C++黑客编程揭秘与防范

目录第1章 黑客编程入门11．1 初识Windows消息11．1．1 对消息的演示测试11．1．2 对MsgTest代码的解释31．1．3 如何获取窗口的类名称41．2 Windows消息机制的处理51．2．1 DOS程序与Windows程序执行流程对比51．2．2 一个简单的Windows应用程序71．3 模拟鼠标键盘按键的操作131．3．1 基于发送消息的模拟131．3．2 通过API函数模拟鼠标键盘按键的操作161．4 通过消息实现进程间的通信191．4．1 通过自定义消息进行进程通信191．4．2 通过WM_COPYDATA消息进行进程通信211．5 VC相关开发辅助工具241．5．1 Error Lookup工具的使用241．5．2 Windows Error Lookup Tool工具的使用251．5．3 VC6调试工具介绍261．6 总结33第2章 黑客网络编程342．1 Winsock编程基础知识342．1．1 网络基础知识342．1．2 面向连接协议与非面向连接协议所使用的函数362．1．3 Winsock网络编程知识362．1．4 字节顺序412．2 Winsock编程实例432．2．1 基于TCP的通信432．2．2 基于UDP的通信452．2．3 口令暴力猜解472．3 非阻塞模式开发542．3．1 设置Winsock的工作模式542．3．2 非阻塞模式下的简单远程控制的开发552．4 原始套接字的开发642．4．1 Ping命令的使用642．4．2 Ping命令的构造652．4．3 Ping命令的实现672．5 总结68第3章 黑客Windows API编程693．1 文件相关API函数693．1．1 文件相关操作API函数693．1．2 模拟U盘病毒733．1．3 免疫AutoRun病毒工具的编写753．2 注册表编程773．2．1 注册表结构简介783．2．2注册表操作常用API函数介绍793．2．3 注册表下启动项的管理823．3 服务相关的编程863．3．1 如何查看系统服务863．3．2 服务控制管理器的实现873．4 进程与线程933．4．1 进程的创建943．4．2 进程的结束993．4．3 进程的枚举1003．4．4 进程的暂停与恢复1043．4．5 多线程编程基础1083．5 DLL编程1143．5．1 编写一个简单的DLL程序1143．5．2 远程线程的编程1203．6 总结129第4章 黑客内核驱动开发基础1304．1 驱动版的“Hello World”1304．1．1 驱动版“Hello World”代码编写1304．1．2 驱动程序的编译1334．1．3 驱动文件的装载与输出1334．1．4 驱动程序装载工具实现1344．2 内核下的文件操作1364．2．1 内核文件的读写程序1364．2．2 内核下文件读写函数介绍1394．3 内核下的注册表操作1454．3．1 内核下注册表的读写程序1454．3．2 内核下注册表读写函数的介绍1484．4 总结150第5章 黑客逆向基础1515．1 x86汇编语言介绍1515．1．1 寄存器1515．1．2 常用汇编指令集1545．1．3 寻址方式1595．2 逆向调试分析工具1605．2．1 OllyDbg使用介绍1605．2．2 OD破解实例1645．3 逆向反汇编分析工具1685．4 C语言代码逆向基础1775．4．1 函数的识别1775．4．2 if…else…结构分析1865．4．3 switch结构分析1885．4．4 循环结构分析1915．5 逆向分析实例1955．5．1 wcslen函数的逆向1955．5．2 扫雷游戏辅助工具1985．6 总结201第6章 加密与解密2026．1 PE文件结构2026．1．1 PE文件结构全貌2026．1．2 PE结构各部分简介2036．2 详解PE文件结构2046．2．1 DOS头部详解IMAGE_DOS_HEA-DER2046．2．2 PE头部详解IMAGE_NT_HEAD-ERS2066．2．3 文件头部详解IMAGE_FILE_HEAD-ER2076．2．4 可选头详解IMAGE_OPTIONAL_HEADER2096．2．5 节表详解IMAGE_SECTION_HEAD-ER2126．3 PE结构的3种地址2146．3．1 与PE结构相关的3种地址2146．3．2 3种地址的转换2156．4 PE相关编程实例2186．4．