首页 作品展示 课程中心 学习路径 登录
登录
首页 作品展示 课程中心 学习路径 个人中心

全栈安全-逆向攻防篇

中级 · 200

6人学过

全栈攻防
¥498.00购买
  • 课程简介
  • 课程目录
  • 作者信息
  • 教程资料


预备知识 

 C/C++ 编程基础

 Windows 系统原理与

 API 调用基础

 基本的汇编语言知识(x86/x64

 熟悉 PE 文件格式与进程内存布局


课程特色与学习价值

 技术体系完整:覆盖从入门到高级的 Windows 逆向攻防技术链,包含 10 余种主流注入方式与进程伪装核心技巧。

 实战导向:每个技术点均配套代码实现(如控制台框架、shellcode 模板、免杀工具),注重跨进程调试、数据流量分析等实操能力培养。

 攻防结合:不仅讲解攻击技术,还涉及安全检测视角(如进程属性回溯、杀软测试),帮助学员建立双向技术思维。

 前沿技术覆盖:包含 x64 shellcode 开发、系统调用脱钩、进程空洞技术等高级议题,适配最新 Windows 系统攻防场景。


适合人群 

  Windows 逆向工程感兴趣的安全爱好者

 希望提升攻防实战能力的网络安全从业者

 从事恶意代码分析、渗透测试的技术人员

 学习系统底层原理的软件开发人员




前言介绍

  • [FILE] 01.0 前言-Windows逆向攻防篇前置要求_1
  • [FILE] 01.1 前言-Windows逆向攻防篇前置要求_2
  • [FILE] 01.2 注入原理-Windows平台应用层注入基本概念
  • [FILE] 01.3 注入原理-注入框架思路及PE加载修复流程

注入框架

  • [FILE] 01.4 注入框架-注入系统控制台版本开发思路
  • [FILE] 01.5 注入框架-控制台程序属性初始化
  • [FILE] 01.6 注入框架-控制台程序输出标题润色封装
  • [FILE] 01.7 注入框架-控制台程序模拟进度加载过程
  • [FILE] 01.8 注入框架-用户交互及输入信息流程构建
  • [FILE] 01.9 注入框架-业务功能统一显示模板

线程注入

  • [FILE] 02.0 远程线程注入-远程线程注入思路
  • [FILE] 02.1 远程线程注入-通用代码框架封装
  • [FILE] 02.2 远程线程注入-远程线程注入实现
  • [FILE] 02.3 远程线程注入-跨进程调试及执行数据分析
  • [FILE] 02.4 劫持线程注入-劫持线程注入思路
  • [FILE] 02.5 劫持线程注入-线程上下文环境修改与shellcode搭建
  • [FILE] 02.6 劫持线程注入-劫持线程注入执行流程
  • [FILE] 02.7 异步调用注入-APC调用触发机制
  • [FILE] 02.8 异步调用注入-添加用户层APC队列完成注入
  • [FILE] 02.9 异步调用注入-基于线程简易注入汇总

全局注册注入

  • [FILE] 03.0 进程早鸟注入-进程挂起执行及对应安全检测
  • [FILE] 03.1 进程早鸟注入-早鸟执行实现原理与流程
  • [FILE] 03.2 全局注册注入-AppInit_DLLs
  • [FILE] 03.3 全局注册注入-注册表操作与REG文件定义
  • [FILE] 03.4 全局注册注入-键值写入与命令行验证方法使用
  • [FILE] 03.5 全局钩子注入-Windowshook挂钩监听消息
  • [FILE] 03.6 全局钩子注入-跨进程钩子注入消息映射回调原理
  • [FILE] 03.7 全局钩子注入-主线程与窗口句柄获取及消息队列
  • [FILE] 03.8 全局钩子注入-注入触发回调及释放全过程

内存映射注入

  • [FILE] 03.9 内存映射注入-共享内存映射完成跨进程注入思路
  • [FILE] 04.0 内存映射注入-ShellCode构建
  • [FILE] 04.1 内存映射注入-ShellCode压缩
  • [FILE] 04.2 内存映射注入-ShellCode修正
  • [FILE] 04.3 内存映射注入-Shellcode通用执行方式思路
  • [FILE] 04.4 内存映射注入-代码无申请附加注入执行方案

系统调用

  • [FILE] 04.5 系统调用-API执行调用路线及高级调用
  • [FILE] 04.6 系统调用-过滤系统调用通用思路
  • [FILE] 04.7 系统调用-ntdll跳板过滤应用层系统调用彻底脱钩
  • [FILE] 04.8 系统调用-用户APC强制唤醒触发调度思路
  • [FILE] 04.9 系统调用-session会话隔离突破
  • [FILE] 05.0 系统调用-进程访问令牌与权限提升
  • [FILE] 05.1 系统调用-高级远程线程注入

