MCP 恶意软件逆向分析 · 全流程实战
📁 30章完整目录
v1.0
1
逆向工程导论
恶意软件逆向定义 · 法律与道德 · 环境搭建 (VMware/FLARE VM)
2
静态分析基础
PE文件结构 (DOS头/NT头/节表) · DIE/PE-bear 查看信息
3
动态分析基础
Process Monitor / Process Explorer / Regshot 监控行为
4
反汇编基础
x86汇编速成 · 寄存器/栈/指令 MOV PUSH CALL JMP
5
IDA Pro 入门
界面布局 · 快捷键 · 函数窗口 · 图形视图 · 交叉引用
6
Ghidra 入门
项目管理 · 反编译窗口 · 符号树 · 数据类型管理
7
字符串与API分析
硬编码字符串 · 导入表(IAT) · 常见Windows API识别
8
加壳与识别
UPX/ASPack/VMProtect特征 · DIE查壳 · 手动脱UPX壳
9
反调试技术 (上)
IsDebuggerPresent · NtGlobalFlag · PEB.BeingDebugged
10
反调试技术 (下)
TLS回调 · 异常处理反调试 · 时间差检测与绕过
11
混淆与代码变形
控制流平坦化(OLLVM) · 花指令识别 · 动态跳转地址
12
恶意文档分析
宏病毒(VBA) · OLE提取 · oledump / Didier Stevens
13
Shellcode 分析
加载机制 · scdbg模拟执行 · GetProcAddress定位API
14
网络行为分析
提取C2域名/IP · HTTP/DNS分析 · FakeNet模拟网络
15
勒索软件分析
文件加密流程 (ReadFile/CryptEncrypt) · 勒索信提取
16
木马后门分析
持久化机制 (注册表Run/计划任务/服务) · 反向连接
17
Rootkit 分析
内核驱动加载 · SSDT Hook检测 · DKOM原理
18
内存取证基础
Volatility分析恶意进程 · 提取隐藏DLL与代码
19
调试器实战 (x64dbg)
断点类型 (INT3/硬件/内存) · 单步跟踪 · 修改寄存器
20
行为分析报告编写
IOC提取 · MITRE ATT&CK映射 · 报告模板
21
恶意软件分类
蠕虫/病毒/木马/RAT/Banker/Loader 特征区分
22
签名与哈希
MD5/SHA1/SHA256 · YARA规则编写 · VirusTotal查询
23
宏病毒深度分析
XLM/Excel 4.0宏 · 公式混淆 · VBA调用WinAPI
24
无文件攻击分析
PowerShell脚本 · WMI持久化 · 注册表Run加载DLL
25
漏洞利用分析
栈溢出原理 · ROP链识别 · Shellcode在Exploit中位置
26
移动恶意软件 (Android)
APK结构 · Smali代码分析 · Android权限滥用检测
27
物联网恶意软件
MIPS/ARM逆向 · Mirai变种 · 弱口令扫描逻辑
28
恶意软件家族分析
Emotet / TrickBot / AgentTesla 行为模式与IOC
29
自动化分析
CAPA提取行为 · Cuckoo沙箱搭建与报告解读
30
综合实战
完整分析真实样本 · 从静态到动态到报告输出