购课须知

课程售前咨询，可添加左侧助教企业微信

课程售前咨询，可添加左侧助教企业微信

大纲目录

第1章 基础知识

表1-1 常用字符的ASCII 值

Win32函数手册

第2章 动态分析技术

2.1 x64dbg调试器

2.2 WinDbg调试器

第3章 静态分析技术

3.1 文件类型分析

3.2 反汇编引擎

3.3 反汇编利器IDA

3.3.19 IDA microcode与ctree（电子版）

3.4 ReverseMe（电子版）

第4章 逆向分析技术

4.2 启动函数

4.3 函数

4.4 数据结构

4.5 虚函数

4.6 控制语句

4.7 循环语句

4.8 算术运算符

第5章 演示版保护技术

5.1 注册码保护方式

5.2 警告窗口

5.3 时间限制

5.4 菜单功能限制

5.5 KeyFile保护

5.6 网络验证

5.7 只运行一个实例

第6章 加密算法

6.3.1 流密码

6.3.2 AES算法

6.3.3 DES算法

6.4.1 MD5算法

6.5.1 RSA算法

6.6 对称加密算法（电子版补充）

6.7 公开密钥加密算法（电子版补充）

6.8 CRC32、Base64编码（电子版补充）

6.9 常见的加密库接口及其识别（电子版补充）

第7章 Windows内核知识

7.1 学习准备

7.2.1 深入Windows API内部

7.2.2 认识Native API

7.4.1 SSDT和Shadow SSDT

7.6.1 搭建驱动开发和调试环境

7.6.2 驱动开发帮助与API参考

7.6.3 驱动程序的类型

7.6.4 编写第一个驱动

7.6.5 驱动程序加载的过程

7.6.6 加载内核驱动并调试

7.6.7 应用程序与驱动通信

第8章 异常处理

8.2.2 SEH处理程序的安装和卸载

8.2.3 SEH实例跟踪

8.3.1 向量化异常处理的使用

8.3.3 向量化异常处理的新内容

8.4 x64平台上的异常处理

8.5.2 SEH在加密与解密中的应用

第9章 PE文件格式

9.1 PE实例

9.3 PE文件头

9.6 绑定输入

9.7 输出表

9.8 基址重定位

9.9 TLS初始化

9.10 调试目录

9.11 延迟载入数据

9.12 程序异常数据

9.13 资源

9.14 编写PE分析工具

第10章 注入技术

10.1 注入示例程序相关说明

10.1.1 通过干预输入表处理过程加载目标DLL

10.1.2 改变程序运行流程使其主动加载目标DLL

10.1.3 利用系统机制加载DLL

10.2.1 驱动层防范

10.2.2 应用层防范

第11章 Hook技术

11.1 Hook示例程序相关说明

11.1.1 IAT Hook篡改MessageBox消息

11.1.2 Inline Hook篡改指定MessageBox消息

11.2.1 Address Hook

11.2.3 基于异常处理的Hook

11.3 Hook位置的挑选

11.4.1 Address Hook的实施过程

11.4.2 Inline Hook的实施过程

第12章 反跟踪技术

12.1.1 BeingDebugged

12.1.2 NtGlobalFlag

12.1.3 Heap Magic

12.2.1 CheckRemoteDebuggerPresent

12.2.2 ProcessDebugPort

12.2.3 ThreadHideFromDebugger

12.2.4 DebugObject

12.2.5 SystemKernelDebuggerInformation

12.2.6 Hook和AntiHook

12.4 真正的奥秘：小技巧一览

第13章 软件保护技术

13.2.1 花指令

13.2.2 SMC技术

13.2.3 代码混淆

13.3.1 磁盘文件校验的实现

13.3.2 内存映像校验

第14章 脱壳技术

14.1.2 压缩引擎

14.2.1 压缩壳

14.4.1 手动脱壳-寻找OEP

14.4.2 手动脱壳-抓取内存映像

14.4.3 手动脱壳-重建输入表

14.5.1 DLL文件脱壳-寻找OEP

14.5.2 DLL文件脱壳-Dump映像文件

14.5.3 DLL文件脱壳-重建DLL的输入表

14.5.4 DLL文件脱壳-构造重定位表

14.6 附加数据

14.7 PE文件的优化

14.8.1 压缩壳-UPX外壳

14.8.2 压缩壳-ASPack外壳

第15章 外壳编写

外壳编写实例及代码

第16章 补丁技术

16.1 文件补丁

16.2 内存补丁→16.2.1 跨进程内存存取机制

16.2 内存补丁→16.2.2 Debug API机制

16.2 内存补丁→16.2.3 利用调试寄存器机制

16.2 内存补丁→16.2.4 利用DLL注入技术

16.3 SMC补丁技术→16.3.1 单层SMC补丁技术

16.3 SMC补丁技术→16.3.2 多层SMC补丁技术

16.4 补丁工具

第17章 代码的二次开发

17.2 增加补丁空间

17.3 获得函数的调用信息

17.4 代码的重定位

课程讲师

kanxue

讲师简介

看雪学院创始人