1 PE查看器2186．4．2 简单的查壳工具2216．4．3 地址转换器2246．4．4 添加节区2276．5 破解基础知识及调试API函数的应用2336．5．1 CrackMe程序的编写2336．5．2 用OD破解CrackMe2356．5．3 文件补丁及内存补丁2396．6 调试API函数的使用2436．6．1 常见的3种断点方法2436．6．2 调试API函数及相关结构体介绍2466．7 打造一个密码显示器2566．8 KeyMake工具的使用2606．9 总结262第7章 黑客高手的HOOK技术2637．1 HOOK技术知识前奏2637．2 内联钩子—Inline Hook2647．2．1 Inline Hook的原理2647．2．2 Inline Hook的实现2657．2．3 Inline Hook实例2697．2．4 7字节的Inline Hook2737．2．5 Inline Hook的注意事项2747．3 导入地址表钩子——IAT HOOK2777．3．1 导入表简介278 7．3．2 导入表的数据结构定义2787．3．3 手动分析导入表2807．3．4 编程枚举导入地址表2837．3．5 IAT HOOK介绍2847．3．6 IAT HOOK实例2847．4 Windows钩子函数2877．4．1钩子原理2887．4．2 钩子函数2887．4．3 钩子实例2907．5 总结294第8章 黑客编程实例剖析2958．1 恶意程序编程技术2958．1．1 恶意程序的自启动技术2958．1．2 木马的配置生成与反弹端口技术3038．1．3 病毒的感染技术3098．1．4 病毒的自删除技术3138．1．5 隐藏DLL文件3168．1．6 端口复用技术3238．1．7 远程cmd通信技术3268．2 黑客工具编程技术3318．2．1 端口扫描技术3318．2．2 嗅探技术的实现3418．3 反病毒编程技术3448．3．1 病毒专杀工具的开发3448．3．2 行为监控HIPS3668．3．3 U盘防御软件3718．3．4 目录监控工具3768．4 实现引导区解析工具3798．4．1 通过WinHex手动解析引导区3798．4．2 通过程序解析MBR3838．4．3 自定义MBR的各种结构体3838．4．4 硬盘设备的符号链接3848．4．5 解析MBR的程序实现3858．5 加壳与脱壳3878．5．1 手动加壳3878．5．2 编写简单的加壳工具3898．6 驱动下的进程遍历3908．6．1 配置VMware和WinDbg进行驱动调试3908．6．2 EPROCESS和手动遍历进程3928．6．3 编程实现进程遍历3958．7 HOOK SSDT3968．7．1 SSDT3968．7．2 HOOK SSDT3988．7．3 Inline HOOK SSDT4008．8 总结403附录　反病毒公司部分面试题404参考文献406

市面上关于黑客入门的书籍较为繁多，比如黑客图解入门、黑客工具详解、黑客木马攻防等。但是，对于很多读者来说，可能并不是单单掌握简单的工具使用就能满足的。很多读者学习黑客知识是为了真正掌握与安全相关的知识。与安全相关的知识涉及面比较广，包括数据安全、存储安全、系统安全、Web安全、网络安全等，本书围绕Windows系统下应用层的开发来介绍一些关于安全方面的知识。本书是《C++黑客编程揭秘与防范》的升级版，在前书的基础上新添加了一些内容，同时也删除了一些过时的内容。本书以Win32应用层下安全开发为中心，介绍Windows系统下的安全开发。本书介绍了操作系统的相关操作，比如进程、线程、注册表等知识。当读者掌握了关于进程、线程、注册表等相关的开发知识后，就可以把一些常规的操作进程、注册表、文件等用代码进行实现，这样，一些日常的操作可与学习的编程知识相结合。除了操作的知识外，本书还介绍了关于网络应用程序的开发，了解Winsock的开发后，读者就会明白在应用层客户端与服务器端通信的原理。当然，本书除了介绍Win32开发外，还介绍了PE结构、调试接口、逆向等相关的知识。本书的最后部分介绍了关于恶意程序、专杀工具、扫描器等工具的开发。读者只要将前面章节的知识掌握后，后面的实例部分就水到渠成了。【作者简介】冀云，技术“屌丝”一名，在商业和地产行业从事对商业组合体的信息技术支持工作，酷爱编程及逆向技术，偶尔也做一下Web方面的开发。技术答疑微博http：//weibo.com/zcloudit。