第一章背景知识
1.1 免杀技术的发展……………………………………………….1
1.2 免杀技术的定义……………………………………………….2
1.3 杀毒软件查杀原理……………………………………………..2
1.3.1 特征码法…………………………………………….2
1.3.2 校验和法…………………………………………….3
1.3.3 行为监测法…………………………………………..4
1.3.4 软件模拟法…………………………………………..4
1.3.5 总结………………………………………………..4
1.4 常见杀毒软件及其杀毒引擎特点…………………………………..5
1.5 免杀技术的分类……………………………………………….6
1.5.1 内部免杀和外部免杀……………………………………6
1.5.2 特征码免杀和大范围免杀………………………………..6
1.5.3 文件免杀、内存免杀和行为免杀…………………………..6
1.5.4 盲免技术…………………………………………….7
第二章搭建实验环境
2.1 免杀测试步骤及测试环境………………………………………..8
2.1.1 免杀测试中遇到的问题………………………………….8
2.1.2 虚拟机的概念…………………………………………8
2.1.3 VMware工作原理………………………………………9
2.1.4 系统还原技术…………………………………………9
2.1.5 冰点还原工作原理……………………………………..9
2.1.6 选用哪种方式测试免杀效果………………………………9
2.2 VMware的安装与使用………………………………………….10
2.2.1 安装VMware Workstation 6.5.2中文版……………………10
2.2.2 创建一个新的虚拟机……………………………………12
2.2.3 在VMware的虚拟机中安装Ghost XP………………………14
2.2.4 安装VMware Tools及简单使用VMware……………………16
2.3 冰点还原的安装与使用………………………………………….17
2.3.1 安装冰点还原…………………………………………17
2.3.2 使用冰点还原…………………………………………18
2.4 综合型的测试环境……………………………………………..19
2.5 常用免杀工具一览……………………………………………..19
第三章免杀技术前置知识——PE结构
3.1 PE结构简单介绍………………………………………………26
3.1.1 PE文件结构(简化)……………………………………..26
3.1.2 初步理解内存地址……………………………………..26
3.1.3 文件偏移地址和虚拟地址转换…………………………….27
3.2 DOS文件头和DOS块……………………………………………27
3.2.1 DOS文件头…………………………………………..27
3.2.2 DOS块………………………………………………28
3.3 PE文件头……………………………………………………29
3.3.1 FileHeader字段………………………………………..29
3.3.2 OptionalHeader字段…………………………………….30
3.4 区段表和区段…………………………………………………32
3.5 输出表和输入表……………………………………………….32
3.5.1 输出表………………………………………………32
3.5.2 输入表………………………………………………33
3.6 什么是加壳免杀……………………………………………….33
3.6.1 加壳免杀概念…………………………………………33
3.6.2 壳程序的分类…………………………………………33
3.7 壳程序的使用…………………………………………………34
3.7.1 ASPack加壳实例……………………………………….34
3.7.2 UPX加壳实例………………………………………..35
3.7.3 NSPack加壳实例……………………………………….36
3.8 实战加壳免杀…………………………………………………37
3.9 从PEID实战PE结构…………………………………………..38
3.9.1 使用PEID载入一个文件…………………………………39
3.9.2 入口点………………………………………………39
3.9.3 EP段……………………………………………….39
3.9.4 文件偏移…………………………………………….40
3.9.5 首字节及汇编的概念……………………………………40
3.9.6 查壳功能…………………………………………….41
3.9.7 查壳原理…………………………………………….41
3.9.8 PEID的设置………………………………………….41
第四章免杀技术前置知识——汇编基础
4.1 免杀技术与汇编及反汇编的关系…………………………………..42
4.1.1 机器语言…………………………………………….42
4.1.2 汇编语言…………………………………………….42
4.1.3 高级语言…………………………………………….42
4.1.4 反汇编………………………………………………42
4.1.5 汇编与反汇编…………………………………………43
4.2 寄存器和堆栈…………………………………………………44
4.2.1 寄存器………………………………………………44
4.2.2 堆栈………………………………………………..44
4.3 内存单元与内存寻址……………………………………………45
4.3.1 内存单元…………………………………………….45
4.3.2 内存地址…………………………………………….45
4.3.3 80386的寻址机制………………………………………46
4.3.4 大尾与小尾…………………………………………..47
4.4 JMP指令与EIP寄存器………………………………………….48