shellcode

  • [FILE] 05.2 shellcode-x64shellcode通用C语言框架
  • [FILE] 05.3 shellcode-x64汇编定位模块特征及数据比对
  • [FILE] 05.4 shellcode-x64汇编解析PE结构及数据关联
  • [FILE] 05.5 shellcode-x64汇编字符串匹配通用模板
  • [FILE] 05.6 shellcode-x64汇编框架远程执行测试
  • [FILE] 05.7 shellcode-通用shellcode框架搭建及项目构成
  • [FILE] 05.8 shellcode-双版本兼容开发实例与特征混淆
  • [FILE] 05.9 shellcode-字符串哈希处理及快速匹配
  • [FILE] 06.0 shellcode-封装后的提取思路与编译器生成顺序
  • [FILE] 06.1 shellcode-编译器与语法强制平坦化及双版本模式下测试
  • [FILE] 06.2 shellcode-搭建shellcode生成提取注入工具框架
  • [FILE] 06.3 shellcode-完善哈希生成框架
  • [FILE] 06.4 shellcode-硬编码数据转储提取并转换数组使用
  • [FILE] 06.5 shellcode-编译器优化策略对代码布局影响
  • [FILE] 06.6 shellcode-二进制数据提取与对接语言数组
  • [FILE] 06.7 shellcode-本地部署执行环境用户对接
  • [FILE] 06.8 shellcode-本地执行内置shellcode封装
  • [FILE] 06.9 shellcode-本地执行文件shellcode测试
  • [FILE] 07.0 shellcode-远程注入shellcode用户对接
  • [FILE] 07.1 shellcode-远程部署文件与数据提取及执行注入
  • [FILE] 07.2 shellcode-项目完结及常见攻防思路样式

进程伪装隐藏

  • [FILE] 07.3 进程伪装隐藏-Process Hollowing
  • [FILE] 07.4 进程伪装隐藏-NT函数导出调用及文件属性获取封装
  • [FILE] 07.5 进程伪装隐藏-(内核初探)函数执行流程分析与数据写回返回判定
  • [FILE] 07.6 进程伪装隐藏-狸猫换太子
  • [FILE] 07.7 进程伪装隐藏-文件对象属性回溯极火绒剑测试伪装效果
  • [FILE] 07.8 进程伪装隐藏-免杀基础及过滤思路
  • [FILE] 07.9 进程伪装隐藏-免杀通用框架搭建
  • [FILE] 08.0 进程伪装隐藏-文件对象使用
  • [FILE] 08.1 进程伪装隐藏-文件磁盘数据特征过滤
  • [FILE] 08.2 进程伪装隐藏-节对象数据映射
  • [FILE] 08.3 进程伪装隐藏-PEB信息定位与劫持修改
  • [FILE] 08.4 进程伪装隐藏-数据二次保护策略及杀软测试
  • [FILE] 08.5 进程伪装隐藏-代码结构优化及双版本兼容实现

反射注入

  • 08.6 反射式注入-ReflectiveDLL
  • 08.7 反射式注入-注入主框架与导出函数执行
  • 08.8 反射式注入-定位执行地址回溯模块头部
  • 08.9 反射式注入-哈希计算与匹配及导出表数据对接
  • 09.0 反射式注入-映像动态拉伸拷贝及导入表数据修复
  • 09.1 反射式注入-重定位修正及入口点执行

特征码搜索

  • 09.2 特征码搜索-硬编码数据基本格式及可变动量
  • 09.3 特征码搜索-通配符的使用及模糊搜索思路
  • 09.4 特征码搜索-程序框架设计与数据管理封装
  • 09.5 特征码搜索-文件结构扫描解析管理
  • 09.6 特征码搜索-特征码字符串提取转换格式
  • 09.7 特征码搜索-pattern匹配数组封装
  • 09.8 特征码搜索-扫描模式搭建及回调过滤
  • 09.9 特征码搜索-特征码数据匹配及结果写回
  • 10.0 特征码搜索-结果解析及效率测试

HooK

  • 10.1 hook-hook基本概念及分类样式
  • 10.2 hook-iat_hook构建基本思路及PE关联
  • 10.3 hook-iat_hookAPI调用拦截测试及安装卸载完善
  • 10.4 hook-iat_hook检测手法与思路
  • 10.5 hook-iat_hook拦截IAT修改事件与双向监听思路
  • 10.6 hook-inline_hook底层逻辑与实现原理
  • 10.7 hook-inline_hook拦截函数参数及传统钩子框架流程
  • 10.8 hook-inline_hook标准模板化钩子框架搭建
  • 10.9 hook-inline_hook转发函数判断与指令完整性
  • 11.0 hook-inline_hook指令边界对齐及破坏修复
  • 11.1 hook-inline_hook中转函数万能拦截及通用性兼容
  • 11.2 hook-inline_hook任意函数拦截测试及代码优化拓展
  • 11.3 hook-inline_hook常规API转发API自用大栈通用性测试
  • 11.4 hook-inline_hook框架优化与卸载处理
  • 11.5 hook-x64万能跳转方案及环境保护策略
  • 11.6 hook-x64通用化模板框架搭建
  • 11.7 hook-x64stub环境保存
  • 11.8 hook-x64寄存器参数获取及堆栈定位参数地址
  • 11.9 hook-x64中汇编实现中转函数及拦截与默认返回
  • 12.0 hook-x64模板化钩子框架完结
  • 12.1 hook-minhook
  • 12.2 hook-自旋锁独享操作与多线程兼容处理
  • 12.3 hook-hde_disasm
  • 12.4 hook-sib_base_index_scale
  • 12.5 asm-capstone
  • 12.6 asm-用户数据交互及输入结构解析
  • 12.7 asm-数据转换及安全性检查
  • 12.8 asm-反汇编数据解析及格式输出
  • 12.9 asm-硬编码反汇编转换
  • 13.0 asm-反汇编引擎双版本兼容性处理
  • 13.1 asm-XEDParse
  • 13.2 hook-vtablehook
  • 13.3 hook-veh异常注册处理拦截
  • 13.4 hook-硬件断点及无痕hook
  • 13.5 hook-无痕钩子实现及瞬时执行
  • 13.6 etw-Event Tracing for Windows
  • 13.7 etw-日志信息记录管理
  • 13.8 etw-主线程交互框架及初始化流程
  • 13.9 etw-事件跟踪记录初始化
  • 14.0 etw-管理事件启动与释放资源
  • 14.1 etw-进程事件监听及回调消息处理
  • 14.2 etw-监听回调派遣及opcode过滤
  • 14.3 etw-进程监听及event数据提取
  • 14.4 wmi-Windows Management Instrumentation
  • 14.5 wmi-QueryInterface & Indicate
  • 14.6 wmi-CoCreateInstance & ConnectServer
  • 14.7 wmi-InstanceCreationEvent

