本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。最后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。
本书共14章，第1～9章详细讲述恶意代码基础技术点，从搭建环境开始，逐步深入分析Windows PE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10～14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖析恶意代码的网络流量和文件行为。
本书示例代码丰富，实践性和系统性较强，既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程师、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。

刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。

第1章 搭建恶意代码分析环境
1.1 搭建虚拟机实验环境
1.1.1 安装VMware Workstation Pro虚拟机软件
1.1.2 安装Windows 10系统虚拟机
1.1.3 安装FLARE系统虚拟机
1.1.4 安装Kali Linux系统虚拟机
1.1.5 配置虚拟机网络拓扑环境
1.2 搭建软件实验环境
1.2.1 安装Visual Studio 2022开发软件
1.2.2 安装x64dbg调试软件
1.2.3 安装IDA调试软件
1.2.4 安装010 Editor编辑软件
第2章 Windows程序基础
2.1 PE结构基础介绍
2.1.1 DOS部分
2.1.2 PE文件头部分
2.1.3 PE节表部分
2.1.4 PE节数据部分
2.2 PE分析工具
2.3 编译与分析EXE程序
2.4 编译与分析DLL程序
第3章 生成和执行shellcode
3.1 shellcode介绍
3.1.1 shell终端接口介绍
3.1.2 获取shellcode的方法
3.2 Metasploit工具介绍
3.2.1 Metasploit Framework目录组成
3.2.2 Metasploit Framework模块组成
3.2.3 Metasploit Framework命令接口
3.3 MsfVerlom工具介绍
3.3.1 MsfVenom参数说明
3.3.2 MsfVenom生成shellcode
3.4 C语言加载执行shellcode代码
3.5 Meterpreter后渗透测试介绍
3.5.1 Meterpreter参数说明
3.5.2 Meterpreter键盘记录案例
第4章 逆向分析工具
4.1 逆向分析方法
4.2 静态分析工具IDA基础
4.2.1 IDA软件常用快捷键
4.2.2 IDA软件常用设置
4.3 动态分析工具x64dhg基础
4.3.1 x64dbg软件界面介绍
4.3.2 x64dhg软件调试案例
第5章 执行PE节中的shellcode
5.1 嵌入PE节的原理
5.1.1 内存中执行shellcode原理
5.1.2 常用Windows API函数介绍
5.1.3 scdbg逆向分析shellcode
5.2 嵌入PE.text节区的shellcode
5.3 嵌入PE.data节区的shellcode
5.4 嵌入PE.rsrc节区的shellcode
5.4.1 Windows程序资源文件介绍
5.4.2 查找与加载rsrc节区相关函数介绍
5.4.3 实现嵌入rsrc节区shellcode
第6章 分析base64编码的shellcode
6.1 base64编码原理
6.2 Windows实现base64编码shellcode
6.2.1 base64解码相关函数
6.2.2 base64编码shellcode
6.2.3 执行base64编码shellcode
6.3 x64dbg分析提取shellcode
6.3.1 x64dbg断点功能介绍
6.3.2 x64dbg分析可执行程序
第7章 分析XOR加密的shellcode
7.1 XOR加密原理
7.1.1 异或位运算介绍
7.1.2 Python实现XOR异或加密shellcode
7.2 XOR解密shellcode
7.2.1 XOR解密函数介绍
7.2.2 执行XOR加密shellcode
7.3 x64dhg分析提取shellcode
第8章 分析AES加密的shellcode
8.1 AES加密原理
8.2 AES加密shellcode
8.2.1 Python加密shellcode
8.2.2 实现AES解密shellcode
8.3 x64dbg提取并分析shellcode
第9章 构建shellcode runner程序
9.1 C语言shellcode runner程序
9.1.1 C语言开发环境Dev C++
9.1.2 各种shellcode runner程序
9.2 C#语言shellcode runner程序
9.2.1 VS 2022编写并运行C#程序
9.2.2 C#语言调用Win32 API函数
9.2.3 C#语言执行shellcode
9.3 在线杀毒软件引擎Virus Total介绍
9.3.1 Virus Total分析文件
9.3.2 Virus Total分析进程
第10章 分析API函数混淆
10.1 PE分析工具pestudio基础
10.2 API函数混淆原理与实现
lO.2.1 API函数混淆基本原理
10.2.2 相关API函数介绍
10.2.3 实现API函数混淆
10.3 x64dbg分析函数混淆
第ll章 进程注入shellcode
11.1 进程注入原理
11.2 进程注入实现
11.2.1 进程注入相关函数
11.2.2 进程注入代码实现
11.3 分析进程注入
11.3.1 Process Hacker工具分析进程注入
11.3.2 x64dbg工具分析进程注入
第12章 DLL注入sheilcode
12.1 DLL注入原理
12.1.1 DLL文件介绍
12.1.2 DLL注入流程
12.2 DLL注入实现
12.2.1 生成DLL文件
12.2.2 DLL注入代码实现
12.3 分析DLL注入
第13章 Yara检测恶意程序原理与实践
13.1 Yara工具检测原理
13.2 Yara工具基础
13.2.1 安装Yara工具
13.2.2 Yara基本使用方法
第14章 检测和分析恶意代码
14.1 搭建恶意代码分析环境
14.1.1 REMnux Linux环境介绍
14.1.2 配置分析环境的网络设置
14.1.3 配置REMnux Linux网络服务
14.2 实战：分析恶意代码的网络流量
14.3 实战：分析恶意代码的文件行为
14.4 实战：在线恶意代码检测沙箱