字的開發64
2.4.1 Ping命令的使用64
2.4.2 Ping命令的構造65
2.4.3 Ping命令的實現67
2.5 總結68
第3章 黑客Windows API編程69
3.1 文件相關API函數69
3.1.1 文件相關操作API函數69
3.1.2 模擬U盤病毒73
3.1.3 免疫AutoRun病毒工具的編寫75
3.2 注冊表編程77
3.2.1 注冊表結構簡介78
3.2.2注冊表操作常用API函數介紹79
3.2.3 注冊表下啟動項的管理82
3.3 服務相關的編程86
3.3.1 如何查看系統服務86
3.3.2 服務控制管理器的實現87
3.4 進程與線程93
3.4.1 進程的創建94
3.4.2 進程的結束99
3.4.3 進程的枚舉100
3.4.4 進程的暫停與恢復104
3.4.5 多線程編程基礎108
3.5 DLL編程114
3.5.1 編寫一個簡單的DLL程序114
3.5.2 遠程線程的編程120
3.6 總結129
第4章 黑客內核驅動開發基礎130
4.1 驅動版的「Hello World」130
4.1.1 驅動版「Hello World」代碼編寫130
4.1.2 驅動程序的編譯133
4.1.3 驅動文件的裝載與輸出133
4.1.4 驅動程序裝載工具實現134
4.2 內核下的文件操作136
4.2.1 內核文件的讀寫程序136
4.2.2 內核下文件讀寫函數介紹139
4.3 內核下的注冊表操作145
4.3.1 內核下注冊表的讀寫程序145
4.3.2 內核下注冊表讀寫函數的介紹148
4.4 總結150
第5章 黑客逆向基礎151
5.1 x86匯編語言介紹151
5.1.1 寄存器151
5.1.2 常用匯編指令集154
5.1.3 尋址方式159
5.2 逆向調試分析工具160
5.2.1 OllyDbg使用介紹160
5.2.2 OD破解實例164
5.3 逆向反匯編分析工具168
5.4 C語言代碼逆向基礎177
5.4.1 函數的識別177
5.4.2 if…else…結構分析186
5.4.3 switch結構分析188
5.4.4 循環結構分析191
5.5 逆向分析實例195
5.5.1 wcslen函數的逆向195
5.5.2 掃雷游戲輔助工具198
5.6 總結201
第6章 加密與解密202
6.1 PE文件結構202
6.1.1 PE文件結構全貌202
6.1.2 PE結構各部分簡介203
6.2 詳解PE文件結構204
6.2.1 DOS頭部詳解IMAGE_DOS_HEA—DER204
6.2.2 PE頭部詳解IMAGE_NT_HEAD—ERS206
6.2.3 文件頭部詳解IMAGE_FILE_HEAD—ER207
6.2.4 可選頭詳解IMAGE_OPTIONAL_HEADER209
6.2.5 節表詳解IMAGE_SECTION_HEAD—ER212
6.3 PE結構的3種地址214
6.3.1 與PE結構相關的3種地址214
6.3.23種地址的轉換215
6.4 PE相關編程實例218
6.4.1 PE查看器218
6.4.2 簡單的查殼工具221
6.4.3 地址轉換器224
6.4.4 添加節區227
6.5 破解基礎知識及調試API函數的應用233
6.5.1 CrackMe程序的編寫233
6.5.2 用OD破解CrackMe235
6.5.3 文件補丁及內存補丁239
6.6 調試API函數的使用243
6.6.1 常見的3種斷點方法243
6.6.2 調試API函數及相關結構體介紹246
6.7 打造一個密碼顯示器256
6.8 KeyMake工具的使用260
6.9 總結262
第7章 黑客高手的HOOK技術263
7.1 HOOK技術知識前奏263
7.2 內聯鉤子—Inline Hook264
7.2.1 Inline Hook的原理264
7.2.2 Inline Hook的實現265
7.2.3 Inline Hook實例269
7.2.47字節的Inline Hook273
7.2.5 Inline Hook的注意事項274
7.3 導入地址表鉤子——IAT HOOK277
7.3.1 導入表簡介278
7.3.2 導入表的數據結構定義278
7.3.3 手動分析導入表280
7.3.4 編程枚舉導入地址表283
7.3.5 IAT HOOK介紹284
7.3.6 IAT HOOK實例284
7.4 Windows鉤子函數287
7.4.1鉤子原理288
7.4.2 鉤子函數288
7.4.3 鉤子實例290
7.5 總結294
第8章 黑客編程實例剖析295
8.1 惡意程序編程技術295
8.1.1 惡意程序的自啟動技術295
8.1.2 木馬的配置生成與反彈端口技術303
8.1.3 病毒的感染技術309
8.1.4 病毒的自刪除技術313
8.1.5 隱藏DLL文件316
8.1.6 端口復用技術323
8.1.7 遠程cmd通信技術326
8.2 黑客工具編程技術331
8.2.1 端口掃描技術331
8.2.2 嗅探技術的實現341
8.3 反病毒編程技術344
8.3.1 病毒專殺工具的開發344
8.3.2 行為監控HIPS366
8.3.3 U盤防御軟件371
8.3.4 目錄監控工具376
8.4 實現引導區解析工具379
8.4.1 通過WinHex手動解析引導區379
8.4.2 通過程序解析MBR383
8.4.3 自定義MBR的各種結構體383
8.4.4 硬盤設備的符號鏈接384
8.4.5 解析MBR的程序實現385
8.5 加殼與脫殼387
8.5.1 手動加殼387
8.5.2 編寫簡單的加殼工具389
8.6 驅動下的進程遍歷390
8.6.1 配置VMware和WinDbg進行驅動調試390
8.6.2 EPROCESS和手動遍歷進程392
8.6.3 編程實現進程遍歷395
8.7 HOOK SSDT396
8.7.1 SSDT396
8.7.2 HOOK SSDT398
8.7.3 Inline HOOK SSDT400
8.8 總結403
附錄 反病毒公司部分面試題404
參考文獻406