反调试

  • 14.8 anti_debug-调试器开发与静态动态反调试思路
  • 14.9 anti_debug-调试器附加进程执行分析
  • 15.0 anti_debug-内核调试对象创建及调试进程句柄写回
  • 15.1 anti_debug-被调试进程与调试对象关联
  • 15.2 anti_debug-调试消息封装派遣与调度机制
  • 15.3 anti_debug-应用层反调试思路及检测方向
  • 15.4 anti_debug-调试标志位反调试检测_1(beingdebug)
  • 15.5 anti_debug-调试标志位反调试检测_2(debugport)
  • 15.6 anti_debug-调试标志位反调试检测_3(invalidhandle)
  • 15.7 anti_debug-调试标志位反调试检测_4(wudf)
  • 15.8 anti_debug-调试标志位反调试检测_5(globalflag)
  • 15.9 anti_debug-调试标志位反调试检测_6(heapflags)
  • 16.0 anti_debug-断点反调试检测_1(hardware)
  • 16.1 anti_debug-断点反调试检测_2(software)
  • 16.2 anti_debug-断点反调试检测_3(memory)
  • 16.3 anti_debug-断点反调试检测_4(动态监测与反反调试)
  • 16.4 anti_debug-异常反调试检测_1(filter)
  • 16.5 anti_debug-异常反调试检测_2(interrupt)
  • 16.6 anti_debug-异常反调试检测_3(interrupt)
  • 16.7 anti_debug-异常反调试检测_4(trap)
  • 16.8 anti_debug-异常反调试检测_5(guard)
  • 16.9 anti_debug-对象查询反调试检测_1(dbgport)
  • 17.0 anti_debug-对象查询反调试检测_2(dbgflags)
  • 17.1 anti_debug-对象查询反调试检测_3(dbghandle)
  • 17.2 anti_debug-对象查询反调试检测_4(objhandle)
  • 17.3 anti_debug-对象查询反调试检测_5(objtype)
  • 17.4 anti_debug-对象查询反调试检测_6(alltypes)
  • 17.5 anti_debug-对象查询反调试检测_7(totaltype)
  • 17.6 anti_debug-系统环境反调试检测_1(kddbgflag)
  • 17.7 anti_debug-系统环境反调试检测_2(shareddata)
  • 17.8 anti_debug-系统环境反调试检测_3(dbgenable)
  • 17.9 anti_debug-堆保护标志反调试检测
  • 18.0 anti_debug-补丁与反补丁统一思路

反反汇编

  • 18.1 anti_disasm-静态分析对抗之花指令与代码混淆
  • 18.2 anti_disasm-代码混淆跳转执行
  • 18.3 anti_disasm-same_target
  • 18.4 anti_disasm-constant_condtion
  • 18.5 anti_disasm-jmp_self
  • 18.6 anti_disasm-modify_return_pointer
  • 18.7 anti_disasm-opaque_predicate
  • 18.8 anti_diaasm-code_transposition_1
  • 18.9 anti_disasm-code_transposition_2
  • 19.0 anti_disasm-code_transposition_3
  • 19.1 anti_disasm-code_transposition_4
  • 19.2 anti_disasm-code_transposition_5
  • 19.3 anti_disasm-code_transposition_6
0XCC

教程资料购买后才能查看或下载。

吉林省道科信息科技有限公司   备案号:吉ICP备2023000703号    
用户在本站学习到的任何技术和信息,应当合法使用。禁止用户将学习内容从事任何违法犯罪活动。对于用户的非法使用,本站不承担任何责任。

如果您认为网站内容侵犯了您的版权或其他权利,请通过以下联系方式与我们取得联系,我们将在验证后第一时间处理相关内容。联系邮箱3070909089@qq.com。