第1章 特洛伊木马发展历史 1
1.1 什么是木马程序 1
1.2 木马一直在变异 2
1.3 国内木马进化史 6
第2章 基础知识 16
2.1 常见的木马编程技术 16
2.2 Socket编程技术 18
2.2.1 基于TCP的Socket技术 19
2.2.2 基于UDP的Socket技术 20
2.2.3 Socket实例分析 20
2.3 C++语言编程介绍 30
2.3.1 C++程序结构 30
2.3.2 Visual C++编程介绍 32
2.3.3 Visual C++使用小技巧 34
第3章 一个简单的木马程序分析 37
3.1 Mini木马的基本原理 37
3.2 搭建实验环境 37
3.2.1 配置虚拟机环境 41
3.2.2 测试Mini木马的功能 47
3.3 Mini木马程序剖析 54
3.4 Mini类木马的防御策略 57
第4章 木马隐藏技术分析 60
4.1 隐藏技术——注册表启动 64
4.1.1 测试注册表加载型木马door 69
4.1.2 door木马程序剖析 71
4.1.3 加载注册表木马的防御 77
4.2 隐藏技术——服务级木马 78
4.2.1 测试服务级木马svchost 78
4.2.2 svchost木马程序剖析 81
4.2.3 服务级木马程序防范 90
4.3 隐藏技术——进程注入木马 92
4.3.1 测试进程注入木马Inject 92
4.3.2 Inject注入木马程序剖析 94
4.3.3 Inject注入木马程序防范 100
4.4 隐藏技术——内核级rootkit 100
4.4.1 测试rootkit木马 102
4.4.2 rootkit木马程序剖析 107
4.4.3 rootkit木马程序防范 118
第5章 木马控制技术分析 120
5.1 管道技术 120
5.1.1 双管道木马程序剖析 120
5.1.2 简化双管道木马程序剖析 126
5.2 反弹木马技术 128
5.2.1 反弹木马的原理 128
5.2.2 反弹木马程序剖析 129
5.2.3 反弹木马的防范策略 131
5.3 端口重用技术 132
5.3.1 端口重用技术实现 133
5.3.2 端口重用的防范 138
5.4 钩子(Hook)技术 138
5.4.1 钩子技术实现 139
5.4.2 钩子程序防范 148
第6章 经典木马程序大解析 149
6.1 下载者程序剖析 149
6.2 关机程序剖析 150
6.3 进程查杀程序剖析 151
6.4 获取主机详细信息的代码 153
6.5 获取主机IP地址 156
6.6 单线程TCP扫描器 157
6.7 多线程DOS攻击程序 160
第7章 综合木马程序剖析 166
7.1 正向连接木马程序剖析 166
7.2 反弹并隐藏木马程序剖析 170
7.3 WinShell木马程序剖析 180
第8章 木马的查杀 206
8.1 自启动木马的查杀 206
8.1.1 注册表的基本知识 206
8.1.2 开机自启动木马 208
8.1.3 触发式启动木马 209
8.1.4 自动播放启动木马 212
8.2 进程木马的查杀 212
8.2.1 Windows XP启动过程 212
8.2.2 进程的查看 217
8.2.3 进程的隐藏 222
8.3 文件木马的查杀 227
8.3.1 文件的基本知识 227
8.3.2 文件的隐藏、查找、保护与删除 228
8.3.3 利用系统本身的规则隐藏文件 230