Chapter 1 快速走进木马的世界 2
1.1 木马的前世和今生 2
1.2 病毒与木马 3
1.2.1 病毒的特点 3
1.2.2 木马与后门 4
1.3 木马与远程控制 6
1.3.1 什么是远程控制 7
1.3.2 远程控制的实现 9
1.3.3 木马的特殊性 10
1.4 木马的入侵途径 11
Chapter 2 C/S型木马程序 14
2.1 木马王者——冰河 14
2.1.1 “冰河”的介绍 14
2.1.2 “冰河”的操作 16
2.2 不死鸟——灰鸽子 18
2.2.1 了解“反弹连接”木马 18
2.2.2 配置“灰鸽子”服务端 19
2.2.3 配置“灰鸽子”客户端 24
2.2.4 远程控制服务端 25
2.2.5 线程插入技术 33
2.3 突破主动防御——红狼远控 35
2.3.1 配置“红狼”服务端 35
2.3.2 “红狼”服务端操作 36
2.3.3 “红狼”木马的相关技术 41
Chapter 3 B/S型木马程序 46
3.1 浏览器木马——网络精灵 46
3.1.1 网络精灵的由来 46
3.1.2 网络精灵传统控制 47
3.1.3 浏览器远程控制 47
3.2 蔚蓝色的海洋——海阳顶端网ASP木马 53
3.2.1 海阳顶端网ASP木马运行环境 53
3.2.2 海阳顶端网ASP木马的功能 54
3.2.3 配置海阳顶端网ASP木马 66
3.3 多项全能远程控制——rmtsvc 67
3.3.1 rmtsvc命令行参数 67
3.3.2 rmtsvc的配置文件 68
3.3.3 rmtsvc的实际操作 70
Chapter 4 特殊类型木马揭秘 82
4.1 木马病毒传送带——木马下载者 82
4.1.1 木马下载者的作用 82
4.1.2 木马下载者操作演示 82
4.1.3 木马下载者特殊技术 84
4.2 脚本木马下载者——一句话木马 86
4.2.1 什么是“一句话木马” 86
4.2.2 配置“一句话木马” 87
4.2.3 另类“一句话木马” 89
4.3 在内网中飞翔——端口映射 94
4.3.1 什么是端口映射 95
4.3.2 端口映射如何实现 96
4.4 在网络中隐身——网络跳板 98
4.4.1 什么是跳板 98
4.4.2 跳板的制作 100
4.5 由黑变白的“黑洞”远程控制 104
4.5.1 配置“黑洞”客户端 104
4.5.2 配置“黑洞”服务端 106
4.5.3 控制“黑洞”服务端 108
Chapter 5 搭建木马测试环境 114
5.1 优化配置杀毒软件 114
5.1.1 优化设置 114
5.1.2 隔离还原 116
5.1.3 系统防护 117
5.1.4 放行木马 119
5.2 虚拟机的安装配置 120
5.2.1 什么是虚拟机 120
5.2.2 虚拟机的种类 120
5.2.3 虚拟机的配置 121
5.3 安装配置影子系统 131
5.3.1 影子系统的介绍 131
5.3.2 影子系统的操作 131
5.4 安装配置沙盘安全环境 137
5.4.1 Sandboxie的保护方式 137
5.4.2 Sandboxie的使用方法 137
5.4.3 Sandboxie的其他设置 141
5.5 搭建脚本运行环境 142
5.5.1 搭建ASP脚本运行环境 142
5.5.2 快速搭建ASP运行环境 147
5.5.3 搭建PHP脚本运行环境 149
Chapter 6 木马防杀技术 152
6.1 杀毒软件的基础知识 152
6.1.1 杀毒软件原理基础 152
6.1.2 基于文件扫描的技术 153
6.1.3 认识PE文件结构 156
6.1.4 认识汇编语言 159
6.2 加壳及多重加壳操作 162
6.2.1 什么是“壳” 162
6.2.2 单一壳的操作 162