4.4.1 jmp（JuMP）指令………………………………………48
4.4.2 EIP寄存器……………………………………………48
4.5 常用传送指令…………………………………………………49
4.5.1 PUSH（PUSH）指令……………………………………49
4.5.2 POP（POP）指令………………………………………49
4.5.3 MOV（MOVe）指令……………………………………50
4.5.4 LEA（Load Effective Address）指令……………………….51
4.6 算术运算指令Ⅰ……………………………………………….52
4.6.1 ADD（ADD）指令……………………………………..52
4.6.2 SUB（SUBtract）指令…………………………………..52
4.7 标志寄存器…………………………………………………..52
4.7.1 ZF标志位……………………………………………52
4.7.2 PF标志位…………………………………………….53
4.7.3 SF标志位…………………………………………….54
4.7.4 CF标志位…………………………………………….54
4.8 算术运算指令Ⅱ……………………………………………….55
4.8.1 ADC（ADd with Carry）指令……………………………55
4.8.2 SBB（SuBtract with Borrow）指令……………………….55
4.8.3 INC（INCrement）指令………………………………….56
4.8.4 DEC（DECrement）指令………………………………..56
4.8.5 CMP（CoMPare）指令…………………………………..56
4.9 逻辑运算指令…………………………………………………57
4.9.1 AND（AND）指令……………………………………..57
4.9.2 OR（OR）指令………………………………………..57
4.9.3 XOR（eXclusive OR）指令………………………………58
4.9.4 TEST（TEST）指令…………………………………….58
4.10 程序转移指令………………………………………………..58
4.10.1 CALL（CALL）指令……………………………………58
4.10.2 RETN/RETF（RETurN/ RETurn Fuck）指令………………59
4.10.3 条件转移指令…………………………………………60
4.10.4 LOOP（LOOP）指令…………………………………..60
4.10.5 NOP（No OPeretion）指令……………………………..61
4.11 环境保存……………………………………………………61
4.11.1 变化的ESP寄存器…………………………………….61
4.11.2 LEAVE（LEAVE）指令…………………………………62
4.12 OD使用指南…………………………………………………62
4.12.1 将文件载入OD……………………………………….63
4.12.2 反汇编代码窗口………………………………………63
4.12.3 程序是如何执行的…………………………………….64
4.12.4 免杀过程中经常用到的OD的调试功能……………………..65
4.12.5 单步跟踪和单步步入…………………………………..65
4.12.6 断点和设置断点………………………………………66
4.12.7 编辑指令……………………………………………66
4.12.8 表达式跟随………………………………………….66
4.12.9 查找命令……………………………………………67
4.12.10 重新设置EIP………………………………………..67
4.12.11 复制到可执行文件……………………………………67
4.12.12 查看跳转方向……………………………………….67
4.13 手工加花免杀………………………………………………..68
4.13.1 加花免杀的原理………………………………………68
4.13.2 一个典型的花指令…………………………………….68
4.13.3 给上兴服务端加花…………………………………….68
4.14 工具加花免杀实例…………………………………………….72
4.15 为什么要编写花指令…………………………………………..73
4.15.1 堆栈平衡……………………………………………73
4.15.2 pushad和popad……………………………………….73
4.15.3 常用平衡指令………………………………………..73
4.16 C32Asm使用指南…………………………………………….74
4.16.1 打开文件……………………………………………74
4.16.2 编辑数据……………………………………………74
4.16.3 地址跳转……………………………………………75
4.16.4 数据查找……………………………………………75
4.16.5 文本操作……………………………………………75
4.16.6 保存文件……………………………………………75
4.17 API调用…………………………………………………….75
第五章手工脱壳

……..

资源截图：

资源下载此资源下载价格为9.9豆子，请先

本站默认解压密码为：2soym.com或者2soyo.com，【解压密码压缩包打开右边一般也有说明】如错请联系我们！【添加好友后聊天，否则发不过去临时消息】

1：本站销售的源码与服务端，有提供记事本或语音教程，除VIP外的任何购买源码行为，不协助外网开区搭建出现的问题，请熟知！

VIP交流QQ群号为：27802610目前只接受VIP申请加入

【VIP免费搭建一次外网，免费交流搭建问题，几万源码实时更新下载】

Ajax Hacks中文版创建快速响应Web站点的工具和技巧 pdf_黑客教程

搞定黑客当好网管（仲治国） PDF_黑客教程