来源 | 异步 | 文末赠书

古人云“知其然，知其所以然”。作为一个初学者，首先要做到的是“知其然”，即学会怎么去做；然后再去理解这样做的缘由，即“知其所以然”。《Windows黑客编程技术详解》这本书着重于“知其然”阶段，一本能够让初学者看懂的技术科普书。

推荐语

· 理论技术与实战操作相辅相成，凸显“道与术”

· 庖丁解牛式剖析Windows用户层和内核层黑客技术原理

· 代码兼容性高，支持Windows 7到Windows 10全平台系统

近年来，全球大规模爆发勒索病毒和挖矿病毒，让沉寂许久的黑客技术，又重新回到了人们的视野中。Windows操作系统市场占有率高达90%以上，所以面对勒索病毒、挖矿病毒，Windows用户首当其冲。 为了揭开病毒木马的神秘面纱，更好地服务于信息安全，本书总结并剖析了常见的Windows黑客编程技术，用通俗易懂的语言介绍了用户层下的Windows编程和内核层下的Rootkit编程。

内容简介

《Windows黑客编程技术详解》介绍的是黑客编程的基础技术，涉及用户层下的Windows编程和内核层下的Rootkit编程。本书分为用户篇和内核篇两部分，用户篇包括11章，配套49个示例程序源码；内核篇包括7章，配套28个示例程序源码。本书介绍的每个技术都有详细的实现原理，以及对应的示例代码（配套代码均支持32位和64位Windows 7、Windows 8.1及Windows 10系统），旨在帮助初学者建立起黑客编程技术的基础。

《Windows黑客编程技术详解》面向对计算机系统安全开发感兴趣，或者希望提升安全开发水平的读者，以及从事恶意代码分析研究的安全人员。

作者简介

甘迪文，北京邮电大学网络空间安全学院在读研究生，2019 年秋季即将步入清华大学攻读软件工程专业的博士学位，Write-Bug 技术共享平台（www.write-bug.com）创始人。对信息安全领域兴趣颇深，常利用课余时间自学和钻研安全开发技术。擅长 Windows 系统安全程序开发，熟悉 Windows 内核编程，闲来无事之时喜欢开发功能各异的小软件。

荣获异步社区“2018年异步社区优秀作者奖”，异步社区是依托于人民邮电出版社20余年IT专业优质出版资源和编辑策划团队的国内领先IT专业图书社区。

大咖推荐

本书详解了注入、启动、权限、HOOK、监控等技术，从技术知识体系上对其细节（如实现原理、编码实战、案例测试等）进行了剖析，降低了学习难度，因此非常适合Windows安全、二进制安全、逆向工程等相关领域的爱好者、从业者群体阅读。大家可以通过本书对自己的Windows安全知识体系进行补充与巩固。值得阅读！

—— 孔韬循（K0r4dji），丁牛科技有限公司首席安全官，破晓安全团队创始人

"黑客"当今已经不再是神秘的代言词，而是攻防技术的象征——如何利用简短的代码实现意想不到的结果，各类病毒木马是如何利用Windows的相关API技术实现传播、隐藏、启动、复制等操作——黑客已经把Windows的机制运用得淋漓尽致，这本《Windows黑客编程技术详解》带领读者从用户态到内核态一步一步地了解黑客如何巧妙地利用各类Windows的机制达成自己的目的，以及从攻与防出发的角度了解黑客是怎样的一个“神秘群体”！值得推荐！

——朱利军，四叶草信息技术有限公司首席安全官

阐述Windows下黑客编程常用技术的书籍有很多，但或涉猎不全，或代码健壮性及兼容性较差，而能将以上技术按照难易梯度依次汇集在一本书内，并且所有示例代码均是多系统全平台兼容的，我个人知道的仅此一本。本书内部穿插的那些作者苦心而作的若干精巧例子值得我们每个人细细品味，同时这本书对于软件安全领域的工作人员也不失为一本案头必备的代码、案例参考工具书。

——任晓珲，十五派信息安全教育创始人，《黑客免杀攻防》作者

在当前网络安全逐渐娱乐化的时代，本书就像一股清流，让我想起10余年前和小伙伴们一起彻夜研究各种植入、逃逸技术的一幕幕。本书教会你制作网络空间的利刃的方法，对于技术流的小伙伴们是一门必修的功课，不过切记要把它用在正道。