6.2.3 壳的变异操作 167
6.2.4 多重加壳演示 176
6.2.5 壳中改籽技巧 177
6.3 花指令的添加和修改 182
6.3.1 什么是花指令 182
6.3.2 利用工具加花 182
6.3.3 修改旧花指令 183
6.3.4 编写新花指令 188
6.3.5 添加新花指令 191
6.4 分析查找木马特征码 194
6.4.1 何谓“特征码” 194
6.4.2 分析文件特征码 195
6.4.3 修改文件特征码 198
6.4.4 关键字分析修改 201
6.4.5 分析内存特征码 202
6.4.6 其他分析方式 203
6.5 PE文件头的分析修改 204
6.5.1 PE文件头的介绍 205
6.5.2 PE文件头的修改 205
6.6 输入表内容分析修改 217
6.6.1 什么是输入表 217
6.6.2 重建输入表 218
6.6.3 转移函数名称 221
Chapter 7 另类木马防杀技术 224
7.1 附加数据惹的祸 224
7.1.1 附加数据留下线索 224
7.1.2 “PCshare”的修改 224
7.1.3 “灰鸽子”的修改 228
7.2 修改木马关键字符串 231
7.2.1 “移花接木”调换字符串 231
7.2.2 “借尸还魂”替代字符串 233
7.3 木马突破主动防御的手段 235
7.3.1 什么是主动防御 235
7.3.2 突破卡巴斯基主动防御 237
7.3.3 其他杀毒软件主动防御 240
7.3.4 木马程序自定义设置 242
7.3.5 简单设置突破主动防御 243
7.3.6 捆绑程序巧过主动防御 245
7.4 脚本木马免杀方法 246
7.4.1 脚本木马工具免杀法 246
7.4.2 脚本木马手工免杀法 248
7.4.3 其他脚本木马免杀法 255
7.5 网页木马免杀方法 261
7.5.1 网页木马工具免杀法 262
7.5.2 网页木马手工免杀法 264
7.5.3 网页木马免杀延伸 269
7.6 雷客图可以这样躲过 270
7.6.1 修改代码绕过雷客图 270
7.6.2 修改时间继续伪装 273
7.7 反调试躲过杀毒软件 277
7.7.1 SEH相关知识 277
7.7.2 SEH操作原理 277
7.7.3 SEH操作过程 278
7.7.4 SEH加花操作 278
7.8 SYS文件的免杀技巧 282
7.8.1 提取SYS文件 283
7.8.2 修改特征码 283
7.8.3 调整特征码 285
7.8.4 文件头修改 287
7.8.5 加壳处理操作 288
Chapter 8 木马伪装的多种方式 290
8.1 文件捆绑 290
8.1.1 常规捆绑 290
8.1.2 压缩捆绑 291
8.1.3 插入捆绑 300
8.1.4 克隆捆绑 302
8.2 属性伪装 304
8.2.1 属性伪装 304
8.2.2 伪装签名 306
8.2.3 定义签名 307
8.3 图标伪装 311
8.3.1 生成图标 311
8.3.2 替换图标 311
8.4 网页木马 312
8.4.1 制作网页木马 312
8.4.2 网页木马的传播方式 313
8.4.3 网站系统漏洞挂马法 315
8.4.4 IIS写权限挂马法 320
8.4.5 电子邮件挂马法 322
8.5 端口入侵 324
8.5.1 什么是端口 324
8.5.2 系统服务型 325
8.5.3 网路服务型 331
8.5.4 入侵辅助型 332
8.6 视频伪装 332
8.6.1 RM文件的伪装利用 332
8.6.2 WMV文件的伪装利用 333
8.7 漏洞入侵 336
8.7.1 什么是数据溢出 336
8.7.2 专业工具入侵 337
8.7.3 手工批量入侵 339
8.7.4 工具批量入侵 343