Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 192 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
192
Dung lượng
12,38 MB
Nội dung
P Biên www.hutech.edu.vn *1.2022.cmp198* tailieuhoctap@hutech.edu.vn : I .I V BÀI 1: T NG QUAN V C ng cao 1.3.1 Backdoor 1.3.2 Botnet 1.3.3 Downloader 1.3.5 Launcher 1.3.6 Rootkit 1.3.7 Scareware 1.3.9 Worm hay virus 2.1 QUÉT VI-RÚT 11 11 12 12 13 2.7 C 13 14 15 17 2.7.4 Các 17 17 17 22 28 II 45 46 47 48 49 -Only) 49 50 51 .51 .52 52 54 54 55 56 4.1 SANDBOX 56 .57 58 59 Process Monitor .60 61 62 65 65 67 .67 68 69 4.4 SO SÁNH REGISTRY SNAPSHOTS VÀ REGSHOT 69 71 71 72 73 75 76 C NÂNG CAO 84 84 84 .86 86 92 92 III 94 96 100 103 106 113 115 BÀI 6: CÔNG C C IDA PRO 119 119 120 121 121 122 123 123 124 124 126 -IN 128 129 130 - BÀI 7: TRÌNH G 131 L I KERNEL WINDBG 133 133 135 136 136 136 137 7.3.4 Danh sách Mô- 137 138 138 139 139 7.5 ROOTKIT 140 141 141 VÀ X64 141 BÀI 8: CH C 143 143 8.1.1 Backdoor 143 145 IV 147 8.2.1 Process Injection 147 148 8.2.3 Hook Injection 149 8.2.4 Detours 150 8.2.5 APC Injection 150 BÀI 9: MÃ HÓA D LI U 151 151 151 152 9.2.2 XOR 152 153 9.2.4 Base64 153 153 154 154 155 155 155 156 157 157 158 160 162 163 164 BÀI 10: K THU ND C 166 166 166 168 170 174 UG 175 175 178 179 182 184 V H , hành Windows, Linux - - 50% 50% vào phòng thi BÀI 1: BÀI 1: T NG QUAN V PHÂN TÍCH C 1.1 M C TIÊU C A VI C PHÂN TÍCH MÃ - sót S C BÀI 1: 1.2 CÁC K THU C Thông bao 1.2.1 Phân tíc n chúng 1.2.2 1.2.3 n nâng cao c trình 170 BÀI 10: Chúng ta 10.1.2.3 ng d n s d ng NOP-ing v i IDA Pro phép nhà phân tích - tr - 10.1.3 Ki m soát lu ng c n tr - 171 BÀI 10: 10.1.3.1 V tr hàm g 172 BÀI 10: Danh sách 10.1.3.2 Thêm tham chi u chéo mã ngu n IDA Pro hàm Hàm IDC chúng ta ví 10.1.3.3 u n tr tr v BÀI 10: sau: 10.1.3.4 u n x ý hàm RaiseException lý ngo i l có c u trúc 173 174 BÀI 10: xuyên tr 10.1.4 p BÀI 10: 175 mã -Rays cho IDA Pro, phân tích khung stack 10.2 K THU N DEBUG Anti- 10.2.1 Phát hi n trình g l i Windows 176 BÀI 10: 10.2.1.1 S d ng API Windows - IsDebuggerPftime - CheckRemoteDebuggerPftime - NtQueryIn informationProcess 177 BÀI 10: - OutputDebugString -1uses SetLastError ông 10.2.1.2 C u trúc ki m tra th công không 178 BÀI 10: 10.2.1.3 Ki ng h Khi phân tích 10.2.2 , nh hành vi c a trình g 10.2.2.1 Quét INT INT th ng l i BÀI 10: 179 10.2.2.2 Ki m tra mã th c hi n mã 10.2.2.3 Ki m tra th i gian - - o 10.2.3 Can thi p vào ho ng c a trình Debug 180 BÀI 10: 10.2.3.1 S d ng TLS Callbacks 10.1 Hình 10.1: 181 BÀI 10: - Hình 10 Hình 10.2: Phân tích TLS 10.2.3.2 S d ng x lý ngo i l 182 BÀI 10: Hình 10.3 Bài 10.2.3.3 Thêm ng t nhà ng 10.2.4 L h ng trình Debug mã 10.2.4.1 L h ng PE Header BÀI 10: thi 32- 6trúc 10.2.4.2 L h ng OutputDebugString 183 184 [1]Eldad Eilam (2005), Reversing: Secrets of Reverse Engineering, Wiley Publishing, Inc.,ISBN-10: 0-7645-7481-7 [2]Peter Szor (2005), The Art of Computer Virus Research and Defense, AddisonWesley, ISBN: 0-321-30454-3 [3]Mark Dowd, John McDonald, Justin Schuh (2006), Art of Software Security Assessment : Identifying and Preventing Software Vulnerabilities, Addison Wesley Professional, Print ISBN-10: 0-321-44442-6 [4]Greg Hoglund, Gary McGraw, Exploiting Software How to Break Code, Addison Wesley, 2004, ISBN: 0-201-78695-8