——王珩，赛宁网安副总经理，信息安全漏洞门户（vulhub.org.cn）创始人

目录一览

第1篇　用户篇

第1章 开发环境 3

1.1 环境安装 3

1.2 工程项目设置 5

1.3 关于Debug模式和Release模式的小提示 7

第2章 基础技术 10

2.1 运行单一实例 10

2.2 DLL延迟加载 13

2.3 资源释放 15

第3章 注入技术 22

3.1 全局钩子注入 22

3.2 远线程注入 27

3.3 突破SESSION 0隔离的远线程注入 34

3.4 APC注入 37

第4章 启动技术 42

4.1 创建进程API 42

4.2 突破SESSION 0隔离创建用户进程 48

4.3 内存直接加载运行 55

第5章 自启动技术 60

5.1 注册表 60

5.2 快速启动目录 66

5.3 计划任务 69

5.4 系统服务 75

第6章 提权技术 84

6.1 进程访问令牌权限提升 84

6.2 Bypass UAC 89

第7章 隐藏技术 97

7.1 进程伪装 97

7.2 傀儡进程 102

7.3 进程隐藏 106

7.4 DLL劫持 112

第8章 压缩技术 119

8.1 数据压缩API 119

8.2 ZLIB压缩库 126

第9章 加密技术 133

9.1 Windows自带的加密库 133

9.2 Crypto++密码库 152

第10章 传输技术 168

10.1 Socket通信 168

10.2 FTP通信 181

10.3 HTTP通信 190

10.4 HTTPS通信 202

第11章 功能技术 210

11.1 进程遍历 210

11.2 文件遍历 214

11.3 桌面截屏 219

11.4 按键记录 226

11.5 远程CMD 232

11.6 U盘监控 235

11.7 文件监控 241

11.8 自删除 245

第2篇　内核篇

第12章 开发环境 253

12.1 环境安装 253

12.2 驱动程序的开发与调试 254

12.3 驱动无源码调试 264

12.4 32位和64位驱动开发 268

第13章 文件管理技术 270

13.1 文件管理之内核API 270

13.2 文件管理之IRP 293

13.3 文件管理之NTFS解析 303

第14章 注册表管理技术 317

14.1 注册表管理之内核API 317

14.2 注册表管理之HIVE文件解析 329

第15章 HOOK技术 337

15.1 SSDT HOOK 337

15.2 过滤驱动 351

第16章 监控技术 357

16.1 进程创建监控 357

16.2 模块加载监控 363

16.3 注册表监控 369

16.4 对象监控 374

16.5 Minifilter文件监控 379

16.6 WFP网络监控 385

第17章 反监控技术 392

17.1 反进程创建监控 392

17.2 反线程创建监控 397

17.3 反模块加载监控 403

17.4 反注册表监控 407

17.5 反对象监控 411

17.6 反Minifilter文件监控 415

第18章 功能技术 421

18.1 过PatchGuard的驱动隐藏 421

18.2 过PatchGuard的进程隐藏 426

18.3 TDI网络通信 429

18.4 强制结束进程 437

18.5 文件保护 442

18.6 文件强删 444

附录 函数一览表 447

《Windows黑客编程技术详解》

作者：甘迪文

书籍配套源码

书籍配套源码下载地址

https://github.com/DemonGan/Windows-Hack-Programming

踩楼送书活动参与方法：

在本文下方留言，分享在计算机系统安全开发过程中有趣的事情，或者是分享提升安全开发水平的经验，小编将对留言进行挑选，被采纳的留言将会显示在页面中。

踩楼送书活动获奖须知：

1、活动期间踩中指定楼层的标准回复将获得《Windows黑客编程技术详解》一本，共5名中奖者

2、活动结束我们会在本公众号公布中奖楼层的解压密码，并在3个工作日内收集到获奖用户信息后发出（收到奖品的小伙伴欢迎来留言区晒晒。）

3、获奖楼层下载地址（文件解压密码2019年4月16日公布）

百度云链接:

https://pan.baidu.com/s/13C9V7HohyrYg-svm0dmY3g

提取码:m2sk

活动时间

活动时间：即日起至2019年4月16日下午4点整

小贴士